Deze website maakt gebruik van cookies.Meer informatieDeze melding verbergen

Kennisbank
Volgend artikel
Vorig artikel
Kennisbank

Geplaatst op: 01-04-2021
Auteur: Ton Vermeulen
NRIT

Booking.com meldt datalek te laat: 475.000 euro boete

Booking.com meldt datalek te laat: 475.000 euro boete
Photo by ThisIsEngineering from Pexels

Het te laat melden van een datalek kan naast afnemend consumentenvertrouwen ook leiden tot hoge boetes. Dat heeft Booking.com nu ook ervaren. Het 22 te laat melden van een relatief klein datalek kost de reisorganisatie nu 475.000 euro. Bij het datalek maakten criminelen persoonsgegevens van meer dan 4.000 klanten buit. Zij konden daarbij ook de hand leggen op creditcardgegevens van bijna 300 slachtoffers. In een reactie stelt Booking.com dat de boete van de Autoriteit Persoonsgegevens specifiek betrekking heeft op het te laat melden van dit incident en niet op de beveiligingspraktijken van Booking.com, noch met de algehele afhandeling van het incident in kwestie. Booking.com gaat niet in bezwaar of beroep tegen de boete van de AP.

Het onderzoek naar Booking.com was een internationaal onderzoek. Het gaat om een internationaal bedrijf met klanten uit verschillende landen. Booking.com heeft zijn wereldwijde hoofdvestiging in Nederland. Daarom voerde de AP dit onderzoek uit. Omdat het om een internationale kwestie gaat, heeft de AP het onderzoek afgestemd met de andere Europese privacytoezichthouders.

Datalek met grote gevolgen

Criminelen ontfutselden per telefoon bij medewerkers van 40 hotels in de Verenigde Arabische Emiraten inloggegevens tot hun accounts in een systeem van Booking.com. Zo kregen de criminelen in december 2018 toegang tot de gegevens van 4.109 mensen die via de boekingssite een hotelkamer hadden geboekt in dat land. Het ging onder meer om hun namen, adressen en telefoonnummers en details over hun boeking. De criminelen hebben daarbij ook de creditcardgegevens van 283 mensen ingezien. In 97 gevallen inclusief de beveiligingscode van de creditcard. Daarnaast probeerden ze de creditcardgegevens van andere slachtoffers te bemachtigen, door zich per mail of telefoon voor te doen als medewerker van Booking.com.

22 dagen te laat gemeld

Booking.com werd op 13 januari 2019 op de hoogte gebracht van het datalek, maar meldde het pas op 7 februari bij de AP. Dat is 22 dagen te laat. Het is namelijk verplicht een datalek binnen 72 uur te melden. Booking.com heeft de getroffen klanten op 4 februari 2019 op de hoogte gebracht van het lek. Daarnaast nam het bedrijf andere maatregelen om de schade te beperken, zoals het aanbod om eventuele schade te vergoeden.”Dit is een ernstige overtreding”, zegt AP-vicevoorzitter Monique Verdier. 

"Een datalek kan helaas overal gebeuren, ook al heb je goede voorzorgsmaatregelen getroffen. Maar om schade voor je klanten en herhaling van zo’n datalek te voorkomen, moet je dit op tijd melden. Die snelheid is van groot belang. In de eerste plaats voor de slachtoffers van een lek. De AP kan een bedrijf na zo’n melding onder meer opdragen meteen getroffen klanten te waarschuwen. Om zo te voorkomen dat criminelen bijvoorbeeld weken de tijd krijgen om door te gaan met pogingen klanten op te lichten.”

Boete alleen voor te late melding

Voor Booking.com is het belangrijk om op te merken dat de boete van de Autoriteit Persoonsgegevens specifiek betrekking heeft op het te laat melden van dit incident en niet in verband staat met de beveiligingspraktijken van Booking.com, noch met de algehele afhandeling van het incident in kwestie. "In feite erkent het AP-rapport de transparante en open afhandeling van dit incident door Booking.com, inclusief de manier waarop we getroffen klanten en partners vervolgens hebben ondersteund, wat ertoe heeft geleid dat het standaardbedrag van de boete met € 50.000 is verlaagd.”  

Medewerkers en partners bewust maken

Booking.com stelt dat hoewel een klein aantal hotels onbedoeld inloggegevens van hun Booking.com-account aan online oplichters hebben verstrekt, er geen sprake was van een compromitterende situatie met betrekking tot de code of databases van het Booking.com-platform: "Nadat we op 13 januari 2019 de eerste meldingen van verdachte activiteiten hadden ontvangen, begonnen we te werken aan het begrijpen van het probleem en deze op te lossen, maar helaas werd de kwestie niet zo snel intern geëscaleerd als we hadden gewild, wat leidde tot de late melding van het incident bij het Autoriteit Persoonsgegevens.” Booking.com heeft sindsdien extra stappen ondernomen om onze partners en medewerkers beter bewust te maken van, en voor te lichten over belangrijke privacymaatregelen en algemene beveiligingsprocessen. "Tegelijkertijd  werken we aan het verder optimaliseren van de snelheid en efficiëntie van onze interne meldingskanalen. Dit is een doorlopend en iteratief proces, zodat we de meldingsdeadlines van de AP kunnen halen.” 

