Overzicht Actueel

Nieuwe AP-boete voor slechte wachtwoordbeveiliging

De Autoriteit Persoonsgegevens (AP) legt luchtvaartmaatschappij Transavia een boete op van 400.000 euro, wegens het slecht beveiligen van persoonsgegevens. Door die slechte beveiliging kon een hacker in 2019 twee maanden lang de systemen van Transavia binnendringen. Die hack was vrij makkelijk, namelijk het raden van één simpel wachtwoord van iemand van de IT-afdeling. Een wachtwoord dat al jaren bovenaan staat in de lijstjes met meest gebruikte wachtwoorden, in de trant van “123456”, “Welkom” en “wachtwoord”.’

De hacker had hierbij toegang tot systemen waarin hij gegevens van 25 miljoen mensen had kunnen inzien. Vastgesteld is dat de hacker persoonsgegevens van zo’n 83.000 personen downloadde. Wat deze persoon met de gegevens heeft gedaan of heeft willen doen is niet duidelijk, maar dergelijke gegevens kunnen heel handig zijn voor oplichters. Zij kunnen die gegevens gebruiken voor identiteitsdiefstal of om geld afhandig te maken via bijvoorbeeld WhatsApp-fraude. 

Beveiliging wachtwoord is must-have
Het lijkt een open deur, maar beveiliging van je accounts door middel van sterke wachtwoorden en tweefactorauthenticatie is een must-have voor een goede bescherming van persoonsgegevens binnen je organisatie. Je kunt AVG-wise alles perfect geregeld hebben, maar als iemand via een (makkelijk) wachtwoord kan binnendringen in je systemen, ben je ver van huis. Kies daarom voor een sterk wachtwoord en tweefactorauthenticatie (2FA) voor het inloggen in systemen waar veel persoonsgegevens worden opgeslagen. 

Tweede AP-boete voor niet hebben tweefactorauthenticatie 

Dit is de niet de eerste keer dat de Autoriteit Persoonsgegevens een boete geeft waar zo’n tweefactorauthenticatie ontbrak. Eerder werden het UWV, het Haga Ziekenhuis en het OLVG al op de vingers getikt voor het ontbreken van een meerfactorauthenticatie. Een maatregel waar de AP blijkbaar zwaar aan tilt. Genoeg reden dus om na te gaan hoe dit in je eigen organisatie is geregeld.  

Ben je lid en heb je een juridische vraag? Stuur een mailtje naar legal@ddma.nl