Herbert Bos, hoogleraar Systems en Network Security aan de VU in Amsterdam, liet hierover aan het Algemeen Dagblad weten dat hacks van social media accounts van bedrijfsmedewerk(st)ers ook een gevaar met zich meebrengt: "Desondanks is het nog steeds verstandig te controleren om welke mailadressen/wachtwoorden het gaat. Het blijft een gevaar, omdat mensen heel vaak wachtwoorden hergebruiken. Mensen staan op zoveel websites geregistreerd, dat ze vaak geen idee meer hebben hoeveel, vaak met hetzelfde wachtwoord. Zelfs als je een beetje varieert met de cijfers in je wachtwoord, kunnen kwaadwillenden dat via geautomatiseerde programma’s snel achterhalen. En als mensen je e-mail en een wachtwoord hebben, hebben ze je identiteit."

Tim Van den Bergh (CCO Sunweb Group) laat aan TravelPro weten dat het bedrijf in een ver verleden een keer met een lek te maken heeft gehad, maar dat dit direct is opgelost en betrof de boekingsbevestiging en vouchers van één reservering. "De mailadressen die op Gotcha staan zijn oude adressen en de eerste letters/cijfers van de wachtwoorden herkennen wij niet als wachtwoorden die gebruikelijk zijn binnen het bedrijf. Ik ga er vanuit dat het om leks gaat van privé-accounts van onder andere LinkedIn waarbij onze (oud-)medewerkers hun werk-mailadres hebben gebruikt."

Bedrijven die te maken hebben met een hack/lek moeten dit officieel aan de autoriteit persoonsgegevens melden. Van den Bergh benadrukt tegenover TravelPro dat medewerkers van Sundio/Sunweb elke drie maanden hun wachtwoorden moeten wijzigen. "Hier kunnen ze niet onderuit, want het is een automatisme van het mailsysteem dat hierom vraagt. Daarnaast hebben wij een team dat de veiligheid van al onze gegevens continu monitort, maar zeker gezien de vele hacks die er her en der momenteel plaatsvinden is het goed dat er zoveel over wordt geschreven. We moeten het feit dat de veiligheid van gegevens die reisbedrijven beheren ontzettend belangrijk is blijven benadrukken."

Ook TUI heeft aan TravelPro laten weten dat de gegevens die over het bedrijf online staan niet actueel zijn. 'Conform de IT Security policy van TUI worden systemen en gegevens continu gemonitord. Daarnaast is het beveiligingsbeleid van TUI gericht op de bewustwording van alle medewerkers om zorgvuldig met gegevens, waaronder wachtwoorden om te gaan. Het beleid schrijft dan ook voor dat alle wachtwoorden elke 90 dagen veranderd moeten worden of in het geval een medewerker vermoedt dat iemand anders een wachtwoord kent. Hier worden regelmatig interne bewustwordingscampagnes voor ingezet. Naar aanleiding van de publicaties de laatste dagen over gekraakte en gelekte gegevens hebben alle medewerkers bovendien het dringende advies gekregen wachtwoorden aan te passen', aldus TUI.

Om effectief bescherming te bieden aan de grondrechten van uw klanten in de zich alsmaar verder ontwikkelende digitale wereld zal met ingang van 25 mei 2018 de Algemene Verordening Gegevensbescherming (AVG), oftewel de nieuwe privacywetgeving, in de gehele Europese Unie in werking treden. Vanaf die datum regelt de AVG de bescherming van persoonsgegevens. Enerzijds door de privacyrechten te versterken. Anderzijds door aan bedrijven, overheden en organisaties meer verantwoordelijkheden op te dragen bij het verwerken van deze persoonsgegevens. Om aan deze zogenaamde verantwoordingsplicht te voldoen moeten zij kunnen aantonen dat zij zowel organisatorisch als technisch voldoen aan de AVG.

Voldoet uw organisatie hier al aan? Onder de AVG bent u verplicht om uw klant op heldere wijze te informeren welke gegevens u voor welk doel verzamelt en dient u actief toestemming te vragen om deze gegevens op te slaan. Uw klant kan straks op ieder moment opvragen welke gegevens u over hem of haar heeft, of met wie u deze deelt. Bijvoorbeeld met het hotel in Spanje waar u uw klant heeft ondergebracht. Daarbij kan uw klant u ook verzoeken om zijn of haar gegevens te wissen. Dat kan ertoe leiden dat u op uw beurt het hotel in Spanje moet verzoeken dat ook zij de gegevens van uw klant verwijderen.

Let op: U mag geen vertraging oplopen. Per 25 mei a.s. dient uw onderneming aan de AVG te voldoen en de boetes die de toezichthouder kan opleggen zijn fors en kunnen oplopen tot 20 miljoen Euro of vier procent van de wereldwijde omzet als dat bedrag hoger uitkomt. Een last minute kans om te controleren of uw onderneming er klaar voor is, maar wel een die ervoor zorgt dat u deze zomer zelf ook lekker op reis gaat.

Mr. Benno Friedberg
Advocaat

Friedberg & Mahn
advocaten.mediators

Volgens mij zijn er behoorlijk wat reisagenten die het erbij zetten in de boekingsgegevens: ‘Piet en Riet zijn veeleisend’, ‘Jan probeert uit iedere fout een slaatje te slaan’ of ‘mevrouw Hendriksen loopt nogal moeilijk’ en je waarschuwt de touroperator alvast dat ‘Hans een irritante gast is’. Wat als dat straks door een data-lek op straat komt te liggen?

In Nederland lijken we er maar wat makkelijk mee om te gaan, privacy. Het grote data-lek van Facebook was dan ook vooral in het buitenland groot nieuws. Het social mediabedrijf zou haar eigen privacybeleid hebben geschonden door derden toegang te geven tot gebruikersgegevens (zonder dat die gebruikers daar toestemming voor hadden gegeven).

Gegevens van zeker 50 miljoen mensen werden binnengehaald en die werden onder andere gebruikt voor de verkiezingscampagne van Donald Trump. Boeien, maar ook andere partijen/adverteerders zijn op de hoogte van je (Facebook-)gegevens. Een Amerikaanse toezichthouder die de boel onderzoekt, kan per geval een boete van duizenden dollars opleggen. En wat te denken van het grote wachtwoorden-lek.

Met de nieuwe privacywetgeving liggen denk ik alsnog gevaren op de loer voor hen die zich er een beetje afzijdig van houden. Ervan uitgaan dat alles is/wordt geregeld door ‘het hoofdkantoor’ getuigd van een groot vertrouwen.

Volgens mij ben ik niet de enige voor wie het qua regelgeving nogal duizelt. Van wie is de klant? Wie is verantwoordelijk als het misgaat met de privacygegevens? Wanneer moet je gegevens deleten? Welke info is rendabel voor het uitvoeren van de reis?

Persoonlijk zou ik alles zelf helemaal onder controle willen hebben. Beter dan wanneer je als (zelfstandig) reisagent toch een collosale fout maakt waardoor touroperator Pietje een forse boete aan zijn broek krijgt en die daardoor je agentuurovereenkomst opzegt.

Alles is al geregeld in de reisbranche? Zolang ik (maar ook mijn buurman als die een beetje gaat zoeken) nog met een willekeurig ANVR-nummer kan inloggen op websites voor reisagenten heb ik daar toch zo mijn twijfels over. En zo zal het te allen tijde blijven met privacy en veiligheid, nieuwe wetgeving of niet.

Arjen Lutgendorff
arjen@travelpro.nl