Nederländerna: Transavia Airlines bötfälls med 400 000 euro efter dataintrång

Den nederländska dataskyddsmyndigheten Autoriteit Persoonsgegevens (AP) har bötfällt Transavia Airlines CV med 400 000 euro för brott mot artikel 32 dataskyddsförordningen (GDPR).

Av beslutet framgår att AP fått en anmälan om en personuppgiftsincident från Transavia som informerade om att en hackare fått obehörig tillgång till Transavias system, där hackaren hade laddat ner personuppgifter om cirka 83 000 personer, inklusive hälsouppgifter om 367 personer. AP noterade dock i anmälan att hackaren också kunde se personuppgifter om 25 miljoner passagerare. Enligt AP bröt hackaren sig in i Transavias system i september 2019 med hjälp av två konton från företagets IT-avdelning, vilket pågick fram till slutet av november 2019 då Transavia stängde läckan.

AP konstaterade att på grund av incidentens stora omfattning, samt att även en stor mängd känsliga personuppgifter behandlades, att överträdelse var mycket allvarlig. Därutöver ansåg AP att hackningen varit för enkel av följande skäl:

  • Lösenordet var för lätt att gissa
  • Flerfaktorsautentisering användes inte
  • Hackaren fick tillgång till många av Transavias system när han tagit kontroll över de två kontona

AP betonade dock att Transavia rapporterat överträdelsen till myndigheten i god tid och att företaget omedelbart vidtagit många åtgärder för att skydda personuppgifter, bland annat genom att införa tvåfaktorsautentisering för alla slutanvändare och enheter.

Enligt AP har Transavia inte gjorde några invändningar mot sanktionsavgifterna varför de är slutgiltiga.

Du kan läsa pressmeddelandet här och beslutet här, båda endast tillgängliga på nederländska.

Relaterade nyheter

Områden

I fokus

Länder

Taggar

Populära kurser

Expertis

Gå kurs med oss

06 OKT

Säkerhet för
icke-tekniker

Få en övergripande introduktion till säkerhet vid behandling av personuppgifter.

13 OKT

Privacy by Design
& Privacy by Default

Öka dina kunskaper om GDPR:s krav på inbyggt dataskydd och dataskydd som standard.

10 NOV

Artificiell intelligens & personuppgifter

Få en genomgång av de viktigaste reglerna för AI ur ett dataskyddsperspektiv.