Booking, bekend van de website Booking.com, kreeg recent een boete van 475.000 euro opgelegd. Dit omdat het een datalek bij hotels in de Verenigde Arabische Emiraten niet tijdig bij de AP (Autoriteit Persoonsgegevens) had gemeld. Hoewel het datalek buiten Europa plaatsvond en Booking een dochteronderneming is van het Amerikaanse Booking Holdings Inc., is het officieel in Nederland gevestigd en had het het datalek tijdig bij de AP moeten melden.
Diefstal van persoonsgegevens van duizenden gasten
Criminelen hadden zich in december 2018 toegang verschaft tot de gegevens van mensen die in de Verenigde Arabische Emiraten een hotelkamer hadden geboekt. Het probleem zou zijn ontstaan bij het extranet, een online administratief dashboard. Daartoe krijgen accommodatieverstrekkers toegang met behulp van een username, een wachtwoord en een 2FA-pincode. Criminelen hadden onbedoeld van lokale hotelmedewerkers inloggegevens verkregen. Het datalek staat dus los van de beveiliging van de codes of databases door Booking.
De criminelen gingen aan de haal met de namen, de telefoonnummers, de boekingsdetails en de adressen van 4.109 mensen. Van 283 van hen hebben ze ook de creditcardgegevens kunnen vergaren en in 97 gevallen zelfs de beveiligingscode. Vervolgens hebben zij ook klanten gecontacteerd. De criminelen deden alsof ze van het hotel waren, wat heel geloofwaardig was omdat ze ook over alle boekingsgegevens beschikten. Telefonisch vroegen ze om de overnachting nog eens te betalen en vervolgens lichtten ze ook deze klanten de beurs.
Laattijdige melding door Booking
Op 13 januari 2019 werd Booking door de lokale hotels op de hoogte gebracht van dit datalek. Booking is net zoals elk Nederlands bedrijf wettelijk verplicht om zo’n datalek binnen 72 uur na de ontdekking te melden. Dit is bijvoorbeeld ook wat het informaticabedrijf RDC deed: het bracht meteen de Autoriteit Persoonsgegevens en hun klanten op de hoogte na de berichtgeving door NOS. Booking deed dit echter niet en heeft tot 7 februari gewacht om het datalek bij de AP te melden. De melding kwam dus 22 dagen te laat binnen.
Zo’n snelle melding is natuurlijk niet zomaar verplicht. Bij een datalek is het vaak belangrijk om net heel snel actie te ondernemen. Zo worden gedupeerden sneller verwittigd en hebben criminelen geen weken de tijd om duizenden klanten op te lichten. Hier heeft Booking dus een grote fout gemaakt.
Monsterboete van 475.000 euro wegens laattijdige melding
Het is voor deze laattijdige melding dat Booking op het matje werd geroepen. De AP hield daarbij rekening met de schadebeperkende en herstellende maatregelen die het bedrijf had getroffen. Zo gaf Booking meteen bij hun klanten aan dat het de geleden schade zou vergoeden. Daarnaast heeft het waarschuwingen op hun platform geplaatst en getroffen accommodaties ingelicht. Omwille hiervan heeft de AP de boete met 50.000 euro verlaagd, maar uiteindelijk kreeg Booking nog steeds een boete van 475.000 euro opgelegd.
De opgelegde boete heeft enkel betrekking op de laattijdige melding en staat los van de beveiligingspraktijken. Booking erkent haar fout en geeft aan dat het ook zelf betreurt dat de situatie intern niet correct is ingeschat en te traag werd afgehandeld. Het heeft stappen gezet om medewerkers, partners en hotels bewuster te maken van de noodzaak van een snelle actie bij datalekken. Het bedrijf heeft aangegeven de boete te betalen, gedupeerde klanten integraal te vergoeden en niet in beroep te gaan.
Laat je adviseren door MKBrecht.nl
Deze monsterboete toont aan dat bedrijven die met privacy-inbreuken worden geconfronteerd, maar beter snel juridisch advies inwinnen zodat torenhoge boetes kunnen worden voorkomen. Zelfs zonder beveiligingsfouten kan de Autoriteit Persoonsgegevens namelijk zware boetes opleggen. Hoe dan ook beleeft de Autoriteit Persoonsgegevens drukke tijden. Het aantal meldingen zit al langer in stijgende lijn. Uit de rapportage van datalekken blijkt dat het aantal meldingen in 2020 met maar liefst 30% is gestegen ten opzichte van 2019. Het bewijst dat bedrijven maar beter hun privacyzaakjes op orde hebben. MKBrecht.nl helpt hen hierbij.
MKBrecht.nl Bedrijfsjuristen & Advocaten
Met onze brede expertise binnen onze praktijkgebieden bedienen we cliƫnten in uiteenlopende sectoren. Van MKB, beursgenoteerde bedrijven en internationale ondernemingen tot (semi-)overheden en non-profit. We bieden juridische adviezen op alle niveaus, van boardroom tot individuele medewerker. Kenmerkend voor onze dienstverlening zijn de hoge kwaliteit, betrouwbaarheid en verdieping in specialismen.
Op zoek naar:
Meer weten over onze dienstverlening? Bel 085 25000 44
