AP legt Transavia boete op van 400.000 euro na datalek door slechte beveiliging

Transavia heeft van de Autoriteit Persoonsgegevens een boete van 400.000 euro gekregen vanwege de slechte beveiliging van persoonsgegevens. Een hacker wist door die slechte beveiliging in 2019 gegevens van zo'n 83.000 personen te kopiëren.

De Autoriteit Persoonsgegevens zegt dat de beveiliging van Transavia op drie punten niet op orde was. Zo was het wachtwoord makkelijk te raden, 'in de trant van 123456, welkom en wachtwoord'. De aanvaller wist daardoor toegang te krijgen tot twee accounts, die allebei met hetzelfde, zwakke wachtwoord waren beveiligd. Om toegang te krijgen tot die accounts gebruikte de aanvaller password spray en credential stuffing.

Verder gebruikte Transavia geen meerfactorauthenticatie en was de toegang van de twee accounts niet beperkt tot alleen noodzakelijke systemen. Met de wachtwoorden kreeg de aanvaller onder meer toegang tot Transavia's Citrix-, HR- en Active Directory-systemen.

De eerste inlog vond op 12 september plaats; op 21 oktober kwam Transavia achter de aanval. De aanvaller heeft verschillende bestanden kunnen inzien, verwijderen en kopiëren. Zowel passagiersgegevens als leveranciers- en (potentiële) werknemersgegevens zijn gekopieerd. Het zou om ongeveer tachtigduizend passagiers gaan, drieduizend medewerkers en tweehonderd leveranciers.

Bij de passagiers zou het om voor- en achternaam, geboortedatum, vluchtinformatie en SSR-code gaan. Die SSR-code is een Special Service Request-code waarmee een luchtvaartmaatschappij bijvoorbeeld aangeeft dat iemand in een rolstoel zit of blind is en daardoor extra begeleiding nodig kan hebben. Bij de gegevens zaten minimaal 367 SSR-codes. Van een passagier zijn adres en telefoonnummer ook gestolen. Ook van werknemers en leveranciers zijn namen, adressen en telefoonnummers gestolen. Tot slot zijn er tien cv's gekopieerd. Deze gekopieerde gegevens zijn in januari 2015 door Transavia verzameld en stonden in een mailbox van een beheerd apparaat van een werknemer.

Naast de documenten die sowieso zijn gekopieerd, had de aanvaller ook toegang tot de gegevens van vijfentwintig miljoen passagiers en drieduizend werknemers. Hierbij gaat het om namen, geboortedata, geslacht, e-mailadres en vluchtgegevens. Bij werknemers waren deze persoonsgegevens eveneens zichtbaar, evenals bsn. Negentig procent van de consumentengegevens komt 'waarschijnlijk' van Nederlandse klanten, gebaseerd op de point of sale.

Of de aanvaller de gegevens van die 25 miljoen mensen daadwerkelijk heeft ingezien, is niet duidelijk. Volgens de Autoriteit Persoonsgegevens zijn er logbestanden verwijderd door de aanvaller en is het bewijs bij sommige systemen daardoor beperkter.

De aanvaller gebruikte bij zijn inbraak 'generieke accounts' die bij Transavia door meerdere personen gebruikt worden. Transavia's werknemers hebben ook eigen gebruikersaccounts, die van individuele medewerkers zijn. Deze gebruikersaccounts hadden bij Transavia de focus; hier werd meer gelet op de sterkte van wachtwoorden en werd meerfactorauthenticatie uitgerold. Transavia dacht dat omdat er meer gebruikersaccounts waren, hier ook het hoogste risico lag en focuste zich daarom op deze accounts.

Na de aanval liet Transavia onderzoek uitvoeren door een extern bedrijf en zijn er verschillende maatregelen getroffen. Tweefactorauthenticatie is voor alle eindgebruikers en apparaten ingevoerd, ook zijn alle wachtwoorden van zowel de gebruikersaccounts als de generieke accounts gereset en zijn wachtwoordvereisten 'technisch doorgevoerd'. De luchtvaartmaatschappij heeft daarnaast haar netwerk opgedeeld in meerdere segmenten, zodat een aanvaller minder toegang heeft bij een eventuele volgende aanval.

Transavia gaat niet in bezwaar tegen de boete van 400.000 euro. De luchtvaartmaatschappij meldde de aanval publiekelijk in februari vorig jaar.

Door Hayte Hugo

Redacteur

Feedback • 12-11-2021 07:53
48 • submitter: Miyamoto

12-11-2021 • 07:53

48

Submitter: Miyamoto

Lees meer

Privacytoezichthouders willen meer geld

2 sep 2021

Privacytoezichthouders willen meer geld

Europese waakhonden en hun budgetten

13
'Serieuze zaken vergen serieuze boetes'

27 mei 2021

'Serieuze zaken vergen serieuze boetes'

