Boete Booking.com voor te laat melden datalek

Thema's:
Datalekken
Beveiliging van persoonsgegevens
Internationale samenwerking

De Autoriteit Persoonsgegevens (AP) legt Booking.com een boete op van 475.000 euro omdat het een datalek te laat meldde bij de AP. Bij het datalek maakten criminelen persoonsgegevens van meer dan 4.000 klanten buit. Zij konden daarbij ook de hand leggen op creditcardgegevens van bijna 300 slachtoffers.

Criminelen ontfutselden per telefoon bij medewerkers van 40 hotels in de Verenigde Arabische Emiraten inloggegevens tot hun accounts in een systeem van Booking.com.

Zo kregen de criminelen in december 2018 toegang tot de gegevens van 4.109 mensen die via de boekingssite een hotelkamer hadden geboekt in dat land. Het ging onder meer om hun namen, adressen en telefoonnummers en details over hun boeking.

De criminelen hebben daarbij ook de creditcardgegevens van 283 mensen ingezien. In 97 gevallen inclusief de beveiligingscode van de creditcard. Daarnaast probeerden ze de creditcardgegevens van andere slachtoffers te bemachtigen, door zich per mail of telefoon voor te doen als medewerker van Booking.com.

Phishing

"Booking.com-klanten liepen hier het risico flink bestolen te worden", zegt AP-vicevoorzitter Monique Verdier. "Ook als de criminelen geen creditcardgegevens buitmaakten maar alleen iemands naam, contactgegevens en informatie over de hotelboeking. Die gegevens gebruikten de oplichters namelijk voor phishing."

"Door per telefoon of mail te doen alsof ze van het hotel waren, probeerden zij mensen geld afhandig te maken. Dat kan zeer geloofwaardig zijn als zo’n oplichter precies weet wanneer jij welke kamer hebt geboekt. En vraagt of je die overnachtingen nog even wilt betalen. De schade kan dan flink oplopen", aldus Verdier.

22 dagen te laat gemeld

Booking.com werd op 13 januari 2019 op de hoogte gebracht van het datalek, maar meldde het pas op 7 februari bij de AP. Dat is 22 dagen te laat. Het is namelijk verplicht een datalek binnen 72 uur te melden.

Booking.com heeft de getroffen klanten op 4 februari 2019 op de hoogte gebracht van het lek. Daarnaast nam het bedrijf andere maatregelen om de schade te beperken, zoals het aanbod om eventuele schade te vergoeden.

"Dit is een ernstige overtreding", zegt Verdier. "Een datalek kan helaas overal gebeuren, ook al heb je goede voorzorgsmaatregelen getroffen. Maar om schade voor je klanten en herhaling van zo’n datalek te voorkomen, moet je dit op tijd melden."

"Die snelheid is van groot belang. In de eerste plaats voor de slachtoffers van een lek. De AP kan een bedrijf na zo’n melding onder meer opdragen meteen getroffen klanten te waarschuwen. Om zo te voorkomen dat criminelen bijvoorbeeld weken de tijd krijgen om door te gaan met pogingen klanten op te lichten."

Grote verantwoordelijkheid

Verdier: "Zo’n groot bedrijf, met waardevolle persoonsgegevens van miljoenen klanten in zijn systemen, heeft een grote verantwoordelijkheid. Klanten vertrouwen hun persoonsgegevens toe aan Booking.com. En die moet er alles aan doen om de gegevens goed te beschermen. Dat betekent een goede beveiliging om een lek te voorkomen, maar ook snelle actie mocht het onverhoopt toch misgaan."

Booking.com gaat niet in bezwaar of beroep tegen de boete van de AP.

Internationaal onderzoek

Het onderzoek naar Booking.com was een internationaal onderzoek. Het gaat om een internationaal bedrijf met klanten uit verschillende landen. Booking.com heeft zijn wereldwijde hoofdvestiging in Nederland. Daarom voerde de AP dit onderzoek uit. Omdat het om een internationale kwestie gaat, heeft de AP het onderzoek afgestemd met de andere Europese privacytoezichthouders.

Meldplicht datalekken

De meldplicht datalekken houdt in dat zowel bedrijven als overheden direct (en uiterlijk binnen 72 uur) een melding moeten doen bij de AP wanneer zij een ernstig datalek hebben. In bepaalde gevallen moeten zij het datalek ook melden aan de mensen van wie de persoonsgegevens zijn gelekt. Een datalek melden gaat via het Meldloket datalekken van de AP.

Explosieve toename datadiefstal

De AP signaleerde in 2020 een explosieve toename van het aantal hacks gericht op het buitmaken van persoonsgegevens. Het aantal meldingen steeg in 2020 met maar liefst 30% ten opzichte van 2019. Dat blijkt uit de Rapportage Datalekken 2020. Datadiefstal is vaak te voorkomen door een betere beveiliging.

""
Publicaties