Allereerst maakte de Hamburgse privacytoezichthouder bekend dat er een boete van maar liefst 35,3 miljoen euro aan H&M is opgelegd. De toezichthouder oordeelde dat sinds 2014 op de werkvloer bij H&M ernstige privacyschendingen plaatsvonden. Werknemers van een servicecentrum in Neurenberg werden na een periode van afwezigheid, tijdens een ‘welkom-terug-gesprek’, gevraagd naar hun ziektesymptomen, vakantie en mogelijke familieproblemen. Daarnaast vonden sommige managers het normaal om tijdens gesprekjes op de werkvloer bij hun teamleden te informeren naar hun religieuze opvattingen en familieomstandigheden. Een deel van de informatie die zo werd verzameld, werd op een interne netwerkschijf vastgelegd. Meer dan vijftig managers hadden gedeeltelijke toegang tot de gegevens. Zij gebruikten deze informatie om bijvoorbeeld te bepalen of iemands dienstverband al dan niet werd verlengd. In oktober 2019 komt deze werkwijze aan het licht wanneer door een configuratiefout de gegevens gedurende een paar uur voor iedereen in het bedrijf inzichtelijk zijn. Dit lekt uit naar de pers en leidt ertoe dat de toezichthouder een onderzoek start en overgaat tot beboeting.
Ook de Engelse toezichthouder, ICO, komt door met twee boetes die al tijden in de lucht hingen. Aan de Marriott hotelgroep (Marriott) is een boete opgelegd van omgerekend 20,5 miljoen euro vanwege een datalek, waarbij de gegevens van naar schatting 339 miljoen (!) hotelgasten in handen van cybercriminelen terecht zijn gekomen. Deze cybercriminelen hadden in 2014 het reserveringssysteem van Starwood hotelgroep gehackt en sindsdien onder meer onversleutelde paspoortnummers en creditcardnummers buitgemaakt. Starwood werd in 2016 door het Marriott overgenomen en het reserveringssysteem bleef in gebruik. Marriott ontdekte het lek pas in 2018. Dit betekende dat er bij de overname geen goed onderzoek was gedaan en Marriott de beveiliging van de (overgenomen) IT-systemen niet op orde had. Marriott komt nog ‘goed’ weg. De ICO was oorspronkelijk van plan om een boete van omgerekend zo’n 110 miljoen euro op te leggen. Omdat Marriott alsnog maatregelen heeft genomen en ernstig is geraakt door de coronacrisis, is de boete gematigd.
Eenzelfde situatie deed zich voor bij de boete die ICO aan British Airways heeft opgelegd. Ook hier was sprake van slechte beveiliging en bleef een cyberaanval ruim twee maanden onopgemerkt, waardoor cybercriminelen persoonsgegevens van meer dan 400.000 klanten in handen hadden gekregen. British Airways werd met name verweten dat er tal van basisbeveiligingsmaatregelen die de cyberaanval hadden kunnen voorkomen, zoals tweefactorauthenticatie en een goed testbeleid, niet waren genomen. ICO merkte daarbij nog op dat geen van de noodzakelijke maatregelen zou hebben geleid tot buitensporige kosten, te meer nu sommige maatregelen simpelweg beschikbaar waren via het besturingssysteem dat door British Airways wordt gebruikt.
Omdat British Airways door de coronacrisis in zwaar weer verkeert, matigt ICO de voorgenomen boete van omgerekend zo’n 205 miljoen euro tot ‘slechts’ een boete van omgerekend ruim 22 miljoen euro. De conclusie is duidelijk: de tijd van waarschuwen bij privacyschendingen is voorbij en… ‘winter is coming’.