Interview met Aleid Wolfsen over de AVG

96
Nederlandse AVG-boetes zijn hoog

13 mei 2021

Nederlandse AVG-boetes zijn hoog

AP straft niet veel, maar bovengemiddeld hard

83
Waterschap Drents Overijsselse Delta had portaal met bsn's op openbaar staan
Waterschap Drents Overijsselse Delta had portaal met bsn's op openbaar staan Nieuws van 24 mei 2024
Citrix waarschuwt voor kritieke kwetsbaarheid in NetScaler ADC en Gateway
Citrix waarschuwt voor kritieke kwetsbaarheid in NetScaler ADC en Gateway Nieuws van 19 juli 2023
Man krijgt taakstraf van 50 uur voor hackpogingen op Tweakers-accounts in 2018
Man krijgt taakstraf van 50 uur voor hackpogingen op Tweakers-accounts in 2018 Nieuws van 1 augustus 2022
Inbrekers stelen in Brussel computer met data van gevaccineerden
Inbrekers stelen in Brussel computer met data van gevaccineerden Nieuws van 27 december 2021
Datalek maakte gegevens van honderdduizenden Amigos-leden toegankelijk
Datalek maakte gegevens van honderdduizenden Amigos-leden toegankelijk Nieuws van 23 december 2021
SP ijvert voor meldingsplicht voor slachtoffers van ransomware-aanvallen
SP ijvert voor meldingsplicht voor slachtoffers van ransomware-aanvallen Nieuws van 9 december 2021
Autoriteit Persoonsgegevens waarschuwt voor uitbreiding van register studentdata
Autoriteit Persoonsgegevens waarschuwt voor uitbreiding van register studentdata Nieuws van 23 november 2021
Nederlandse Justitie meldde in 2020 139 datalekken aan de AP
Nederlandse Justitie meldde in 2020 139 datalekken aan de AP Nieuws van 18 november 2021
Hacker brak in 2016 in bij Booking.com via slecht beveiligde server
Hacker brak in 2016 in bij Booking.com via slecht beveiligde server Nieuws van 11 november 2021
Iers rapport: slechts 2 procent van GDPR-zaken tegen Big Tech is afgerond
Iers rapport: slechts 2 procent van GDPR-zaken tegen Big Tech is afgerond Nieuws van 13 september 2021
WhatsApp krijgt Ierse boete van 225 miljoen euro voor overtreden van AVG
WhatsApp krijgt Ierse boete van 225 miljoen euro voor overtreden van AVG Nieuws van 2 september 2021
Amazon krijgt GDPR-boete van 746 miljoen euro
Amazon krijgt GDPR-boete van 746 miljoen euro Nieuws van 30 juli 2021
TikTok krijgt AVG-boete van 750.000 euro voor Engelstalige privacyverklaring
TikTok krijgt AVG-boete van 750.000 euro voor Engelstalige privacyverklaring Nieuws van 22 juli 2021
UWV krijgt 450.000 euro AVG- en Wbp-boete voor slechte beveiliging en datalekken
UWV krijgt 450.000 euro AVG- en Wbp-boete voor slechte beveiliging en datalekken Nieuws van 7 juli 2021
AP geeft AVG-boete van 15.000 euro aan bedrijf dat ziektes registreerde
AP geeft AVG-boete van 15.000 euro aan bedrijf dat ziektes registreerde Nieuws van 19 mei 2021
Namen en geboortedatums 80.000 Transavia-klanten uitgelekt na mailboxinbraak
Namen en geboortedatums 80.000 Transavia-klanten uitgelekt na mailboxinbraak Nieuws van 24 februari 2020
Meer producten en artikelen
Beveiliging en antivirus Autoriteit Persoonsgegevens Boete Datalek Luchtvaart Nederland Vliegticket Vliegtuig Wachtwoord

Reacties (48)

-Moderatie-faq
48
48
29
2
0
13
Wijzig sortering
TimmiX 12 november 2021 09:55
En hoe hoog is de boete voor de hacker? Blijf het enigszins de omgekeerde wereld vinden dat het slachtoffer (naast uiteraard de personen van die gegevens zijn opgehaald) een boete krijgen. Ze zouden dat geld beter kunnen besteden in het verbeteren van de beveiliging van hun IT en worden eigenlijk dubbel gestraft, ookal is nalatigheid in sommige gevallen zoals een heel simpel wachtwoord natuurlijk niet goed. En uiteindelijk is de klant/eindgebruiker de dupe omdat de gemaakte kosten toch ergens moeten worden verhaald.

Beetje alsof er bij je thuis wordt ingebroken en in plaats van dat je hulp krijgt, je er nog een boete overheen krijgt omdat je bijvoorbeeld een verouderd slot in je voordeur hebt of er een raam op een kier stond. Het is een soort van victim blaming. In plaats van straffen, help ze op weg hun systemen te verbeteren en daarmee de kans op herhaling weg te nemen. Uiteindelijk zou de veiligheid van persoonsgegevens op #1 moeten staan. Het gaat niet om geld.

Daarnaast moet de aanval op hackers echt veel verder worden opgeschroeft. Daar zit het echte probleem. Net zoals dat de dader het probleem is bij een moord, niet het wapen. Net zoals de bestuurder het probleem is bij een verkeersongeval, niet de auto. Keihard aanpakken dit soort mensen

Edit: klein aanvulling

[Reactie gewijzigd door TimmiX op 22 juli 2024 19:17]

kodak
@TimmiX12 november 2021 12:25
Dat de crimineel die inbreekt nog geen straf heeft en het bedrijf wel wil niet zeggen dat het een omgekeerde situatie is. Het bedrijf wat je slachtoffer noemt was namelijk zelf ook onwettig bezig en hebben daardoor slachtoffers gemaakt. Daar gaat die boet om, niet om slachtoffer bestraffen.
Bedenk daarbij ook waarom het bedrijf hier last had. Wel persoonsgegevens van klanten en personeel willen verwerken om daar zelf winst mee te maken, maar weinig aantrekken van de wettelijke verplichting en rechten van de klanten en medewerkers om die gegevens met dat geld goed te beschermen.
De slachtoffers zijn de klanten en medewerkers die afhankelijk zijn van het bedrijf, daar zelfs voor betalen, en ondertussen ook nog eens gedupeerd zijn dat hun gegevens toegankelijk en gelekt zijn. Niet het bedrijf dat winst belangrijker vond dan dat geld besteden aan beveiliging en beschermen van klanten en personeel.
Blokker_1999
@TimmiX12 november 2021 11:06
Wanneer er bij je thuis ingebroken wordt, dan is het puur privaat bezit dat gestolen kan worden. Dat is hier niet het geval. Je neemt als bedrijf gevoelige informatie aan van mensen en je hebt een wettelijke plicht die op een bepaalde manier goed te beschermen zodat deze niet misbruikt kan worden en zodat deze niet in de verkeerde handen kan vallen.

Transavia heeft nagelaten deze data op een goede manier te beveiligen en volgde niet eens de eigen interne diensten die hierop moesten toezien. Daarom dat zij nu een boete krijgen. Hoe wil je anders ooit bedrijven ertoe bewegen om voldoende maatregelen te nemen om de data te beschermen als je ze niet kunt straffen wanneer ze dat niet doen?
TimmiX @Blokker_199912 november 2021 14:59
Motiveren in plaats van (dreigen met) straffen zou een mogelijkheid kunnen zijn.

