Spring naar content

British Airways

De eerste boete is voor een datalek bij British Airways. In 2018 werden bezoekers van de website van de luchtvaartmaatschappij ongemerkt doorhackers doorgeleid naar een nagemaakte site. Hier vulden 500.000 mensen onder andere logingegevens, boekingsgegevens en creditcardgegevens in, die ten prooi vielen aan de hackers. British Airways kreeg hiervoor in eerste instantie een boete van 200 miljoen pond van de Britse toezichthouder (ICO). Zij gingen in beroep, en in oktober 2020 is deze boete definitief verlaagd tot 22 miljoen pond.

Marriott

Ook bij de Amerikaanse hotelketen Marriott viel er een boete op de mat. Ook hier ging het om een datalek, ditmaal uit 2014. Hackers wisten binnen te dringen in een reserveringssysteem van de hotelketen en hebben o.a. namen, e-mailadressen, telefoonnummers, paspoortnummers, verblijfgegevens weten te bemachtigen. De uiteindelijke boete van 18,4 miljoen pond is wederom een stuk lager dan de boete van 99,2 miljoen pond, die de ICO eigenlijk wilde opleggen.

Wat leren deze forse boeteverlagingen ons?

In beide gevallen was de reductie van de boete (onder andere) te wijten aan goed meewerken en de impact van de coronacrisis op de organisaties.

Zorgvuldige medewerking

De zorgvuldige medewerking van British Airways en Marriott aan het onderzoek heeft een rol gespeeld in de matiging van de boetes. Zo is het feit dat British Airways melding heeft gemaakt bij de ICO één dag na ontdekking meegenomen. Marriott werd geprezen om het snel contact op nemen met klanten en de ICO en snel te handelen om het risico van schade te verkleinen.

Adequate medewerking kan dus bijdragen aan de verlaging van een boete. Maar let hierbij wel op: alles wat je te veel zegt kan tegen je gebruikt worden. British Airways had een slimme aanpak van pushback waar gepast en medewerking waar nodig. Denk dus goed na over deze strategie.

Impact coronacrisis

In april 2020 gaf de ICO al aan hun handhavingsbeleid aan te passen op de coronacrisis. Hierbij wordt rekening gehouden met de vraag of een overtreding te wijten is aan de pandemie en wat de economische impact van een boete is voor een organisatie in corona-tijd.

In bovenstaande beroepsprocedures is dit aangepaste handhavingsbeleid in de praktijk tot uiting gekomen. Zowel de hotelbranche als de luchtvaart zijn hard geraakte sectoren in de coronacrisis, waarop succesvol beroep gedaan in de beroepsprocedure. De ICO geeft aan niet in een vacuüm toezicht te houden, maar handelt in het algemeen belang en hiervoor altijd pragmatisch en proportioneel te zal werk te gaan.

Conclusie

Of de Autoriteit Persoonsgegevens (AP) deze boete op dezelfde manier had gematigd, is natuurlijk de vraag. Maar deze Britse casu bieden een goed idee van de manier waarop AVG-boetes succesvol gematigd kunnen worden in een beroepsprocedure. De AP heeft niet zoals de ICO een officieel document gepubliceerd waarin zij hun handhaving in deze pandemie aanpast of toelicht. Wel gaven zij in maart aan organisaties meer tijd te bieden om te reageren op vragen van de AP en geven zij “initiatieven om de volksgezondheid te beschermen ruim baan”.

Naomi van der Louw

Legal counsel

Ook interessant

Lees meer
AVG |

Privacykoepel deelt richtlijnen voor ‘consent or pay’ model voor grote online platformen

Meta introduceerde eind vorig jaar de nieuwe ‘consent or pay’ banner. Naar aanleiding van deze wijziging komt de koepel van Europese privacytoezichthouders onder leiding van de Nederlandse Autoriteit Persoonsgegevens (AP)…
Lees meer
AVG |

Europees Hof: IAB Europe aansprakelijk voor TCF-cookiebanners

De hoogste Europese rechter oordeelde recentelijk dat IAB Europe verwerkingsverantwoordelijke is bij de inzet van het Transparency and Consent Framework. Daarmee lijkt IAB niet onder de boete uit te kunnen…
Lees meer
AVG |

Verbod gepersonaliseerd adverteren voor Facebook en Instagram: wat is de impact?

De koepel van Europese privacytoezichthouders (EDPB) eist een dringend verbod voor het verwerken van persoonsgegevens door Meta voor advertentiedoeleinden. Het huidige systeem van gepersonaliseerde advertenties voor Facebook en Instagram is…