Deze website maakt gebruik van cookies.Meer informatieDeze melding verbergen

Geplaatst op: 01-04-2021
Auteur: Ton Vermeulen
NRIT

Booking.com meldt datalek te laat: 475.000 euro boete

Booking.com meldt datalek te laat: 475.000 euro boete
Photo by ThisIsEngineering from Pexels

Het te laat melden van een datalek kan naast afnemend consumentenvertrouwen ook leiden tot hoge boetes. Dat heeft Booking.com nu ook ervaren. Het 22 te laat melden van een relatief klein datalek kost de reisorganisatie nu 475.000 euro. Bij het datalek maakten criminelen persoonsgegevens van meer dan 4.000 klanten buit. Zij konden daarbij ook de hand leggen op creditcardgegevens van bijna 300 slachtoffers. In een reactie stelt Booking.com dat de boete van de Autoriteit Persoonsgegevens specifiek betrekking heeft op het te laat melden van dit incident en niet op de beveiligingspraktijken van Booking.com, noch met de algehele afhandeling van het incident in kwestie. Booking.com gaat niet in bezwaar of beroep tegen de boete van de AP.

Het onderzoek naar Booking.com was een internationaal onderzoek. Het gaat om een internationaal bedrijf met klanten uit verschillende landen. Booking.com heeft zijn wereldwijde hoofdvestiging in Nederland. Daarom voerde de AP dit onderzoek uit. Omdat het om een internationale kwestie gaat, heeft de AP het onderzoek afgestemd met de andere Europese privacytoezichthouders.

Datalek met grote gevolgen

Criminelen ontfutselden per telefoon bij medewerkers van 40 hotels in de Verenigde Arabische Emiraten inloggegevens tot hun accounts in een systeem van Booking.com. Zo kregen de criminelen in december 2018 toegang tot de gegevens van 4.109 mensen die via de boekingssite een hotelkamer hadden geboekt in dat land. Het ging onder meer om hun namen, adressen en telefoonnummers en details over hun boeking. De criminelen hebben daarbij ook de creditcardgegevens van 283 mensen ingezien. In 97 gevallen inclusief de beveiligingscode van de creditcard. Daarnaast probeerden ze de creditcardgegevens van andere slachtoffers te bemachtigen, door zich per mail of telefoon voor te doen als medewerker van Booking.com.

22 dagen te laat gemeld

Booking.com werd op 13 januari 2019 op de hoogte gebracht van het datalek, maar meldde het pas op 7 februari bij de AP. Dat is 22 dagen te laat. Het is namelijk verplicht een datalek binnen 72 uur te melden. Booking.com heeft de getroffen klanten op 4 februari 2019 op de hoogte gebracht van het lek. Daarnaast nam het bedrijf andere maatregelen om de schade te beperken, zoals het aanbod om eventuele schade te vergoeden.”Dit is een ernstige overtreding”, zegt AP-vicevoorzitter Monique Verdier. 

"Een datalek kan helaas overal gebeuren, ook al heb je goede voorzorgsmaatregelen getroffen. Maar om schade voor je klanten en herhaling van zo’n datalek te voorkomen, moet je dit op tijd melden. Die snelheid is van groot belang. In de eerste plaats voor de slachtoffers van een lek. De AP kan een bedrijf na zo’n melding onder meer opdragen meteen getroffen klanten te waarschuwen. Om zo te voorkomen dat criminelen bijvoorbeeld weken de tijd krijgen om door te gaan met pogingen klanten op te lichten.”

Boete alleen voor te late melding

Voor Booking.com is het belangrijk om op te merken dat de boete van de Autoriteit Persoonsgegevens specifiek betrekking heeft op het te laat melden van dit incident en niet in verband staat met de beveiligingspraktijken van Booking.com, noch met de algehele afhandeling van het incident in kwestie. "In feite erkent het AP-rapport de transparante en open afhandeling van dit incident door Booking.com, inclusief de manier waarop we getroffen klanten en partners vervolgens hebben ondersteund, wat ertoe heeft geleid dat het standaardbedrag van de boete met € 50.000 is verlaagd.”  

Medewerkers en partners bewust maken

Booking.com stelt dat hoewel een klein aantal hotels onbedoeld inloggegevens van hun Booking.com-account aan online oplichters hebben verstrekt, er geen sprake was van een compromitterende situatie met betrekking tot de code of databases van het Booking.com-platform: "Nadat we op 13 januari 2019 de eerste meldingen van verdachte activiteiten hadden ontvangen, begonnen we te werken aan het begrijpen van het probleem en deze op te lossen, maar helaas werd de kwestie niet zo snel intern geëscaleerd als we hadden gewild, wat leidde tot de late melding van het incident bij het Autoriteit Persoonsgegevens.” Booking.com heeft sindsdien extra stappen ondernomen om onze partners en medewerkers beter bewust te maken van, en voor te lichten over belangrijke privacymaatregelen en algemene beveiligingsprocessen. "Tegelijkertijd  werken we aan het verder optimaliseren van de snelheid en efficiëntie van onze interne meldingskanalen. Dit is een doorlopend en iteratief proces, zodat we de meldingsdeadlines van de AP kunnen halen.” 