Elke euro boete die nu betaald moet worden kan niet meer gebruikt worden voor de verbetering van de beveiliging. En zeker aangezien het geld niet naar de echte slachtoffers gaat, en daarnaast de echte dader (de hacker) vrijuit gaat, is er dubbel (financieel) leedt. Kosten die verhaald gaan worden op de klanten, terwijl ook zij hier niets aan kunnen doen. De verkeerde mensen worden de dupe met deze manier van straffen.

De overheid zou bedrijven moeten motiveren, onderwijzen en inspireren om fouten te voorkomen. Niet dreigen en boetes sturen wanneer het onverhoopt mis gaat. Wie is daar nou bij gebaadt, het geld komt niet eens bij de juiste personen terecht..

Neemt niet weg dat Transavia hier natuurlijk een grove fout heeft gemaakt. De fout kan echter helaas niet meer hersteld worden. Hieruit les trekken en alles op alles zetten om dit te voorkomen lijkt met prioriteit nummer één. Een geldboete of welke andere straf dan ook maken dat alleen maar moeilijker en voegt helemaal niets toe.

Een andere manier zou kunnen zijn om de topmensen van bedrijven aansprakelijk te stellen. Wanneer hun naam op het spel staat nemen ze het wellicht meer serieus dan nu het geval is. Ik denk dat veel topfunctionarissen IT/beveiliging vooral als een kostenpost zien zonder dat ze er echt een gevoel bij hebben. Dat moet (door het hele bedrijf heen) veel meer lading krijgen.
Felyrion @TimmiX12 november 2021 15:31
De boete moet natuurlijk ook afschrikkend werken voor andere bedrijven die het (nog) niet zo nauw nemen. Als het risico op zware boetes bestaat zal het toch wat meer aandacht krijgen dan als men denkt "ach, als het mis gaat krijgen we een tik over de vingers, en dan gaan we het dan wel verbeteren".
Darkstriker @TimmiX12 november 2021 23:53
Zo, bedrijven inspireren? Het zijn geen mensen he? Er werken mensen maar het is echt niet alsof je bedrijven kan inspireren.
Neemt niet weg dat Transavia hier natuurlijk een grove fout heeft gemaakt. De fout kan echter helaas niet meer hersteld worden. Hieruit les trekken en alles op alles zetten om dit te voorkomen lijkt met prioriteit nummer één. Een geldboete of welke andere straf dan ook maken dat alleen maar moeilijker en voegt helemaal niets toe.
Ik heb echt in tijden niet meer iets zo naiefs gelezen. Als die geldboete er niet was, dan zou Transavia echt helemaal niks doen om dit in de toekomst te voorkomen. De financiele schade die zij hierdoor hebben (buiten de boete dan) is minimaal. Privepersonen kunnen alleen aantoonbare directe financiele schade op Transavia verhalen (geen rechter die je een schadevergoeding voor de schending van je privacy gaat geven in NL), wat nagenoeg onmogelijk te bewijzen is.

En die boete is eigenlijk schandalig laag gezien de omvang van het lek. Tijd dat we een minimumboete installen. Maak een paar categorieen van gegeventypes en zet er een prijs op. Dat is motivatie voor een bedrijf. Er moet legitiem risico zijn dat je als het niet goed op orde hebt je bedrijf enorme schade lijdt of zelfs failliet gaat.

En even serieus: Transavia kan die boete alleen doorgeven als ze geen concurrentie hebben. Dat is niet aan de orde dus het gros van deze boete wordt gewoon door de aandeelhouder opgevangen. En terecht ook want zij zijn ook degenen die ervan profiteren dat het bedrijf bespaart op fatsoenlijke IT beveiliging. Het is echt niet alsof zij de tickets goedkoper maken omdat ze een paar euros besparen op een IT-expert. Zeker niet.
TimmiX @Darkstriker13 november 2021 00:26
Zo, bedrijven inspireren? Het zijn geen mensen he? Er werken mensen maar het is echt niet alsof je bedrijven kan inspireren.
Natuurlijk zijn bedrijven uiteindelijk wel de mensen die er werken.. Ja, die mensen zijn vervangbaar en het bedrijf zou zonder een individu ook wel doorgaan, maar geen enkel bedrijf kan zonder mensen. Mensen maken wat een bedrijf is; en dus kan de mensen inspireren wel degelijk werken om een bedrijf beter te maken.
Ik heb echt in tijden niet meer iets zo naiefs gelezen. Als die geldboete er niet was, dan zou Transavia echt helemaal niks doen om dit in de toekomst te voorkomen. De financiele schade die zij hierdoor hebben (buiten de boete dan) is minimaal. Privepersonen kunnen alleen aantoonbare directe financiele schade op Transavia verhalen (geen rechter die je een schadevergoeding voor de schending van je privacy gaat geven in NL), wat nagenoeg onmogelijk te bewijzen is.
Je kunt het zien als naief, daar ben ik het mee eens. Maar ik denk oprecht dat het een betere insteek om te proberen te voorkomen door kennisdeling van tevoren in plaats van uitgaan van de consequenties wanneer er iets mis gaat.. Het is voor iedereen beter om dit soort situaties te voorkomen; dus daarom inzetten op preventie in plaats van damage control. Het huidige systeem werkt overduidelijk niet, want je hoort geregeld vergelijkbare hacks bij grote bedrijven, instellingen en universiteiten. Het gaat pas spelen zodra het je persoonlijk/zakelijk raakt en tot dat moment is het iets waar je wel eens wat van in het nieuws hoort maar 'jou toch niet overkomt'. Tot het te laat is..
En die boete is eigenlijk schandalig laag gezien de omvang van het lek. Tijd dat we een minimumboete installen. Maak een paar categorieen van gegeventypes en zet er een prijs op. Dat is motivatie voor een bedrijf. Er moet legitiem risico zijn dat je als het niet goed op orde hebt je bedrijf enorme schade lijdt of zelfs failliet gaat.
Stel we zetten die geldboete op een random 10 miljoen euro... En het lokale ziekenhuis wordt gehackt. En dan?
Ben je oprecht overtuigt dat angst en dreigen de beste raadgevers zijn? Of dat absurde bedragen die helemaal niets bijdragen aan het voorkomen of oplossen van het probleem? Ik denk daar echt compleet anders over.
En even serieus: Transavia kan die boete alleen doorgeven als ze geen concurrentie hebben. Dat is niet aan de orde dus het gros van deze boete wordt gewoon door de aandeelhouder opgevangen. En terecht ook want zij zijn ook degenen die ervan profiteren dat het bedrijf bespaart op fatsoenlijke IT beveiliging. Het is echt niet alsof zij de tickets goedkoper maken omdat ze een paar euros besparen op een IT-expert. Zeker niet.
Dus eigenlijk zijn we het toch wel deels eens? Inderdaad de verantwoording leggen bij de topfunctionarissen en aandeelhouders en het hen direct aansprakelijk maken. Dat lijkt me inderdaad de beste manier.

