Geplaatst op: 01-04-2021
Auteur: Ton Vermeulen
NRIT

Booking.com meldt datalek te laat: 475.000 euro boete

Booking.com meldt datalek te laat: 475.000 euro boete
Photo by ThisIsEngineering from Pexels

Het te laat melden van een datalek kan naast afnemend consumentenvertrouwen ook leiden tot hoge boetes. Dat heeft Booking.com nu ook ervaren. Het 22 te laat melden van een relatief klein datalek kost de reisorganisatie nu 475.000 euro. Bij het datalek maakten criminelen persoonsgegevens van meer dan 4.000 klanten buit. Zij konden daarbij ook de hand leggen op creditcardgegevens van bijna 300 slachtoffers. In een reactie stelt Booking.com dat de boete van de Autoriteit Persoonsgegevens specifiek betrekking heeft op het te laat melden van dit incident en niet op de beveiligingspraktijken van Booking.com, noch met de algehele afhandeling van het incident in kwestie. Booking.com gaat niet in bezwaar of beroep tegen de boete van de AP.

Het onderzoek naar Booking.com was een internationaal onderzoek. Het gaat om een internationaal bedrijf met klanten uit verschillende landen. Booking.com heeft zijn wereldwijde hoofdvestiging in Nederland. Daarom voerde de AP dit onderzoek uit. Omdat het om een internationale kwestie gaat, heeft de AP het onderzoek afgestemd met de andere Europese privacytoezichthouders.

Datalek met grote gevolgen

Criminelen ontfutselden per telefoon bij medewerkers van 40 hotels in de Verenigde Arabische Emiraten inloggegevens tot hun accounts in een systeem van Booking.com. Zo kregen de criminelen in december 2018 toegang tot de gegevens van 4.109 mensen die via de boekingssite een hotelkamer hadden geboekt in dat land. Het ging onder meer om hun namen, adressen en telefoonnummers en details over hun boeking. De criminelen hebben daarbij ook de creditcardgegevens van 283 mensen ingezien. In 97 gevallen inclusief de beveiligingscode van de creditcard. Daarnaast probeerden ze de creditcardgegevens van andere slachtoffers te bemachtigen, door zich per mail of telefoon voor te doen als medewerker van Booking.com.

22 dagen te laat gemeld

Booking.com werd op 13 januari 2019 op de hoogte gebracht van het datalek, maar meldde het pas op 7 februari bij de AP. Dat is 22 dagen te laat. Het is namelijk verplicht een datalek binnen 72 uur te melden. Booking.com heeft de getroffen klanten op 4 februari 2019 op de hoogte gebracht van het lek. Daarnaast nam het bedrijf andere maatregelen om de schade te beperken, zoals het aanbod om eventuele schade te vergoeden.”Dit is een ernstige overtreding”, zegt AP-vicevoorzitter Monique Verdier. 

"Een datalek kan helaas overal gebeuren, ook al heb je goede voorzorgsmaatregelen getroffen. Maar om schade voor je klanten en herhaling van zo’n datalek te voorkomen, moet je dit op tijd melden. Die snelheid is van groot belang. In de eerste plaats voor de slachtoffers van een lek. De AP kan een bedrijf na zo’n melding onder meer opdragen meteen getroffen klanten te waarschuwen. Om zo te voorkomen dat criminelen bijvoorbeeld weken de tijd krijgen om door te gaan met pogingen klanten op te lichten.”

Boete alleen voor te late melding

Voor Booking.com is het belangrijk om op te merken dat de boete van de Autoriteit Persoonsgegevens specifiek betrekking heeft op het te laat melden van dit incident en niet in verband staat met de beveiligingspraktijken van Booking.com, noch met de algehele afhandeling van het incident in kwestie. "In feite erkent het AP-rapport de transparante en open afhandeling van dit incident door Booking.com, inclusief de manier waarop we getroffen klanten en partners vervolgens hebben ondersteund, wat ertoe heeft geleid dat het standaardbedrag van de boete met € 50.000 is verlaagd.”  

