Transavia beboet door de Autoriteit Persoonsgegevens
De Nederlandse luchtvaartmaatschappij Transavia krijgt een boete van 400.000 euro van de Autoriteit Persoonsgegevens. Het bedrijf heeft namelijk te weinig veiligheidsmaatregelen getroffen om persoonsgegevensPersoonsgegevens zijn alle gegevens die iets zeggen over een geïdentificeerd of identificeerbaar persoon. Denk aan naam, adres, geboortedatum, e-mailadres, telefoonnummer, IP-adres, pasfoto of burgerservicenummer. Maar... van hun klanten en medewerkers te beschermen. Dit leidde in 2019 tot een groot datalekDatalek betekent dat persoonsgegevens per ongeluk of opzettelijk terechtkomen bij mensen die daar geen toegang toe mogen hebben. Dat kan gebeuren door een hack, een... Meer.
Waarom kiest de Autoriteit PersoonsgegevensAutoriteit Persoonsgegevens is de Nederlandse toezichthouder die controleert of organisaties zich houden aan de privacywetgeving, zoals de AVG (Algemene Verordening Gegevensbescherming). Deze instantie ziet erop... ervoor om Transavia een boete te geven, en waarom zijn deze maatregelen belangrijk voor jou als consument? We leggen het uit in dit artikel.
Waarom spreekt de Autoriteit Persoonsgegevens van slechte beveiliging bij Transavia?
De aanvaller kon in 2019 via twee IT-accounts de systemen van Transavia binnendringen. Dit was mogelijk door de onderstaande omstandigheden:
- Het bedrijf maakte gebruik van zwakke wachtwoorden
De wachtwoorden zaten in de categorie “123456”, “Welkom” en “wachtwoord”. Dit zijn de meest voorkomende wachtwoorden, die makkelijk zijn om te kraken. - Het bedrijf maakte voor deze accounts geen gebruik van tweestapsverificatie
Voor iedereen waren enkel de wachtwoorden voldoende om in te loggen op de accounts. - Bij toegang tot deze accounts kon de aanvaller gelijk een groot aantal systemen binnen het bedrijf inzien
De accounts waren niet beperkt tot alleen toegang tot de noodzakelijke systemen.
Welke gegevens waren betrokken bij het datalek?
In 2019 had de aanvaller de mogelijkheid om de gegevens van 25 miljoen klanten in te zien. Dit ging om de e-mailadressen, namen, geboortedata, vlucht- en boekingsgegevens en telefoonnummers. Het lijkt erop dat de aanvaller deze gegevens niet daadwerkelijk heeft ingezien, maar uiteindelijk downloadde de crimineel persoonsgegevensPersoonsgegevens zijn alle gegevens die iets zeggen over een geïdentificeerd of identificeerbaar persoon. Denk aan naam, adres, geboortedatum, e-mailadres, telefoonnummer, IP-adres, pasfoto of burgerservicenummer. Maar... van ongeveer 83.000 mensen waarin namen, vluchtinformatie en geboortedata stonden. Ook stonden hier medische gegevens van 367 mensen bij.
De luchtvaartmaatschappij meldde het lek op tijd bij de Autoriteit PersoonsgegevensAutoriteit Persoonsgegevens is de Nederlandse toezichthouder die controleert of organisaties zich houden aan de privacywetgeving, zoals de AVG (Algemene Verordening Gegevensbescherming). Deze instantie ziet erop... en nam maatregelen om de persoonsgegevensPersoonsgegevens zijn alle gegevens die iets zeggen over een geïdentificeerd of identificeerbaar persoon. Denk aan naam, adres, geboortedatum, e-mailadres, telefoonnummer, IP-adres, pasfoto of burgerservicenummer. Maar... beter te beveiligen.
Waarom koos de Autoriteit Persoonsgegevens voor een boete?
De organisatie verwijt Transavia dat kwaadwillenden slechts met het gebruik van een makkelijk wachtwoordEen wachtwoord is een cruciaal beveiligingsmiddel dat dient als eerste verdedigingslinie tegen ongeautoriseerde toegang tot accounts, systemen en apparaten, waarbij sterke wachtwoorden bestaan uit een... Meer toegang konden krijgen tot gevoelige gegevens van miljoenen klanten en medewerkers. Volgens de Autoriteit PersoonsgegevensAutoriteit Persoonsgegevens is de Nederlandse toezichthouder die controleert of organisaties zich houden aan de privacywetgeving, zoals de AVG (Algemene Verordening Gegevensbescherming). Deze instantie ziet erop... vertrouwen consumenten hun persoonsgegevensPersoonsgegevens zijn alle gegevens die iets zeggen over een geïdentificeerd of identificeerbaar persoon. Denk aan naam, adres, geboortedatum, e-mailadres, telefoonnummer, IP-adres, pasfoto of burgerservicenummer. Maar... toe aan de luchtvaartmaatschappij, omdat deze nodig zijn voor de vlucht. Wanneer een bedrijf hier niet zorgvuldig mee omgaat, is er een grote kans dat deze gegevens gelekt worden door toedoen van een hack of een menselijke fout.