Ticketprijzen staan uiteraard niet één-op-één in balans met de uitgaven, maar als er ineens een forse, onvoorziene (kuch) kostenpost bijkomt terwijl er geen budgetten meer overzijn op de begroting zijn er drie opties. Ergens anders bezuinigen, winstuitkering beperking (of verlies accepteren), of meer winst proberen te maken door de prijzen/marges op te schroeven. In de praktijk zal het wellicht een combinatie van de drie zijn, maar ik ben bang dat het uiteindelijk wel in de ticketprijzen te merken zal zijn, ookal is het minimaal. Het blijft natuurlijk, zoals jij in het begin zei, wel een bedrijf dat gewoon winst wil/moet maken.
Darkstriker @TimmiX13 november 2021 10:00
Ticketprijzen staan uiteraard niet één-op-één in balans met de uitgaven, maar als er ineens een forse, onvoorziene (kuch) kostenpost bijkomt terwijl er geen budgetten meer overzijn op de begroting zijn er drie opties. Ergens anders bezuinigen, winstuitkering beperking (of verlies accepteren), of meer winst proberen te maken door de prijzen/marges op te schroeven. In de praktijk zal het wellicht een combinatie van de drie zijn, maar ik ben bang dat het uiteindelijk wel in de ticketprijzen te merken zal zijn, ookal is het minimaal. Het blijft natuurlijk, zoals jij in het begin zei, wel een bedrijf dat gewoon winst wil/moet maken.
Het hangt er, zoals ik zei, altijd sterk vanaf hoe de markt in elkaar steekt waar het bedrijf in zit. Als je TSMC of ASML (of welke andere quasi-monopolist dan ook) een boete geeft zal dat deels doorberekend worden in de prijs. Maar Transavia concurreert met de twee succesvolste airlines uit de geschiedenis (Ryanair en easyjet) en als zij noemenswaardig aan de prijsschroef draaien zijn ze gauw failliet. Maar er is altijd wel iemand anders te bedenken die iets betaalt. Als Transavia iets betaalt en dat doorgeeft aan hun klanten, die zien inflatie en geven dat door aan hun werkgever in CAO onderhandelingen en die geven dat weer door aan hun klanten. Dat is altijd zo natuurlijk. Geld stroomt nou eenmaal rond in een economie. Het is helemaal geen reden om bedrijven niet te beboeten.
Je kunt het zien als naief, daar ben ik het mee eens. Maar ik denk oprecht dat het een betere insteek om te proberen te voorkomen door kennisdeling van tevoren in plaats van uitgaan van de consequenties wanneer er iets mis gaat.. Het is voor iedereen beter om dit soort situaties te voorkomen; dus daarom inzetten op preventie in plaats van damage control. Het huidige systeem werkt overduidelijk niet, want je hoort geregeld vergelijkbare hacks bij grote bedrijven, instellingen en universiteiten. Het gaat pas spelen zodra het je persoonlijk/zakelijk raakt en tot dat moment is het iets waar je wel eens wat van in het nieuws hoort maar 'jou toch niet overkomt'. Tot het te laat is..
Natuurlijk is het beter om dit te voorkomen. Maar de boetes voorkomen het juist in de meeste gevallen. Bedrijven als Transavia die zich de wet aan hun laarzen lappen zijn de uitzondering omdat er boetes zijn, niet ondanks dat er boetes zijn. Bedrijven van dat formaat maken voor praktisch alles kosten-baten-analyses. Potentiele boetes vloeien in die berekening en als de boetes hoog genoeg zijn (daar twijfel ik hier aan maar toch) dan maakt het het verzorgen van goede beveiliging financieel aantrekkelijk voor een bedrijf. Het is niet alsof de overheid hierover niet voorlicht. Maar als een hack geen economische schade veroorzaakt (zoals dat zonder boete vaak het geval is) dan is alle voorlichting tevergeefs. Zeker bij beursgenoteerde bedrijven.

Het probleem is fundamenteel aan de markteconomie waar wij in zitten: Als je het vrijwillig en zonder risicos laat, dan gaat een bedrijf in de branche het niet zo nauw nemen met (in dit geval) IT-beveiliging en bespaart daardoor een paar procent op zijn totale operatie. Doordat hun kosten lager zijn kunnen ze hun producten goedkoper aanbieden en is iedere andere aanbieder gedwongen of hetzelfde te doen of een lager rendement voor zijn aandeelhouders voor lief te nemen. Dat laatste wederom zorgt ervoor dat aandeelhouders het bestuur vervangen omdat ze meer winst willen zien en dat gebeurt tot er iemand komt die bereid is om die besparing door te voeren.