Grote verantwoordelijkheid

Volgens Verdier heeft zo’n groot bedrijf, met waardevolle persoonsgegevens van miljoenen klanten in zijn systemen, een grote verantwoordelijkheid. "Klanten vertrouwen hun persoonsgegevens toe aan Booking.com. En die moet er alles aan doen om de gegevens goed te beschermen. Dat betekent een goede beveiliging om een lek te voorkomen, maar ook snelle actie mocht het onverhoopt toch misgaan.”

Meldplicht datalekken

De meldplicht datalekken houdt in dat zowel bedrijven als overheden direct (en uiterlijk binnen 72 uur) een melding moeten doen bij de AP wanneer zij een ernstig datalek hebben. In bepaalde gevallen moeten zij het datalek ook melden aan de mensen van wie de persoonsgegevens zijn gelekt. Een datalek melden gaat via het Meldloket datalekken van de AP.

Trefwoorden: reisbranche, privacy, data, datalekken, boetes

CELTH



||| Nieuws |||

22/05/25
easyJet blikt terug en gaat positief de zomer in
Luchtvaartmaatschappij easyJet verwacht een winstgroei voor het volledige boekjaar 2025. Dit is mede te danken aan een lichte verbetering van de resultaten in de winter en een toenemende vraag naar vluchten en vakanties in de komende zomer. easyJet Holidays gaat naar verwachting sterk groeien.
22/05/25
Geerte Udo nieuwe voorzitter Landelijke Raad voor Recreatie en Toerisme
Geerte Udo is per 1 augustus benoemd tot onafhankelijk voorzitter van de Landelijke Raad voor Recreatie en Toerisme (LRRT). Udo brengt ruime ervaring mee uit het publiek-private domein, onder meer als voormalig directeur-bestuurder van amsterdam&partners.
22/05/25
Exclusief voor leden
Brussels Airport Fund open voor duurzame initiatieven rondom de luchthaven
Voor het derde jaar op rij steunt het Brussels Airport Fund, beheerd door de Koning Boudewijnstichting, duurzame projecten in de omgeving van de luchthaven.
21/05/25
Ryanair rapporteert winstdaling ondanks recordaantal passagiers
Luchtvaartmaatschappij Ryanair heeft over het afgelopen boekjaar (2024-2025) een winst na belasting van €1,61 miljard gerapporteerd. Dit is een daling ten opzichte van de €1,92 miljard winst in het voorgaande jaar. Ondanks de winstdaling vervoerde de Ierse prijsvechter een recordaantal van 200 miljoen passagiers, een stijging van 9% ten opzichte van het jaar ervoor.
21/05/25
Mnister Beljaarts neemt 'Handreiking regeldruk in de watersport- en recreatiesector’ in ontvangst
HISWA-RECRON-directeur Geert Dijks heeft de ‘Handreiking regeldruk in de watersport- en recreatiesector’ deze week aangeboden aan minister Beljaarts van Economische Zaken.
21/05/25
Boele wordt salesmanager Retail bij Corendon
Tineke Boele start op 1 juli 2025 als Salesmanager Retail bij reisbedrijf Corendon. In deze rol is zij verantwoordelijk voor de verkoop van reisproducten via retailpartners.
21/05/25
Werkveldkandidaten gezocht voor Professional Doctorate in Leisure, Tourism & Hospitality
CELTH zoekt voor de professional doctorate kandidaten uit het werkveld. De PD biedt organisaties de kans om voorop te lopen in innovatie binnen de LTH-sector. Het traject, dat vier tot zes jaar duurt, combineert praktijkgericht onderzoek met concrete interventies.
21/05/25
Advies; voorlopig niet wandelen bij landgoed Den Treek-Henschoten
Na een incident op Landgoed Den Treek – Henschoten van maandag 19 mei waarbij mogelijk een wolf is betrokken, heeft de provincie Utrecht een aantal stappen gezet om zo snel mogelijk passende maatregelen te kunnen nemen.

||| Agenda |||

26/05/25
26/05/25 t/m 26-05-25: European Sustainable Tourism Mobility Forum 2025
De Breda University of Applied Sciences organiseert in samenwerking met het Ministerie van Infr...
27/05/25
27/05/25 t/m 27-05-25: HZ Changemaker Event
Op dinsdag 27 mei vindt het HZ Changemaker Event plaats. Dan wordt voor de tweede keer de HZ Changem...
05/06/25
05/06/25 t/m 05-06-25: Nationaal Congres Citymarketing
Hoe draagt city- en regiomarketing bij aan brede welvaart, leefbaarheid en de binding met inwoners? ...
24/06/25
24/06/25 t/m 24-06-25: Vakbeurs Vakantiehuis van de Toekomst
Het kennisplatform 'Vakantiehuis van de Toekomst' organiseert op dinsdag 24 juni 2025 de vakbeurs 'V...
25/06/25
25/06/25 t/m 25-06-25: Vakbeurs Family Entertainment Centers
Pleisureworld organiseert op woensdag 25 juni 2025 de Vakbeurs Family Entertainment Centers op ...