Medewerkers en partners bewust maken

Booking.com stelt dat hoewel een klein aantal hotels onbedoeld inloggegevens van hun Booking.com-account aan online oplichters hebben verstrekt, er geen sprake was van een compromitterende situatie met betrekking tot de code of databases van het Booking.com-platform: "Nadat we op 13 januari 2019 de eerste meldingen van verdachte activiteiten hadden ontvangen, begonnen we te werken aan het begrijpen van het probleem en deze op te lossen, maar helaas werd de kwestie niet zo snel intern geëscaleerd als we hadden gewild, wat leidde tot de late melding van het incident bij het Autoriteit Persoonsgegevens.” Booking.com heeft sindsdien extra stappen ondernomen om onze partners en medewerkers beter bewust te maken van, en voor te lichten over belangrijke privacymaatregelen en algemene beveiligingsprocessen. "Tegelijkertijd  werken we aan het verder optimaliseren van de snelheid en efficiëntie van onze interne meldingskanalen. Dit is een doorlopend en iteratief proces, zodat we de meldingsdeadlines van de AP kunnen halen.” 

Grote verantwoordelijkheid

Volgens Verdier heeft zo’n groot bedrijf, met waardevolle persoonsgegevens van miljoenen klanten in zijn systemen, een grote verantwoordelijkheid. "Klanten vertrouwen hun persoonsgegevens toe aan Booking.com. En die moet er alles aan doen om de gegevens goed te beschermen. Dat betekent een goede beveiliging om een lek te voorkomen, maar ook snelle actie mocht het onverhoopt toch misgaan.”

Meldplicht datalekken

De meldplicht datalekken houdt in dat zowel bedrijven als overheden direct (en uiterlijk binnen 72 uur) een melding moeten doen bij de AP wanneer zij een ernstig datalek hebben. In bepaalde gevallen moeten zij het datalek ook melden aan de mensen van wie de persoonsgegevens zijn gelekt. Een datalek melden gaat via het Meldloket datalekken van de AP.

Trefwoorden: reisbranche, privacy, data, datalekken, boetes

CELTH



||| Nieuws |||

03/07/25
Zomervakantie start met bijna 8% meer nieuwe caravans en campers
Aan de vooravond van de zomervakantie is de kampeerbranche in Nederland flink gegroeid. In de eerste helft van 2025 zijn er 6.256 nieuwe caravans en campers afgeleverd, een stijging van 7,7% ten opzichte van dezelfde periode in 2024.
03/07/25
Exclusief voor leden
Minder spanning op arbeidsmarkt gastvrijheidssector
De Landelijke Data Alliantie heeft de nieuwste kwartaalupdate van de Arbeidsmarktmonitor Gastvrijheidssector online gezet. Zien we daar de eerste tekenen van een trendbreuk naar een minder overspannen arbeidsmarkt in de gastvrijheidssector?
03/07/25
Steeds meer reizigers kiezen voor budgetmaatschappijen
Het aantal passagiers dat via Nederlandse luchthavens met een budgetmaatschappij vliegt, is in twintig jaar tijd verdrievoudigd. In 2024 maakten 27,8 miljoen reizigers gebruik van een prijsvechter, tegenover 9,3 miljoen in 2004.
02/07/25
Exclusief voor leden
Starbucks met 180 zitplaatsen opent op Schiphol
Centraal gelegen in de vernieuwde Lounge 1 van Schiphol is geopend een grote Starbucks-locatie van 500 vierkante meter. De herontwikkeling is het resultaat van een nauwe samenwerking tussen Schiphol, Avolta AG en Starbucks.
02/07/25
Minder Nederlanders deze zomer op vakantie
Volgens de meest recente ANWB Vakantiemonitor kiest een kleiner percentage van de Nederlanders – 57% vergeleken met 73% vorig jaar – ervoor om in juli en augustus op vakantie te gaan. Deze verschuiving kenmerkt zich door een duidelijke voorkeur voor dichterbij huis. Vakanties binnen Europa en in eigen land winnen terrein, wat resulteert in de auto als meest gekozen vervoermiddel.
02/07/25
Exclusief voor leden
Forse impact van btw-verhoging op logiessector
De btw-verhoging op logies leidt tot een vraagafname tot 30%, een 8,5% lagere omzet uit toeristische overnachtingen en flinke gevolgen voor budgethotels en de logiessector in de grensstreek. Toch wil het kabinet de btw-verhoging niet terugdraaien.
02/07/25
Exclusief voor leden
Versnelling gebruik AI
Van chatbots en sociale media campagnes tot en met werkprocessen in de horeca, AI is niet meer weg te denken uit de sector leisure. Het gebruik van AI maakt een versnelling mee in onze maatschappij.
30/06/25
Metropolitane fietsroute Delft - Naaldwijk in ontwikkeling
De bestaande fietsroute vanuit Westland naar het centrum van Delft wordt ontwikkeld tot metropolitane fietsroute Delft - Naaldwijk.