Dat is net als met klimaatverandering. Er wordt al decennia tegen bedrijven gezegd: vergroen nou eens. Maar die bedrijven moeten overleven in een concurrentiestrijd en als zij vergroenen maar hun concurrenten niet, dan gaan ze failliet. Als jij goed beveiligt en je concurrent niet en hij daardoor geld bespaart, dan heb jij een nadeel in die concurrentie. Boetes en CO2 prijzen trekken dat (gedeeltelijk) recht zodat je er niet (zo veel) van kan profiteren dat je slecht beveiligt om massaal vervuilt.

En net als met minder co2-uitstoot of diervriendelijke productie zeggen mensen wel altijd dat ze bereid zijn er meer voor te betalen dat hun privacy gewaarborgd wordt, maar als ze aan de kassa staan, kiezen ze massaal gewoon het goedkopere product.

En je zit op tweakers: je weet hopelijk dat het volledig voorkomen van hacks een volstrekte uitopie is en jij zit nu op je congnitieve bias te redeneren dat het heel vaak gebeurt en verbindt dan zonder enig bewijs de conclusie eraan dat het boetebeleid heeft gefaald. Maar al was het een enorm probleem, dan nog zou je eenvoudig kunnen redeneren dat het beleid heeft gefaald omdat de boetes te laag zijn. 400k voor een ernstig verwijtbare hack van gegevens van 25 miljoen mensen is echt een lachtertje. Zou me niks verbazen als Transavia ook in de toekomst zijn beveiliging niet op orde heeft.
Stel we zetten die geldboete op een random 10 miljoen euro... En het lokale ziekenhuis wordt gehackt. En dan?
Ben je oprecht overtuigt dat angst en dreigen de beste raadgevers zijn? Of dat absurde bedragen die helemaal niets bijdragen aan het voorkomen of oplossen van het probleem? Ik denk daar echt compleet anders over.
Zeker in dit geval had het wel een verschil gemaakt. Je moet zo'n boete natuurlijk aanpassen op hoe ernstig verwijtbaar het handelen van het bedrijf was. In dit geval is dat sterk het geval en moet de boete dus eigenlijk hoger uitvallen.

Ziekenhuizen daarentegen doen (mede door deze bestaande boetes) keihard hun best om dit te voorkomen (ook omdat er in die sector minder marktwerking is doordat burgers niet zelf betalen voor de zorg waardoor reputatieschade daar ineens wel zwaar meeweegt). Ze kunnen alsnog gehackt worden (perfecte veiligheid bestaat immers niet) maar dan mag de boete ook gewoon veel lager uitvallen.
Dus eigenlijk zijn we het toch wel deels eens? Inderdaad de verantwoording leggen bij de topfunctionarissen en aandeelhouders en het hen direct aansprakelijk maken. Dat lijkt me inderdaad de beste manier.
Dat is een ander fundamenteel probleem in onze vorm van kapitalisme: aandeelhouders (dus de mensen die uiteindelijk van besparingen profiteren) kun je nergens voor verantwoordelijk maken of aansprakelijk houden. Het zou de gouden oplossing zijn maar het is gewoon niet mogelijk. Niet op de laatste plaats omdat je dan bij elke boete die je moet opleggen tienduizenden aandeelhouders moet vinden en na rato beboeten en omdat er ook bedrijven zijn bij die aandeelhouders helemaal niet eenvoudig (of uberhaupt) te achterhalen zijn. Ook dit is een utopie. Er is geen land in de wereld dat in enige vorm aandeelhouders ter verantwoording roept.
BytePhantomX 12 november 2021 08:09
Als ik het rapport lees dan haal ik er vooral uit dat de AP een boete oplegt omdat Transavia niet voldeed aan haar eigen informatiebeveiligingsbeleid. Wat tevens ook door interne controle van Transavia zelf al duidelijk was.

Geeft wel stof tot nadenken hoe ver je wil gaan met je IB-beleid en hoe streng je dat wil maken.
The Zep Man
@BytePhantomX12 november 2021 08:26
Geeft wel stof tot nadenken hoe ver je wil gaan met je IB-beleid en hoe streng je dat wil maken.
Als je informatiebeveiligingsbeleid niet streng genoeg is en je wordt gehackt, dan kan je daarom bestempeld worden als nalatig en alsnog een boete ontvangen.

Overigens is 400.000 EUR van een dochterbedrijf van Air France-KLM (die met subsidies overeind wordt gehouden) een peulenschil om te betalen.
player-x @The Zep Man12 november 2021 09:32
Ik vind €400.000 (+ naam schade) best wel veel geld dat je heel makkelijk had kunnen besparen door een paar YubiKey's van €55 te kopen, en als je zuinig wil zijn, ze zijn zelf te koop vanaf €25, altijd nog vele malen beter dan zelf bedachte paswoorden

Heb zelf 2x die van €25 (prima voor thuis), en die werkt prima met LastPass.
Oeroeg @player-x12 november 2021 10:04
Was het maar zo eenvoudig.

Wat denk je dat het beheer ervan kost? Het aanpassen van software om dit te ondersteunen?
player-x @Oeroeg12 november 2021 10:26
Iig een stuk minder dan de €400.000 boete, daarnaast is het gewoon "best practice" om een goede credentials server te hebben bij zo een groot bedrijf, YubiKey is in dat geval meestal een redelijk 'eenvoudige' setup voor een bekwame admin.
Blokker_1999
@player-x12 november 2021 10:56
totdat je bedenkt dat er bij Transavia 2600 mensen werken * 55 euro voor ene yubikey en je zit al aan 143 000 euro. OK, je moet de BTW niet meetellen want die kunnen ze recuperen en er zal wel wat korting te bedingen zijn, maar je hebt al 100k gespendeerd en je hebt daarmee alleen nog maar die keys verdeeld. Er is nog niets gebeurd om er gebruik van te maken, je persoon te trainen, je procedures aan te passen, ... .

Leuk dat je afkomt met simpele dingen, best practice en dat het allemaal wel meevalt, totdat je het begint op te trekken naar een grote schaal.
player-x @Blokker_199912 november 2021 11:04
Wie zegt dat iedereen zo een key moet hebben, het gaat alleen om de Admin's en personeel die toegang moeten hebben tot kritieke data, dan ga je terug van 2600 naar waarschijnlijk rond de 100.
Left @player-x12 november 2021 12:40
Die €400.000 boete + imagoschade zal wel een stuk groter zijn dat de kosten die ze bespaard hebben. Maar je vergeet een ding: het was geen 100% zekerheid dat Transavia gehackt zou gaan worden en de slechte beveiliging aan het licht zou komen.