Wanneer je jouw persoonsgegevensPersoonsgegevens zijn alle gegevens die iets zeggen over een geïdentificeerd of identificeerbaar persoon. Denk aan naam, adres, geboortedatum, e-mailadres, telefoonnummer, IP-adres, pasfoto of burgerservicenummer. Maar... ergens invult, wil je natuurlijk niet dat deze gegevens op straat komen te liggen. Wanneer gelekte gegevens in de handen van internetcriminelen komen, kunnen ze worden misbruikt voor grootschalige (of juist gerichte) phishingcampagnes, WhatsAppfraude of identiteitsfraudeIdentiteitsfraude is het misbruiken van iemand anders zijn persoonlijke gegevens om zich als die persoon voor te doen. Dit gebeurt vaak met gegevens zoals naam,.... Je spreekt bijvoorbeeld van een grootschalige phishingcampagne wanneer cybercriminelen een lijst van gelekte e-mailadressen gebruiken om een phishingmail op grote schaal uit te sturen. Bij gerichte phishingPhishing is een vorm van online oplichting waarbij iemand zich voordoet als een betrouwbare partij om je persoonlijke gegevens te stelen. Je krijgt bijvoorbeeld een... Meer daarentegen, kan bepaalde informatie over een specifiek persoon gebruikt worden om geloofwaardiger over te komen. Denk bijvoorbeeld aan het gebruik van een e-mail of sms waar jouw daadwerkelijke naam, wachtwoordEen wachtwoord is een cruciaal beveiligingsmiddel dat dient als eerste verdedigingslinie tegen ongeautoriseerde toegang tot accounts, systemen en apparaten, waarbij sterke wachtwoorden bestaan uit een... Meer of adres in vermeld wordt. Wellicht ben je dan eerder geneigd om te klikken, of om jouw inlog- of betaalgegevens via een link in te vullen.
Vanaf 2020 is er een grote toename geweest in het aantal datalekken. Wanneer cybercriminelen door middel van verschillende datalekken over genoeg informatie over jou beschikken, kunnen ze zich nog geloofwaardiger voordoen bij phishingPhishing is een vorm van online oplichting waarbij iemand zich voordoet als een betrouwbare partij om je persoonlijke gegevens te stelen. Je krijgt bijvoorbeeld een... Meer, spoofingSpoofing is een vorm van misleiding waarbij iemand zich digitaal voordoet als een ander. Dit gebeurt door informatie te vervalsen, zoals een e-mailadres, telefoonnummer, IP-adres..., of andere vormen van online fraude. Criminelen kunnen dit bijvoorbeeld gebruiken wanneer ze een vriend of familielid ‘namens jou’ een betaalverzoek sturen via WhatsApp en op die manier oplichten, of zich als jou voordoen op social media.
Volgens de Autoriteit PersoonsgegevensAutoriteit Persoonsgegevens is de Nederlandse toezichthouder die controleert of organisaties zich houden aan de privacywetgeving, zoals de AVG (Algemene Verordening Gegevensbescherming). Deze instantie ziet erop... ging Transavia niet voorzichtig om met de persoonsgegevensPersoonsgegevens zijn alle gegevens die iets zeggen over een geïdentificeerd of identificeerbaar persoon. Denk aan naam, adres, geboortedatum, e-mailadres, telefoonnummer, IP-adres, pasfoto of burgerservicenummer. Maar... van klanten en medewerkers. Daarmee heeft het bedrijf niet genoeg beveiligingsmaatregelen getroffen om een datalekDatalek betekent dat persoonsgegevens per ongeluk of opzettelijk terechtkomen bij mensen die daar geen toegang toe mogen hebben. Dat kan gebeuren door een hack, een... Meer te voorkomen.
Wil je meer informatie lezen over de gevolgen van een datalekDatalek betekent dat persoonsgegevens per ongeluk of opzettelijk terechtkomen bij mensen die daar geen toegang toe mogen hebben. Dat kan gebeuren door een hack, een... Meer, of je de gevolgen als consument kunt beperken en wat je kunt doen wanneer jouw gegevens uitgelekt zijn? Lees dan verder in het onderstaande artikel:
Hoe kunnen accounts beter beveiligd worden?
Niet alleen voor bedrijven is het belangrijk om accounts goed te beveiligen; dit geldt zowel voor zakelijke als persoonlijke accounts.
Allereerst is het voor iedereen belangrijk om al je accounts te beveiligen met een sterk en uniek wachtwoordEen wachtwoord is een cruciaal beveiligingsmiddel dat dient als eerste verdedigingslinie tegen ongeautoriseerde toegang tot accounts, systemen en apparaten, waarbij sterke wachtwoorden bestaan uit een... Meer. Makkelijke wachtwoorden zoals “feyenoord”, “amsterdam” of simpelweg “12345” zijn immers makkelijk te raden voor anderen.
Hoe maak je dan een sterker, veiliger wachtwoordEen wachtwoord is een cruciaal beveiligingsmiddel dat dient als eerste verdedigingslinie tegen ongeautoriseerde toegang tot accounts, systemen en apparaten, waarbij sterke wachtwoorden bestaan uit een... Meer? We leggen het uit in het onderstaande artikel:
Daarnaast raden wij je altijd aan om tweestapsverificatie in te stellen voor alle accounts waarbij dit mogelijk is. Zo heeft iemand anders, zelfs wanneer diegene over jouw wachtwoordEen wachtwoord is een cruciaal beveiligingsmiddel dat dient als eerste verdedigingslinie tegen ongeautoriseerde toegang tot accounts, systemen en apparaten, waarbij sterke wachtwoorden bestaan uit een... Meer beschikt door bijvoorbeeld een datalekDatalek betekent dat persoonsgegevens per ongeluk of opzettelijk terechtkomen bij mensen die daar geen toegang toe mogen hebben. Dat kan gebeuren door een hack, een... Meer, nooit in één keer toegang tot jouw accountAccount is een persoonlijke toegang tot een digitale dienst, zoals een e-mailprogramma, webshop of socialmedia-platform. Een account bestaat meestal uit een gebruikersnaam (vaak je e-mailadres)... Meer. In het onderstaande artikel vertellen we meer over wat tweestapsverificatie precies is:
En via de onderstaande knop ga je naar onze video’s waarin we stap voor stap uitleggen hoe je tweestapsverificatie activeert voor verschillende accounts:
