GDPR – Ticketmaster beboet voor gebrekkige bescherming van klantengegevens

Op 13 november 2020 heeft de Britse Toezichthoudende Autoriteit (ICO) een boete van 1,25 miljoen GBP opgelegd aan Ticketmaster omwille van een ernstig gebrek in de beveiliging van de persoonsgegevens van haar klanten. De boete – die er komt slechts enkele weken nadat de ICO soortgelijke sancties had opgelegd aan British Airways en Marriott International – volgt op een datalek van 2018 dat maar liefst 9,4 miljoen Ticketmaster-klanten in heel Europa trof, waaronder 1,5 miljoen in het Verenigd Koninkrijk.

Het datalek deed zich voor in de periode van februari 2018 tot 23 juni 2018. Diverse financiële spelers (Monza Bank, Commonwealth Bank of Australia, Barclays, Mastercard, American Express, Visa, enz.) hadden Ticketmaster vanaf 6 april 2018 gewaarschuwd voor een potentieel datalek op haar website. Een Twitter-gebruiker had zelfs gedetailleerd uitgelegd waar het datalek zich volgens hem voordeed.

Ticketmaster stelde weliswaar een “Incident Response Team” aan, maar beperkte de opdracht initieel tot een onderzoek van haar Microsoft Windows-systemen. Pas negen weken na de eerste waarschuwing werd het onderzoek uitgebreid tot haar betaalomgeving en werd het datalek gedetecteerd.

Het datalek bleek betrekking te hebben op de chatbot die op vraag van Ticketmaster door een derde partij (Inbenta) was ontworpen en door Ticketmaster op haar online-betaalpagina werd gebruikt.

In zijn beslissing wijst de ICO erop dat het implementeren van JavaScripts van derde partijen op een website of chatbot al geruime tijd beschouwd wordt als een veiligheidsrisico (verwijzend naar allerlei publicaties) en dat dit risico alleen maar groter wordt, wanneer die JavaScripts worden geïmplementeerd op websites die persoonsgegevens verwerken, zoals een betaalpagina.

Daarenboven bleek Ticketmaster geen afdoende beveiligingsmaatregelen te hebben genomen. Zo was vóór de implementatie van de chatbot onvoldoende getest/geëvalueerd of de veiligheidsmaatregelen tussen de chatbot en de betaalpagina wel adequaat waren. Maar ook na de implementatie waren de veiligheidsrisico’s onvoldoende getest. Verder bleek de “periodieke beveiligingsdoorlichting” van Inbenta enkel uitgevoerd te zijn in 2013 en … 2018, weliswaar pas naar aanleiding van het datalek.

Door het datalek werden persoonsgegevens van miljoenen klanten buitgemaakt, waaronder hun namen, betaalkaartnummers, vervaldata en CVV-nummers. De gevolgen laten zich raden: naast financieel (frauduleuze transacties) bracht het datalek ook administratief heel wat teweeg (het vervangen van tienduizenden betaalkaarten).

De ICO verweet Ticketmaster een verregaande tekortkoming aan haar verplichting om voldoende adequate maatregelen te nemen ter beveiliging van de persoonsgegevens van haar klanten. Doordat Ticketmaster ondanks de (behoorlijk precieze) waarschuwingen niet preventief – in afwachting van het detecteren van het datalek – de chatbot van haar betaalpagina had verwijderd, konden het datalek en de schade nog toenemen.

De ernstige tekortkoming verantwoordt het opleggen van een boete, waarvan de hoogte – via een transparante redenering in vijf stappen – wordt vastgelegd op 1,25 miljoen GBP.

Deze beslissing toont niet alleen het belang aan van afdoende beveiligingsmaatregelen (anticipatief), maar ook van een goede klachtopvolging na een datalek (reactief). Dat Ticketmaster pas op 23 juni 2018 het datalek aan de ICO meldde, werd namelijk als een verzwarende omstandigheid bij de berekening van de boete meegenomen.