Die 400.000 zou best een calculated risk geweest kunnen zijn. Dit doen bedrijven voortdurend. Als vluchtmaatschappij wil je bv ook niet tot in het oneindige doorgaan met risico's op crashes minimaliseren: je houdt altijd een risico op een crash over, maar als het risico maar klein genoeg is dan is het te verantwoorden om niet nog meer veiligheidschecks in te voeren.
TheVivaldi @Oeroeg12 november 2021 12:20
Dat is inderdaad niet gratis, maar een stuk goedkoper dan €400.000 + imagoschade.
Marve79 @player-x12 november 2021 10:34
Ja ach, weet je wat het is. Ryanair is ook al zo vaak slecht in het nieuws geweest maar als ik een ticket boek en zij zijn het goedkoopst dan boek ik toch wel en dat geldt voor vrijwel iedereen.

Net als Transavia goedkoop is naar heel wat populaire zonbestemmingen. Mensen gaan echt niet meer betalen bij een andere maatschappij vanwege een datalek.

Net als die zgn groenere vluchten op Skyscanner, of 'covid safety score'. Kijkt iemand daar ook naar? Ja als die het goedkoopst zijn.

4 ton is niet zoveel voor zo'n bedrijf. Dat is een jaarsalaris van 8 medewerkers wat 2600 werknemers heeft. En met die naamschade zal het dus ook wel meevallen.

[Reactie gewijzigd door Marve79 op 22 juli 2024 19:17]

player-x @Marve7912 november 2021 10:42
De naam schade stond daarom ook tussen haakjes, maar de kans is dat een groot deel van de 83.000 mensen van wie de gegevens gestolen zijn, niet opnieuw boeken is toch redelijk.

Zech niet dat de naamschade de grootste post was, maar zeker ook weer niet helemaal verwaarloosbaar.
Marve79 @player-x12 november 2021 10:45
En dat geloof ik dus niet. Hun gegevens zijn toch al gelekt nu. Als ze 200 euro kunnen besparen door weer met Transavia te vliegen zal 99.9% dat gewoon doen. Enkel degene met geld teveel niet maar die vliegen toch niet met Transavia.
player-x @Marve7912 november 2021 10:57
1. Meestal is verschil enkele euro's tot hooguit enkele 10-tallen euro's. (uit ervaring, vlieg privé ongeveer +/- 5x per jaar, heb familie in Noorwegen)
2. Mijn ouders of zus bv zouden denk ik niet weer boeken, ik daar in tegen wel, juist omdat er een hack is geweest, wordt er de eerste tijd juist extra opgelet, en zijn veel bedrijven na een hack juist veiliger.

Maar je hebt gelijk als het €200 scheelt zullen 99.9% weer Transavia kiezen, maar als het onder de €30 scheelt zullen zeker van die groep een groot deel twee keer nadenken voor ze weer boeken.
The Zep Man
@player-x12 november 2021 11:06
1. Meestal is verschil enkele euro's tot hooguit enkele 10-tallen euro's. (uit ervaring, vlieg privé ongeveer +/- 5x per jaar, heb familie in Noorwegen)
In het geval van een paar tientjes gaan andere zaken eerder meespelen. Denk aan vlieglocaties- en tijden.
player-x @The Zep Man12 november 2021 11:08
En je privégegevens. ;)
The Zep Man
@player-x12 november 2021 11:31
Bij jou wel, maar niet bij alledaagse vliegers. Zeker als er geen alternatief is (en dat is er vaak niet, omdat er sinds COVID-19 veel vaste vluchten zijn geschrapt), dan kies je wat je brengt van waar je bent naar een plek waar je heen wilt op een tijdstip dat uitkomt, voor een bedrag dat betaalbaar is.

Je kan wel koppig je gegevens aan een andere maatschappij geven (dus geen Air France, geen KLM...), maar ook daar kunnen je gegevens in de toekomst lekken.

[Reactie gewijzigd door The Zep Man op 22 juli 2024 19:17]

Arjan P @The Zep Man12 november 2021 15:09
Bij jou wel, maar niet bij alledaagse vliegers. Zeker als er geen alternatief is (en dat is er vaak niet, omdat er sinds COVID-19 veel vaste vluchten zijn geschrapt), dan kies je wat je brengt van waar je bent naar een plek waar je heen wilt op een tijdstip dat uitkomt, voor een bedrag dat betaalbaar is.
Wat veel mensen echter vergeten of niet opvalt, is dat de budget airlines naar plekken vliegen waar je meestal NIET wil zijn, op een tijdstip waarop alleen dieven actief zijn, en het bedrag daardoor uiteindelijk even hoog wordt als de reguliere airline. Voorbeeld: Brussel Zuid. Weleens van gehoord? Vast wel, maar dan onder de naam Charleroi - ongeveer 60 km ten zuiden van Brussel... En dan moet je nog hopen dat de vlucht non-stop is.
Skamba @player-x12 november 2021 11:19
De kosten zitten echt niet in de hardware. Een soft-token van microsoft (of andere) zou ook al 2FA kunnen zijn. De grote uitdaging is om alle applicaties ofwel 2FA enabled krijgen, of op SSO (bijv via AD) te krijgen.

