Beheer

Governance
Datalek

Booking.com krijgt boete van 475.000 euro voor te laat melden datalek

Datalek uit 2018 werd 22 dagen te laat gemeld.

31 maart 2021

Datalek uit 2018 werd 22 dagen te laat gemeld.

Booking.com krijgt van de Autoriteit Persoonsgegevens (AP) een boete van 475.000 euro omdat het een datalek te laat bij de toezichthouder heeft gemeld. Het datalek werd pas na 25 dagen gemeld, terwijl dit volgens de wet binnen 72 uur moet. De AP spreekt van een "ernstige overtreding". 

Criminelen wisten eind 2018 de inloggegevens tot Booking.com-accounts van werknemers van 40 hotels in de Verenigde Arabische Emiraten te ontfutselen. In december dat jaar kregen ze daardoor toegang tot gegevens van 4.019 mensen die via Booking.com een hotelkamer hadden geboekt in het land. De criminelen kregen onder meer namen, adressen, telefoonnummers en details over de boeking in handen. Ook werden de creditcardgegevens van 283 mensen ingezien, in 97 gevallen zat daar ook de beveiligingscode van de creditcard bij.

Booking.com werd op 13 januari 2019 op de hoogte gebracht van het datalek. Maar de melding bij de AP - die volgens de wet binnen 72 uur had moeten volgen - kwam pas op 7 februari. Dat is dus 22 dagen te laat. Op 4 februari 2019 werden getroffen klanten al wel op de hoogte gebracht van het lek en er werden maatregelen genomen om de schade te beperken.

Ernstige overtreding

Volgens AP-vicevoorzitter Monique Verdier is het te laat melden van het datalek een "ernstige overtreding". Ze licht toe: "Een datalek kan helaas overal gebeuren, ook al heb je goede voorzorgsmaatregelen getroffen. Maar om schade voor je klanten en herhaling van zo’n datalek te voorkomen, moet je dit op tijd melden. Die snelheid is van groot belang. In de eerste plaats voor de slachtoffers van een lek."

"De AP kan een bedrijf na zo’n melding onder meer opdragen meteen getroffen klanten te waarschuwen. Om zo te voorkomen dat criminelen bijvoorbeeld weken de tijd krijgen om door te gaan met pogingen klanten op te lichten." In het geval van Booking waren getroffen gebruikers al vóór de toezichthouder geïnformeerd.

Als gevolg van het te laat melden van het datalek krijgt Booking.com nu dus een boete van 475.000 euro. Het bedrijf gaat niet in bezwaar of in beroep tegen de boete.

Extra stappen genomen

In een reactie aan AG Connect benadrukt Booking.com dat de boete niet in verband staat met de beveiligingspraktijken van het bedrijf of de algehele afhandeling van het incident. "Een klein aantal hotels hebben onbedoeld inloggegevens van hun Booking.com-account aan online oplichters verstrekt, maar er was geen sprake van een compromitterende situatie met betrekking tot de code of databases van het Booking.com-platform", aldus het bedrijf. 

"Nadat we de eerste meldingen van verdachte activiteiten hadden ontvangen, begonnen we te werken aan het begrijpen van het probleem en deze op te lossen, maar helaas werd de kwestie niet zo snel intern geëscaleerd als we hadden gewild. We hebben sindsdien extra stappen ondernomen om onze partners en medewerkers beter bewust te maken van, en voor te lichten over belangrijke privacymaatregelen en algemene beveiligingsprocessen, terwijl we ook werken aan het verder optimaliseren van de snelheid en efficiëntie van onze interne meldingskanalen. De bescherming en beveiliging van persoonlijke informatie heeft en blijft de hoogste prioriteit bij Booking.com."

Lees meer over Beheer OP AG Intelligence
1
Reacties
Erwin1 01 april 2021 14:22

Mag dan ook de Authoriteit Persoonsgegevens een boete krijgen voor het exorbitant laat behandelen van deze zaak ? Booking heeft het lek dan wel 22 dagen te laat gemeld, maar AP heeft de zaak meer dan 750 dagen in behandeling gehad blijkbaar....

Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.