De Autoriteit Persoonsgegevens legt Booking.com een boete op van 475.000 euro vanwege het te laat melden van de datalek.
Bij het datalek maakten criminelen persoonsgegevens van meer dan 4.000 klanten buit. Zij konden daarbij ook de hand leggen op creditcardgegevens van bijna 300 slachtoffers.
Criminelen ontfutselden per telefoon bij medewerkers van 40 hotels in de Verenigde Arabische Emiraten inloggegevens tot hun accounts in een systeem van Booking.com.
Meld op tijd
De meldplicht datalekken houdt in dat zowel bedrijven als overheden direct (en uiterlijk binnen 72 uur) een melding moeten doen bij de AP wanneer zij een ernstig datalek hebben. In bepaalde gevallen moeten zij het datalek ook melden aan de mensen van wie de persoonsgegevens zijn gelekt. Een datalek melden gaat via het Meldloket datalekken van de AP.
Booking.com werd op 13 januari 2019 op de hoogte gebracht van het datalek, maar meldde het pas op 7 februari bij de AP, 22 dagen te laat. Een datalek moet je binnen 72 uur melden.
Booking.com heeft de getroffen klanten op 4 februari 2019 op de hoogte gebracht van het lek. Daarnaast nam het bedrijf andere maatregelen om de schade te beperken, zoals het aanbod om eventuele schade te vergoeden.
‘Dit is een ernstige overtreding’, zegt AP-vicevoorzitter Monique Verdier.
‘Een datalek kan helaas overal gebeuren, ook al heb je goede voorzorgsmaatregelen getroffen. Maar om schade voor je klanten en herhaling van zo’n datalek te voorkomen, moet je dit op tijd melden.’
‘Die snelheid is van groot belang. In de eerste plaats voor de slachtoffers van een lek. De AP kan een bedrijf na zo’n melding onder meer opdragen meteen getroffen klanten te waarschuwen. Om zo te voorkomen dat criminelen bijvoorbeeld weken de tijd krijgen om door te gaan met pogingen klanten op te lichten.’
Grote verantwoordelijkheid
Verdier: ‘Zo’n groot bedrijf, met waardevolle persoonsgegevens van miljoenen klanten in zijn systemen, heeft een grote verantwoordelijkheid. Klanten vertrouwen hun persoonsgegevens toe aan Booking.com. En die moet er alles aan doen om de gegevens goed te beschermen. Dat betekent een goede beveiliging om een lek te voorkomen, maar ook snelle actie mocht het onverhoopt toch misgaan.’
Booking.com gaat niet in bezwaar of beroep tegen de boete van de AP.
Explosieve toename
De AP signaleerde in 2020 een explosieve toename van het aantal hacks gericht op het buitmaken van persoonsgegevens. Het aantal meldingen steeg in 2020 met maar liefst 30 procent ten opzichte van 2019. Dit blijkt uit de Rapportage Datalekken 2020. Datadiefstal is vaak te voorkomen door een betere beveiliging.
Autoriteit Persoonsgegevens: explosieve groei datadiefstal in 2020