Bijna half miljoen euro boete voor Booking.com om te laat melden datalek
Booking.com moet een boete van 475.000 euro betalen omdat het bedrijf een datalek te laat gemeld heeft bij de Autoriteit Persoonsgegevens. Criminelen kregen toegang tot het reserveringssysteem en haalden op die manier duizenden klantgegevens binnen. In bijna 300 gevallen kregen zij ook creditcardgegevens in handen.
Booking.com meldde het datalek 22 dagen te laat. De reserveringssite wist zelf op 13 januari 2019 dat er een datalek was, maar meldde dat pas op 7 februari bij de Autoriteit Persoonsgegevens (AP).
De toezichthouder onderzocht de zaak, omdat het bedrijf bij de melding aangaf dat het lek bijna een maand eerder plaatsvond.
4109 hotelbezoekers
Criminelen kregen inloggegevens van het reserveringssysteem van Booking.com in handen door die telefonisch te ontfutselen van 40 hotelmedewerkers in de Verenigde Arabische Emiraten
Met die gegevens konden zij in de systemen van Booking.com komen en persoonsgegevens en contactgegevens van 4109 hotelbezoekers in handen krijgen die via het platform hadden geboekt. Daar zitten ook Nederlandse slachtoffers tussen. Hoeveel kan de toezichthouder niet zeggen.
Via de contactgegevens probeerden zij ook creditcardgegevens buit te maken, door de slachtoffers te bellen en mailen en zich voor te doen als medewerkers van Booking.com.
De 283 mensen bij wie dat lukte, komen uit 15 verschillende landen.
Op tijd melden
Om dit soort schade te voorkomen, is het belangrijk dat bedrijven een datalek op tijd melden. "Vooral om te voorkomen dat gegevens misbruikt kunnen worden", zegt een woordvoerder van de toezichthouder.
"Autoriteit Persoonsgegevens kan dan samen met het bedrijf zorgen dat het lek gedicht wordt en zorgen dat de schade voor betrokkenen zo laag mogelijk is. Dat is ook in het belang van het bedrijf. Als je schade van klanten kunt beperken, zou dat je veel waard kunnen zijn."
Booking niet in beroep
Drie weken nadat Booking.com op de hoogte was van het lek, werden klanten ingelicht dat hun gegevens gestolen waren. Daarnaast nam het bedrijf maatregelen om nog meer schade te voorkomen en bood het klanten aan eventuele schade te vergoeden
De boete voor Booking.com is de eerste internationale AVG-boete die de Autoriteit Persoonsgegevens uitdeelt, waarbij er ook slachtoffers zijn buiten Nederland. In een reactie op de boete zegt Booking.com het lek intern niet snel genoeg goed werd opgepakt maar dat de beveiliging van de systemen van het bedrijf nooit in gevaar zijn geweest.
Het bedrijf heeft 'extra stappen ondernomen' om zijn eigen medewerkers, en die bij bedrijven waar het mee samenwerkt, beter bewust te maken van maatregelen die belangrijk zijn voor de privacy en beveiliging.
Booking.com gaat niet in beroep en maakt ook geen bezwaar tegen de boete, meldt de toezichthouder.