Nederländerna: Transavia Airlines bötfälls med 400 000 euro efter dataintrång

Den nederländska dataskyddsmyndigheten Autoriteit Persoonsgegevens (AP) har bötfällt Transavia Airlines CV med 400 000 euro för brott mot artikel 32 dataskyddsförordningen (GDPR).

Av beslutet framgår att AP fått en anmälan om en personuppgiftsincident från Transavia som informerade om att en hackare fått obehörig tillgång till Transavias system, där hackaren hade laddat ner personuppgifter om cirka 83 000 personer, inklusive hälsouppgifter om 367 personer. AP noterade dock i anmälan att hackaren också kunde se personuppgifter om 25 miljoner passagerare. Enligt AP bröt hackaren sig in i Transavias system i september 2019 med hjälp av två konton från företagets IT-avdelning, vilket pågick fram till slutet av november 2019 då Transavia stängde läckan.

AP konstaterade att på grund av incidentens stora omfattning, samt att även en stor mängd känsliga personuppgifter behandlades, att överträdelse var mycket allvarlig. Därutöver ansåg AP att hackningen varit för enkel av följande skäl:

  • Lösenordet var för lätt att gissa
  • Flerfaktorsautentisering användes inte
  • Hackaren fick tillgång till många av Transavias system när han tagit kontroll över de två kontona

AP betonade dock att Transavia rapporterat överträdelsen till myndigheten i god tid och att företaget omedelbart vidtagit många åtgärder för att skydda personuppgifter, bland annat genom att införa tvåfaktorsautentisering för alla slutanvändare och enheter.

Enligt AP har Transavia inte gjorde några invändningar mot sanktionsavgifterna varför de är slutgiltiga.

Mer information

Myndighet: Autoriteit Persoonsgegevens (AP)

Land: Nederländerna

Lagrum: Art. 32 GDPR

Sanktionsavgift: 400 000 euro

Mottagare: Transavia Airlines CV

Beslutsnummer: N/A

Beslutsdatum: 2021-11-12

Källa: Beslut

Relaterade nyheter

Områden

I fokus

Länder

Taggar

Populära kurser

Expertis

Gå kurs med oss

09 MAR

Introduktion till dataskyddsförordningen

Lär dig om grunderna i GDPR och vad som gäller vid behandling av personuppgifter.

16 MAR

Molntjänster och tredjelandsöverföringar

Få en genomgång av reglerna för tredjelandsöverföringar vid användning av molntjänster.

23 MAR

Konsekvensbedömning avseende dataskydd

Lär dig att göra en konsekvensbedömning avseende dataskydd i praktiken.