Boete Booking.com voor te laat melden datalek

Boete Booking.com voor te laat melden datalek

expertise:

IT & Privacy

01 april 2021

Na Uber is Booking.com het tweede platform dat een boete krijgt van de AP voor het te laat melden van een datalek. Bij het datalek werden gegevens van meer dan 4.000 klanten ingezien. Eerder waarschuwde de AP al voor een explosieve toename van hacks gericht op het buitmaken van persoonsgegevens. Daarvan was ook bij Booking.com sprake.

Zoals wel vaker bij datalekken was de zwakke schakel niet de techniek, maar de mens. Criminelen achterhaalden per telefoon de inloggegevens van hotelmedewerkers tot Booking.com. Op die manier kregen zij toegang tot hun accounts bij Booking.com en daarmee ook tot de persoonsgegevens van gasten van die hotels, zoals naam, adres, telefoonnummer en details over hun boeking. Bovendien verkregen zij toegang tot creditcardgegevens van 283 gasten, waaronder in 97 gevallen zelfs tot de beveiligingscode (CVC). Dat was blijkbaar niet genoeg, want de criminelen probeerden via phishing nog meer gegevens te achterhalen. Zij deden zich via e-mail of telefoon voor als medewerkers van Booking.com om slachtoffers geld of meer gegevens afhandig te maken.

Booking.com was op 13 januari 2019 op de hoogte gesteld van het datalek, maar meldde dit pas 22 dagen later op 7 februari 2019. Melding van een datalek moet uiterlijk binnen 72 uur na kennisname plaatsvinden als er waarschijnlijk (hoge) risico’s zijn voor de rechten en vrijheden van betrokkenen. Bij het lekken van creditcardgegevens is daar al gauw sprake van. Door een datalek snel te melden (aan AP of aan de betrokken personen) kunnen zij maatregelen treffen om verdere schade te voorkomen. Zo kan een betrokkene extra alert zijn bij e-mails en telefoontjes van vermeende medewerkers van Booking.com of hotels waarbij om meer informatie of geld wordt verzocht. Door het te laat melden hebben criminelen langer de gelegenheid gehad om slachtoffers te benaderen. Om die reden krijgt Booking.com een boete van EUR 475.000,-.

Omdat het gaat om een grensoverschrijdende verwerking (het gaat om betrokkenen uit meerdere lidstaten die wezenlijke gevolgen ondervinden) en Booking.com haar hoofdvestiging in Nederland heeft gevestigd, vindt de AP dat zij als leidende toezichthouder bevoegd is om op te treden.

De aan Booking.com opgelegde boete maakt nog maar eens duidelijk, hoe belangrijk het is dat medewerkers worden geïnstrueerd (en getraind) rondom het beheer van inloggegevens én dat meldingen van (potentiële) datalekken direct worden opgepakt en – indien noodzakelijk – gemeld. 

Wilt u meer weten over datalekken, hoe deze te voorkomen en wat er moet gebeuren in geval van een datalek? Neem dan gerust vrijblijvend contact met op met Wieger Weijland of één van de andere leden van het Privacy-team. Ook nodigen wij u graag uit om ons webinar Actualiteiten Privacyrecht bij te wonen op 15 april 2021. U kunt zich aanmelden via onze website.