Deze week is bekend geworden dat in de nacht van 31 mei 2019 is ingebroken in het hoofdkantoor van Thomas Cook Nederland. De inbrekers hebben diverse computers, mobiele telefoons en andere apparatuur zoals beamers en hardware meegenomen. Op één van de computers stond een bestand met persoonsgegevens en boekingsinformatie van de reizigers die rechtstreeks hebben geboekt bij Thomas Cook. Naar schatting betreffen dit 50.000 klanten, aldus de woordvoerder van Thomas Cook.
Het verlies van data en datadiefstal door hackers komt helaas steeds vaker voor. In het merendeel van de zaken die in het nieuws komen, gaat het om datasystemen die van buiten af worden gehackt. Hoewel het digitale bestand met de boekingsinformatie van de klanten van Thomas Cook was encrypted (versleuteld) geeft dit geen garantie dat algehele toegang onmogelijk is. Er blijft dus een kans bestaan dat de boekingsinformatie met onder andere alle namen, adressen en reisinformatie van deze klanten mogelijk op straat komt te liggen of wordt doorverkocht aan criminelen.
Is er sprake van een datalek?
Niet elk datalek dat zich voor doet moet gemeld worden aan de Autoriteit Persoonsgegevens. Wel dient elk datalek conform de privacywetgeving intern te worden genoteerd en te worden bijgehouden. In dit geval heeft Thomas Cook terecht het incident gemeld aan de Autoriteit Persoonsgegevens en aan de betrokkenen, omdat hier sprake is van een datalek dat verplicht gemeld dient te worden. Er is namelijk sprake van een inbreuk op de beveiliging die leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens van de desbetreffende reizigers.
Aanscherpen informatiebeveiligingsbeleid
De les die wij uit dit incident kunnen leren is dat alle bedrijven stelselmatig het informatiebeveiligingsbeleid van de organisatie op de agenda dienen te zetten en het informatiebeveiligingsbeleid blijvend dienen aan te scherpen waar nodig. Met name de praktische implementatie van het informatiebeveiligingsbeleid binnen de organisatie is van belang. Organisaties dienen na te denken over zowel de fysieke inrichting van de kantoren, en mogelijkheden tot het afsluiten van ruimtes met betrekking tot toegang tot apparatuur. Ook is het verstandig dat werknemers regelmatig hun wachtwoord wijzigen en er software-technische barrières zijn om toegang van ongeautoriseerden altijd uit te sluiten. Verder dienen medewerkers geïnstrueerd te worden omtrent het versleutelen van informatiegevoelige bestanden. En wanneer er mogelijk sprake is van een datalek met betrekking tot de melding aan de toezichthouder en betrokkenen. De les die we van Thomas Cook leren is dat het wel zo prettig is te weten welke bestanden op een computer worden opgeslagen zodat je scherp aan de wind kunt varen wat betreft de melding die je moet doen aan de Autoriteit Persoonsgegevens en/of aan de betrokkene.
Nick A.de leeuw
Reisrecht Advocaat bij La Gro Geelkerken
e-mail: n.deleeuw@lgga.nl
