Ongewenst toegang tot gegevens mailbox

We controleren continu het IT-landschap op afwijkende activiteiten. Kortgeleden ontdekten we dat er ongewenst toegang is geweest tot een mailbox van Transavia. Na onderzoek bleek dat in de mailbox een bestand zat met persoonsgegevens van een deel van de passagiers die met ons hebben gereisd tussen 21 en 31 januari 2015. We hebben dit gemeld bij de Autoriteit Persoonsgegevens. Ondanks dat het om gegevens uit begin 2015 gaat en er geen gevoelige data zoals adresgegevens, creditcardinformatie en paspoortinformatie in zaten, informeren we de betrokken passagiers hierover persoonlijk.

Veelgestelde vragen
Hieronder vind je de meestgestelde vragen. Staat jouw vraag er niet tussen? Neem dan contact op met ons service center. We hebben een speciaal telefoonnummer geopend voor vragen: +31 (0)85-0022627. We helpen je graag van maandag t/m vrijdag tussen 9:00 en 17:00 uur.

Wat is er precies aan de hand?
Doordat we onze IT-omgeving continu in de gaten houden, ontdekten we dat er ongewenst toegang is geweest tot een mailbox met een bestand met persoonsgegevens.

Welke gegevens zaten in de mailbox?
Het gaat om de gegevens van 80.000 passagiers die met Transavia hebben gereisd in de periode 21 t/m 31 januari 2015. De gegevens die in het bestand stonden zijn: voornaam, achternaam, geboortedatum, vluchtgegevens, boekingsnummer en bijgeboekte services zoals bagage, ski's en rolstoelen. Het gaat dus niet om gevoelige gegevens als betaalgegevens, creditcardinformatie, paspoortinformatie en contactgegevens zoals adresgegevens, e-mailadressen en telefoonnummers.

Hoe brengen jullie de betrokken passagiers op de hoogte?
We informeren de betrokken passagiers via de hoofdboeker, waarvan we het e-mailadres hebben.

Ik heb geen bericht ontvangen, zaten mijn gegevens ook in het document?
Heb je niet gereisd in de periode 21 t/m 31 januari 2015, dan komen jouw gegevens niet in het document voor. Heb je wel in die periode gereisd, dan staan je gegevens wel in het document, tenzij je reisde naar Egypte, Lapland of de Canarische Eilanden.

Ik heb gereisd tussen 21 en 31 januari 2015, maar ik heb geen bericht van jullie ontvangen, hoe kan dit?

Er zijn twee mogelijke redenen:

Je reisde naar Egypte, Lapland of de Canarische Eilanden. De passagiersgegevens van de vluchten naar deze bestemmingen staan niet in het bestand.
Je was niet de hoofdboeker. We informeren de betrokken passagiers via de hoofdboeker, waarvan we het e-mailadres hebben. Let op: Het kan zijn dat je via een tussenpersoon (bijvoorbeeld een touroperator of reisbureau) hebt geboekt. Zij zijn in dit geval geregistreerd als hoofdboeker en op de hoogte gebracht door ons.
Zitten er ook gegevens van jullie partners of klanten van partners in het document?
Het gaat om de gegevens van passagiers die bij ons aan boord zaten tussen 21 en 31 januari 2015, behalve van de passagiers op vluchten naar Egypte, Lapland en de Canarische Eilanden.

Is er kans op misbruik?
We hebben na onderzoek geen reden om aan te nemen dat de ongewenste toegang tot de mailbox gericht was op het verkrijgen van deze data. Daarnaast blijkt uit de praktijk dat met deze combinatie van gegevens (naam, geboortedatum en vluchtgegevens) de kans op misbruik minimaal is.

Welke maatregelen heeft Transavia getroffen om herhaling te voorkomen?
We zijn een onderzoek gestart en hebben direct verbeteringen doorgevoerd om herhaling in de toekomst te voorkomen. Daarnaast investeren we continu in onze informatiebeveiliging.