De Autoriteit Persoonsgegevens (AP) legt Booking.com een boete op omdat het een datalek te laat meldde. Het bedrijf krijgt een boetebedrag van 475.000 euro.
Booking.com kreeg op 13 januari 2019 bericht over het datalek, maar meldde het pas op 7 februari. Dat is 22 dagen te laat. Het is namelijk verplicht een datalek binnen 72 uur te melden. Booking.com gaat niet in bezwaar of beroep tegen de boete.
Pas op 4 februari dat jaar bracht het bedrijf klanten op de hoogte gebracht van het lek. Daarnaast nam het bedrijf wel andere maatregelen om de schade te beperken, zoals het aanbod om eventuele schade te vergoeden.
Credit card
Bij het datalek maakten criminelen persoonsgegevens van meer dan 4.000 klanten buit. Zij konden daarbij ook de hand leggen op creditcardgegevens van bijna 300 slachtoffers. Criminelen ontfutselden per telefoon bij medewerkers van 40 hotels in de Verenigde Arabische Emiraten inloggegevens tot hun accounts in een systeem van Booking.com.
Zo kregen de criminelen in december 2018 uiteindelijk toegang tot de gegevens van 4.109 mensen die via de boekingssite een hotelkamer in dat land hadden geboekt. Het ging onder meer om hun namen, adressen en telefoonnummers en details over hun boeking.
Van 283 mensen konden de criminelen ook bij de creditcardgegevens. In 97 gevallen was dat inclusief de beveiligingscode. Daarnaast probeerden ze de creditcardgegevens van andere slachtoffers te bemachtigen, door zich per mail of telefoon voor te doen als medewerker van Booking.com.
Phishing
“Booking.com-klanten liepen hier het risico flink bestolen te worden”, zegt AP-vicevoorzitter Monique Verdier. “Ook als de criminelen geen creditcardgegevens buitmaakten maar alleen iemands naam, contactgegevens en informatie over zijn of haar hotelboeking. Die gegevens gebruikten de oplichters namelijk voor phishing.”
De meldplicht datalekken houdt in dat zowel bedrijven als overheden direct (en uiterlijk binnen 72 uur) een melding moeten doen bij de AP als zij een ernstig datalek hebben. In bepaalde gevallen moeten zij het datalek ook melden aan de mensen van wie de persoonsgegevens zijn gelekt.
Internationaal onderzoek
Het onderzoek naar Booking.com was een internationaal onderzoek. Omdat het bedrijf zijn wereldwijde hoofdvestiging in Nederland heeft voerde de AP dit onderzoek uit. Het onderzoek is afgestemd met de andere Europese privacytoezichthouders.
De AP signaleerde in 2020 een explosieve toename van het aantal hacks gericht op het buitmaken van persoonsgegevens. Het aantal meldingen steeg in 2020 met maar liefst 30% ten opzichte van 2019. Dat blijkt uit de Rapportage Datalekken 2020. Datadiefstal is vaak te voorkomen door een betere beveiliging.
Lees ook:
- 19.000 gedupeerden van datalek NAM
- Basis op orde is géén IT-project!