Grote verantwoordelijkheid

Volgens Verdier heeft zo’n groot bedrijf, met waardevolle persoonsgegevens van miljoenen klanten in zijn systemen, een grote verantwoordelijkheid. "Klanten vertrouwen hun persoonsgegevens toe aan Booking.com. En die moet er alles aan doen om de gegevens goed te beschermen. Dat betekent een goede beveiliging om een lek te voorkomen, maar ook snelle actie mocht het onverhoopt toch misgaan.”

Meldplicht datalekken

De meldplicht datalekken houdt in dat zowel bedrijven als overheden direct (en uiterlijk binnen 72 uur) een melding moeten doen bij de AP wanneer zij een ernstig datalek hebben. In bepaalde gevallen moeten zij het datalek ook melden aan de mensen van wie de persoonsgegevens zijn gelekt. Een datalek melden gaat via het Meldloket datalekken van de AP.

Topics:Reis & vervoer
Trefwoorden: reisbranche, privacy, data, datalekken, boetes
« Terug naar het overzicht

Gerelateerde berichten:

  • 16-07-25
    Dordrecht zet koers naar duurzame groei riviercruisemarkt
  • 15-07-25
    Laadnetwerk voor elektrische vliegtuigen naar Lelystad
  • 15-07-25
    Vernieuwde fietsroute 'Duits Lijntje' laat je de historie van een Europese spoorlijn beleven
  • 11-07-25
    De fuik van nepadvertenties voor vakanties
  • 11-07-25
    Wat vinden reizigers belangrijk en wat trekt de boeking over de streep?
  • 11-07-25
    Bosbranden en hitte in zuidelijk Europa
  • 10-07-25
    Europeanen willen sneller en beter spoorvervoer
  • 04-07-25
    Petitie: informeer passagiers over tromboserisico

    		•
    CELTH

    ||| Nieuws |||

    15/07/25
    Laadnetwerk voor elektrische vliegtuigen naar Lelystad
    Duurzame luchtvaartstartup NRG2fly heeft een investering opgehaald voor de uitrol van een laadnetwer...
    15/07/25
    Vernieuwde fietsroute 'Duits Lijntje' laat je de historie van een Europese spoorlijn beleven
    Fietsers kunnen vanaf 14 juli de rijke geschiedenis van de bijzondere spoorlijn het 'Duits Lijntje' ervaren via een nieuwe themaroute.
    11/07/25
    De fuik van nepadvertenties voor vakanties
    Cybercriminelen zetten online advertenties in om vakantiegangers op te lichten. Mensen die dit niet op tijd door hebben, lopen het risico om aan oplichters allerlei persoonlijke informatie of creditcardgegevens prijs te geven. Daarom is het belangrijk dat mensen altijd eerst de officiële contactinformatie van reisorganisaties checken voordat ze contact opnemen.
    11/07/25
    Bosbranden en hitte in zuidelijk Europa
    Het Rode Kruis waarschuwt vakantiegangers die dit weekend naar zuidelijk Europa trekken. De hulporganisatie roept mensen op om goed voorbereid met vakantie te gaan. Met flinke bosbranden en zeer hoge temperaturen in Frankrijk, Spanje, Griekenland en Turkije ligt een noodsituatie deze zomer op de loer.
    10/07/25
    Exclusief voor leden
    Europeanen willen sneller en beter spoorvervoer
    Een ruime meerderheid van de Europeanen vindt dat het spoorvervoer tussen EU-landen dringend verbeterd moet worden. Dat blijkt uit een nieuwe peiling van Polling Europe onder ruim 5.000 inwoners van de 27 EU-lidstaten
    04/07/25
    Exclusief voor leden
    Petitie: informeer passagiers over tromboserisico
    De Trombosestichting is een petitie gestart om luchtvaartmaatschappijen te bewegen passagiers beter te informeren over het risico op trombose tijdens lange vluchten.
    04/07/25
    Waar genieten Nederlanders deze zomer van hun vakantie?
    De zomervakantie staat voor de deur en veel Nederlanders maken zich op voor een welverdiende reis naar het buitenland. Volgens reisorganisatie TUI blijven Spanje, Griekenland en Turkije de populairste Europese vliegbestemmingen.
    04/07/25
    Air France-KLM wil meerderheidsbelang in SAS
    Air France-KLM wil haar belang in het aandelenkapitaal van SAS verhogen van 19,9% naar 60,5% door de volledige overname van de aandelen van Castlelake en Lind Invest.
    Lees meer

    ||| Agenda |||

    27/08/25
    27/08/25 t/m 27-08-25: CELTH Industry Day World Leisure Congress
    Het World Leisure Congress (WLO) komt na 13 jaar weer terug in Europa en voor het eerst naar Nederla...
    22/09/25
    22/09/25 t/m 22-09-25: Toerisme Top 2025
    De Toerisme Top wordt dit jaar op maandag 22 september in Noord-Holland georganiseerd. Het thema is ...
    Lees meer
    Magazines
    Recreatie & Toerisme
    Vrijetijdstudies
    Recente publicaties
    Trendrapport 2022 
    De Wereld van Toerisme
    Het Vakantiepark in NL
    Populaire topics
    Marketing
    Toerisme
    Vakanties
    Verblijfsrecreatie
    Kennisplatform
    Blogs
    Artikelen
    Agenda
    Uitgebreid zoeken
    NRIT Media
    Contact
    Disclaimer
    Adverteren
    Sitemap
    RSS