Waarom de Britse toezichthouder twee datalek-boetes verlaagde

British Airways

De eerste boete is voor een datalek bij British Airways. In 2018 werden bezoekers van de website van de luchtvaartmaatschappij ongemerkt doorhackers doorgeleid naar een nagemaakte site. Hier vulden 500.000 mensen onder andere logingegevens, boekingsgegevens en creditcardgegevens in, die ten prooi vielen aan de hackers. British Airways kreeg hiervoor in eerste instantie een boete van 200 miljoen pond van de Britse toezichthouder (ICO). Zij gingen in beroep, en in oktober 2020 is deze boete definitief verlaagd tot 22 miljoen pond.

Marriott

Ook bij de Amerikaanse hotelketen Marriott viel er een boete op de mat. Ook hier ging het om een datalek, ditmaal uit 2014. Hackers wisten binnen te dringen in een reserveringssysteem van de hotelketen en hebben o.a. namen, e-mailadressen, telefoonnummers, paspoortnummers, verblijfgegevens weten te bemachtigen. De uiteindelijke boete van 18,4 miljoen pond is wederom een stuk lager dan de boete van 99,2 miljoen pond, die de ICO eigenlijk wilde opleggen.

Wat leren deze forse boeteverlagingen ons?

In beide gevallen was de reductie van de boete (onder andere) te wijten aan goed meewerken en de impact van de coronacrisis op de organisaties.

Zorgvuldige medewerking

De zorgvuldige medewerking van British Airways en Marriott aan het onderzoek heeft een rol gespeeld in de matiging van de boetes. Zo is het feit dat British Airways melding heeft gemaakt bij de ICO één dag na ontdekking meegenomen. Marriott werd geprezen om het snel contact op nemen met klanten en de ICO en snel te handelen om het risico van schade te verkleinen.

Adequate medewerking kan dus bijdragen aan de verlaging van een boete. Maar let hierbij wel op: alles wat je te veel zegt kan tegen je gebruikt worden. British Airways had een slimme aanpak van pushback waar gepast en medewerking waar nodig. Denk dus goed na over deze strategie.

Impact coronacrisis

In april 2020 gaf de ICO al aan hun handhavingsbeleid aan te passen op de coronacrisis. Hierbij wordt rekening gehouden met de vraag of een overtreding te wijten is aan de pandemie en wat de economische impact van een boete is voor een organisatie in corona-tijd.

In bovenstaande beroepsprocedures is dit aangepaste handhavingsbeleid in de praktijk tot uiting gekomen. Zowel de hotelbranche als de luchtvaart zijn hard geraakte sectoren in de coronacrisis, waarop succesvol beroep gedaan in de beroepsprocedure. De ICO geeft aan niet in een vacuüm toezicht te houden, maar handelt in het algemeen belang en hiervoor altijd pragmatisch en proportioneel te zal werk te gaan.

Conclusie

Of de Autoriteit Persoonsgegevens (AP) deze boete op dezelfde manier had gematigd, is natuurlijk de vraag. Maar deze Britse casu bieden een goed idee van de manier waarop AVG-boetes succesvol gematigd kunnen worden in een beroepsprocedure. De AP heeft niet zoals de ICO een officieel document gepubliceerd waarin zij hun handhaving in deze pandemie aanpast of toelicht. Wel gaven zij in maart aan organisaties meer tijd te bieden om te reageren op vragen van de AP en geven zij “initiatieven om de volksgezondheid te beschermen ruim baan”.

Naomi van der Louw

Voormalig legal counsel bij DDMA