British Airways (BA) slipper å betale GDPR-boten på 183 millioner pund, 2,2 milliarder kroner etter dagens kurs, som selskapet i 2019 ble ilagt av britiske Information Commissioner’s Office (ICO) etter hackere blant annet stjal personopplysninger om mer enn 400.000 av flyselskapets kunder og ansatte i 2018, altså før Storbritannia forlot EU.
Svekket av koronakrisen
BA anket saken, og i dag har ICO offentliggjort at boten i stedet blir på 20 millioner pund, omtrent 241 millioner kroner, en brøkdel av den opprinnelige boten.
I likhet med luftfartsbransjen generelt, sliter BA nå under koronakrisen. ICO skriver i en pressemelding at det er tatt hensyn til påvirkningen covid-19 har på virksomheten til BA da botens størrelse ble fastsatt, men ICO mener at en bot i den aktuelle størrelsen ikke vil gi selskapet økonomisk vanskeligheter.
Kritikken mot BA står likevel fast.
Uoppdaget i mer enn to måneder
Innbruddet skjedde den 22. juni 2018, noe BA ikke ble klar over før selskapet ble varslet av en tredjepart den 5. september samme år, mer enn to måneder senere.
ICO mener at BA på forhånd burde ha identifisert sikkerhetssvakhetene som ble utnyttet, og løst disse med sikkerhetstiltak som var tilgjengelig på denne tiden. Multifaktorautentisering og mer begrenset tilgang til applikasjoner, data og verktøy, er blant det som nevnes.
– Deres manglende handling var uakseptabel og berørte hundre tusenvis av mennesker, noe som kan ha medført engstelse. Det er derfor vi ilegger BA en bot på 20 millioner pund, vår største til nå, skriver det britiske datatilsynet.