Den nederländska dataskyddsmyndigheten Autoriteit Persoonsgegevens (AP) har bötfällt Transavia Airlines CV med 400 000 euro för brott mot artikel 32 dataskyddsförordningen (GDPR).
Av beslutet framgår att AP fått en anmälan om en personuppgiftsincident från Transavia som informerade om att en hackare fått obehörig tillgång till Transavias system, där hackaren hade laddat ner personuppgifter om cirka 83 000 personer, inklusive hälsouppgifter om 367 personer. AP noterade dock i anmälan att hackaren också kunde se personuppgifter om 25 miljoner passagerare. Enligt AP bröt hackaren sig in i Transavias system i september 2019 med hjälp av två konton från företagets IT-avdelning, vilket pågick fram till slutet av november 2019 då Transavia stängde läckan.
AP konstaterade att på grund av incidentens stora omfattning, samt att även en stor mängd känsliga personuppgifter behandlades, att överträdelse var mycket allvarlig. Därutöver ansåg AP att hackningen varit för enkel av följande skäl:
- Lösenordet var för lätt att gissa
- Flerfaktorsautentisering användes inte
- Hackaren fick tillgång till många av Transavias system när han tagit kontroll över de två kontona
AP betonade dock att Transavia rapporterat överträdelsen till myndigheten i god tid och att företaget omedelbart vidtagit många åtgärder för att skydda personuppgifter, bland annat genom att införa tvåfaktorsautentisering för alla slutanvändare och enheter.
Enligt AP har Transavia inte gjorde några invändningar mot sanktionsavgifterna varför de är slutgiltiga.