Desalniettemin slordig van Transavia; zeker als hun internal audit deze bevindingen ook al had neergelegd.
dotnoting @The Zep Man12 november 2021 09:13
Maar misschien handiger die 4 ton in ib te investeren
ELD @dotnoting12 november 2021 10:31
Daar heb je ongeveer 3 medior consultants voor, kom je niet echt ver mee.
Arjan P @The Zep Man12 november 2021 15:13
Overigens is 400.000 EUR van een dochterbedrijf van Air France-KLM (die met subsidies overeind wordt gehouden) een peulenschil om te betalen.
Afgezien van het feit dat AF-KL leningen heeft ontvangen en geen subsidie (behalve de NOW die half ondernemend Nederland heeft ontvangen) is dit altijd het argument van niet-ondernemers: Je kan het makkelijk betalen dus doet het geen pijn. Natuurlijk niet, elke euro die niet naar bedrijfskas of aandeelhouders gaat is er eén te veel.
Rasael @BytePhantomX12 november 2021 08:45
Het IB beleid is gewoon gebaseerd op de juridische normen. De afwezigheid van een (serieus) IB beleid ontheft je niet van goede informatiebeveiliging. `Goede` beveiliging is een plicht, in de EU. Waarbij het gaat om een glijdende schaal gebaseerd op de huidige stand van de techniek en de huidige best practices etc..

Als bij een bedrijf een (serieus) IB beleid ontbreekt dan kun je formeel al stellen dat ze hun beveiliging niet op orde hebben. En als er dan een datalek ontstaat, is dat verwijtbaarder dan wanneer er wel serieus IB beleid is.
J_van_Ekris @BytePhantomX12 november 2021 08:46
Geeft wel stof tot nadenken hoe ver je wil gaan met je IB-beleid en hoe streng je dat wil maken.
Ik denk dat je het moet lezen als "het beleid was passend bij de verwerking van de gegevens, de implementatie echter niet en het management wist dat". Als het beleid minder streng was geweest, dan had men waarschijnlijk een boete opgelegd omdat de beveiliging niet passend was bij de aard van de gegevens.
n3z @BytePhantomX12 november 2021 09:10
Ik kom bij heel veel grote klanten voor het inrichten van wie toegang heeft tot wat en waarom en ik kan je zeggen dat het slecht is geregeld bij bijna allemaal.

- Mensen hebben teveel toegang. (opgebouwd door de jaren heen maar nooit afgenomen)
- Admins die af en toe privileged access nodig hebben maar er niet wordt gelogd wat ze precies doen. En ook geen controls zoals tijdgebonden access.
- Werknemers die teveel kunnen aanvragen terwijl het niets te maken heeft met hun rol.
- Toegang wordt niet periodiek gecertificeerd. Waarom heeft persoon A nog eigenlijk toegang hierop ondanks dat het high risk is?

Al deze oplossingen zorgen ervoor dat ALS er iemand heeft ingebroken, deze niet bij teveel data kan komen.

Mooi concept is zero trust:
https://www.paloaltonetwo...a-zero-trust-architecture

[Reactie gewijzigd door n3z op 22 juli 2024 19:17]

wiseger @BytePhantomX12 november 2021 11:19
Je wilt dat je beleid ook daadwerkelijk uitgevoerd wordt. Daar heb je audits voor. Als een audit onvoorkomelijkheden aan het licht brengen, wil je dat die moet spoed opgelost worden. En je wilt strenge controle op de oplossingen en oplostijden.
In dit geval is het bij een gegevenslek gebleven maar dit had net zo goed tot een gijzeling van alle IT systemen kunnen leiden.
Accretion 12 november 2021 08:17
Maar hoeveel schadevergoeding krijgen de gedupeerden?

Ik krijg sinds het lek bij de HAN allerlei spam (terwijl ik daar al jaren niet meer op school zit). Daarnaast vlieg ik voor het werk ook met Transavia (ik hoop dat ik niet perongeluk een keer mijn persoonlijke email/telefoon gegeven heb).

Maar zeker als er sprake is van nalatigheid, vindt ik het bijzonder dat zo'n partij weg kan komen met een "sorry" emailtje. Zeker aangezien de data dan onherroepelijk gelekt is.

Daarnaast is het een beetje 'mosterd na de maaltijd', ze zouden steekproefsgewijs bij elk bedrijf dat persoonsgegevens beheerd/opslaat de beveiliging moeten controleren, niet pas nadat er een lek geweest is.

[Reactie gewijzigd door Accretion op 22 juli 2024 19:17]

The Zep Man
@Accretion12 november 2021 08:28
Maar hoeveel schadevergoeding krijgen de gedupeerden?
Hoeveel schade (in euro) hebben gedupeerden?

Zelf zie ik liever dat er een nationaal fonds op wordt gezet voor slachtoffers van gegevensmisbruik. Bedrijven die bijdragen aan gegevensmisbruik mogen daar dan vervolgens in storten. Met het overschot van het geld uit het fonds (als dat overblijft) kan dan het AP weer gefinancierd worden.
Floort
@The Zep Man12 november 2021 08:52
De AP gaat hier in het boeterapport op in door uit te leggen dat schade niet financieel hoeft te zijn.
Tot slot merkt de AP op dat het recht van bescherming van persoonsgegevens van verschillende betrokkenen wel degelijk geschaad is, doordat bijvoorbeeld gezondheidsgegevens van passagiers en contactgegevens van werknemers in handen zijn gekomen van een kwaadwillende derde partij. Deze betrokkenen zijn verhinderd in het behouden van de regie van hun persoonsgegevens.
De rechten van betrokkenen zijn geschaad en dat hoeft geen materiële schade te zijn. Wat dat betekend voor een eventuele schadevergoeding is een andere vraag.
The Zep Man
@Floort12 november 2021 09:08
De rechten van betrokkenen zijn geschaad en dat hoeft geen materiële schade te zijn.
Dat lijkt mij duidelijk.
Wat dat betekend [sic] voor een eventuele schadevergoeding is een andere vraag.
In de praktijk vaak niets. In Nederland is er geen cultuur van aanklagen voor schade die niet te kwantificeren is.

