Spring naar content

British Airways

De eerste boete is voor een datalek bij British Airways. In 2018 werden bezoekers van de website van de luchtvaartmaatschappij ongemerkt doorhackers doorgeleid naar een nagemaakte site. Hier vulden 500.000 mensen onder andere logingegevens, boekingsgegevens en creditcardgegevens in, die ten prooi vielen aan de hackers. British Airways kreeg hiervoor in eerste instantie een boete van 200 miljoen pond van de Britse toezichthouder (ICO). Zij gingen in beroep, en in oktober 2020 is deze boete definitief verlaagd tot 22 miljoen pond.

Marriott

Ook bij de Amerikaanse hotelketen Marriott viel er een boete op de mat. Ook hier ging het om een datalek, ditmaal uit 2014. Hackers wisten binnen te dringen in een reserveringssysteem van de hotelketen en hebben o.a. namen, e-mailadressen, telefoonnummers, paspoortnummers, verblijfgegevens weten te bemachtigen. De uiteindelijke boete van 18,4 miljoen pond is wederom een stuk lager dan de boete van 99,2 miljoen pond, die de ICO eigenlijk wilde opleggen.

Wat leren deze forse boeteverlagingen ons?

In beide gevallen was de reductie van de boete (onder andere) te wijten aan goed meewerken en de impact van de coronacrisis op de organisaties.

Zorgvuldige medewerking

De zorgvuldige medewerking van British Airways en Marriott aan het onderzoek heeft een rol gespeeld in de matiging van de boetes. Zo is het feit dat British Airways melding heeft gemaakt bij de ICO één dag na ontdekking meegenomen. Marriott werd geprezen om het snel contact op nemen met klanten en de ICO en snel te handelen om het risico van schade te verkleinen.

Adequate medewerking kan dus bijdragen aan de verlaging van een boete. Maar let hierbij wel op: alles wat je te veel zegt kan tegen je gebruikt worden. British Airways had een slimme aanpak van pushback waar gepast en medewerking waar nodig. Denk dus goed na over deze strategie.

Impact coronacrisis

In april 2020 gaf de ICO al aan hun handhavingsbeleid aan te passen op de coronacrisis. Hierbij wordt rekening gehouden met de vraag of een overtreding te wijten is aan de pandemie en wat de economische impact van een boete is voor een organisatie in corona-tijd.

In bovenstaande beroepsprocedures is dit aangepaste handhavingsbeleid in de praktijk tot uiting gekomen. Zowel de hotelbranche als de luchtvaart zijn hard geraakte sectoren in de coronacrisis, waarop succesvol beroep gedaan in de beroepsprocedure. De ICO geeft aan niet in een vacuüm toezicht te houden, maar handelt in het algemeen belang en hiervoor altijd pragmatisch en proportioneel te zal werk te gaan.

Conclusie

Of de Autoriteit Persoonsgegevens (AP) deze boete op dezelfde manier had gematigd, is natuurlijk de vraag. Maar deze Britse casu bieden een goed idee van de manier waarop AVG-boetes succesvol gematigd kunnen worden in een beroepsprocedure. De AP heeft niet zoals de ICO een officieel document gepubliceerd waarin zij hun handhaving in deze pandemie aanpast of toelicht. Wel gaven zij in maart aan organisaties meer tijd te bieden om te reageren op vragen van de AP en geven zij “initiatieven om de volksgezondheid te beschermen ruim baan”.

Naomi van der Louw

Voormalig legal counsel bij DDMA

Ook interessant

Lees meer
Artificial Intelligence |

X onder vuur: mogelijk onrechtmatig gebruik van persoonsgegevens voor AI-training

Non-profitorganisatie None of Your Business (NOYB), opgericht door privacy-activist Max Schrems, heeft negen klachten ingediend tegen X (voorheen Twitter). De aanleiding? Verschillende overtredingen van de GDPR, in Nederland beter bekend…
Lees meer
AVG |

AP legt een boete van 600.000 euro op voor niet-compliant cookiebanner

De Autoriteit Persoonsgegevens (AP) heeft een boete opgelegd omdat de organisatie tracking cookies op hun website gebruikte om bezoekers te volgen zonder toestemming of hun medeweten. Hierdoor verzamelde en gebruikte…
Lees meer
AVG |

Privacykoepel deelt richtlijnen voor ‘consent or pay’ model voor grote online platformen

Meta introduceerde eind vorig jaar de nieuwe ‘consent or pay’ banner. Naar aanleiding van deze wijziging komt de koepel van Europese privacytoezichthouders onder leiding van de Nederlandse Autoriteit Persoonsgegevens (AP)…