[Reactie gewijzigd door The Zep Man op 22 juli 2024 19:17]

Floort
@The Zep Man12 november 2021 09:14
Ik zie deze discussie op twee momenten terugkomen: bij de bepaling van het risico van betrokkenen en bij schadevergoedingen. Er zijn nog veel mensen die de nadelige gevolgen voor de rechten van betrokkenen buiten beschouwing laten bij de bepaling of een inbreuk uberhaubt gemeld moet worden of bijvoorbeeld bij een risico-inschating in een DPIA. Schadevergoedingen zie ik her en der terugkomen in discussies maar vrijwel niet in de praktijk. Maar er liggen wat grote zaken bij de rechter dus misschien is er binnenkort meer nuttige jurisprudentie op komst.
GertMenkel
@Accretion12 november 2021 09:36
Mocht je je schade kunnen aantonen in een geldbedrag, dan mag je die partij daarvoor aansprakelijk houden in de rechtbank. Ik schat niet dat de rechter je meer dan een paar euro geeft voor het verwijderen van die spammailtjes, maar mocht je aantonen dat met de gegevens uit dit lek fraude op jouw naam is gepleegd en je daar persoonlijk schade door op hebt gelopen (credietscore etcetera) dan kun je voor een vergoeding aanklagen.

In de praktijk is de schade door een datalek minimaal en vooral immaterieel (en daarmee lastig te bewijzen) waardoor je weinig kans maakt op een vergoeding hoger dan de kosten om een rechtszaak te starten.

[Reactie gewijzigd door GertMenkel op 22 juli 2024 19:17]

R4gnax
@GertMenkel12 november 2021 13:11
Zie hier het grote probleem met de opzet van schadevergoeding binnen de AVG/GDPR: de bewijslast en de zwakkere positie van de getroffen consument t.o.v. de verwerker als het aankomt op het bereikbaar zijn van gegevens omtrent het lek. (Denk alleen al aan triviale zaken zoals exact welke gegevens er wanneer gelekt zijn, richting welke IP addressen; uit welke geografische hoek een dreiging evt. komt; etc.)

Die bewijslast moet gewoon omgedraaid worden.
Kun jij aantonen dat er een redelijk vermoeden bestaat dat jouw gegevens gelekt zijn; dan moet het aan de verwerker zijn om met bewijs te komen dat dat niet zo is. Kunnen ze dat niet, dan moet per definitie aangenomen worden dat er misbruik van gemaakt zal worden en moet je recht hebben op vergoeding van de zwaarste vorm van schade die voor kan komen, evt. af te zwakken als de verwerker aan kan tonen dat bepaalde gevoeligere gegevens met zekerheid niet gelekt zijn of dusdanig opgeslagen worden dat deze niet te misbruiken zijn. (Denk dan bijv. aan kopietjes identiteitsbewijs waar expliciet door de verwerker een watermerk op aangebracht wordt.)

Ik kan me niet indenken dat de GDPR - die op andere vlakken zo sterk in elkaar steekt, dit niet in beschouwing heeft gehad bij de originele vorming. Hoogstwaarschijnlijk is het er initieel gewoon niet in gekomen dankzij stevige lobby-kritiek vanuit de grote data-munchers binnen big-tech die hiermee een - naar hun idee, althans - te hoog financieel risico zouden dragen.

[Reactie gewijzigd door R4gnax op 22 juli 2024 19:17]

mjtdevries @R4gnax12 november 2021 15:19
Wat jij will is simpelweg onrealistisch.
Als je iedereen een vergoeding wil geven ter hoogte van de zwaarste vorm van schade die voor kan komen dan gaat ieder bedrijf onmiddellijk failiet.
Met als gevolg dat je alsnog niks krijgt.

En waarom? De bedoeling van de boetes van de AP is dat bedrijven van tevoren zorgen dat ze hun zaken goed voor elkaar hebben en anders dat ze achteraf als de wiedeweerga zorgen dat ze die voor elkaar gaan maken.

Voor de AVG hadden we vrijwel dezelfde wetten, maar de sancties waren laag, dus niemand maakte zich er druk om. Nu zijn de mogelijke sancties zeer hoog en nu maken bedrijven zich er wel degelijk druk om. De wet werkt!
R4gnax
@mjtdevries12 november 2021 17:43
Als je iedereen een vergoeding wil geven ter hoogte van de zwaarste vorm van schade die voor kan komen dan gaat ieder bedrijf onmiddellijk failiet.
Op dat moment moet nog steeds iedereen ook middels een rechtszaak gaan claimen. En uiteraard gaat het nog steeds naar redelijkheid en billijkheid, vastgesteld door een rechter.

[Reactie gewijzigd door R4gnax op 22 juli 2024 19:17]

Anoniem: 454358 12 november 2021 08:44
De kans dat jouw gegevens ergens gestolen zijn is inmiddels wel 80% volgens mij.
Het belangrijkste is dat men niets aan die data heeft. NL moet af van dat bsn nummer te gebruiken als iets dat dermate belangrijk is. Je pincode geef je ook nergens af.
En gebruik overal een ander goed wachtwoord.
Spam en Phishing mails kun je met een goed spamfilter voor een heel groot deel afvangen, bij Gmail werkt dat bij mij iig erg goed
Keypunchie
12 november 2021 09:26
Duidelijk signaal dit!

Linksom of rechtsom is 400k echt geen sinecure. En hopelijk ook een wake-up voor andere bedrijven om nog eens goed naar hun informatiebeveiliging te kijken.

Dit zijn basic hygiëne dingen, die je met heel weinig moeite kan voorkomen.
Gearjunkie 12 november 2021 08:51
1.7 Miljard jaaromzet. Een boete van 400k en de gedupeerde krijgt niets.....

[Reactie gewijzigd door Gearjunkie op 22 juli 2024 19:17]

BP_LOZ 12 november 2021 09:56
Van alle tekst maakt dit toch het meeste indruk: Zo was het wachtwoord makkelijk te raden, 'in de trant van 123456, welkom en wachtwoord'
Hoe kan dit vraag ik mij dan af?
Krulliebol @BP_LOZ14 november 2021 02:11
Waarschijnlijk gemakzucht.
matdriks41 12 november 2021 12:05
400k is natuurlijk helemaal niets voor zoveel data en de schade die zij kunnen veroorzaken

[Reactie gewijzigd door matdriks41 op 22 juli 2024 19:17]

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq