Hoge boete Booking.com wegens te laat melden datalek

De Autoriteit Persoonsgegevens (AP) legt Booking.com een boete op van 475.000 euro omdat het een datalek te laat meldde bij de AP. Bij het datalek maakten criminelen persoonsgegevens van meer dan 4.000 klanten buit. Zij konden daarbij ook de hand leggen op creditcardgegevens van bijna 300 slachtoffers.

Criminelen ontfutselden per telefoon bij medewerkers van veertig hotels in de Verenigde Arabische Emiraten inloggegevens tot hun accounts in een systeem van Booking.com. Zo kregen zij in december 2018 toegang tot de gegevens van 4.109 mensen die via de boekingssite een hotelkamer hadden geboekt in dat land. Het ging onder meer om hun namen, adressen en telefoonnummers en details over hun boeking.

Beveiligingscode
De criminelen hebben daarbij ook de creditcardgegevens van 283 mensen ingezien. In 97 gevallen inclusief de beveiligingscode van de creditcard. Daarnaast probeerden ze de creditcardgegevens van andere slachtoffers te bemachtigen, door zich per mail of telefoon voor te doen als medewerker van Booking.com.
“Booking.com-klanten liepen hier het risico flink bestolen te worden”, zegt AP-vicevoorzitter Monique Verdier. “Ook als de criminelen geen creditcardgegevens buitmaakten maar alleen iemands naam, contactgegevens en informatie over zijn of haar hotelboeking. Die gegevens gebruikten de oplichters namelijk voor phishing.”

22 dagen te laat gemeld
“Door per telefoon of mail te doen alsof ze van het hotel waren, probeerden de criminelen mensen geld afhandig te maken. Dat kan zeer geloofwaardig zijn als zo’n oplichter precies weet wanneer jij welke kamer hebt geboekt. En vraagt of je die overnachtingen nog even wilt betalen. De schade kan dan flink oplopen”, aldus Verdier.
Booking.com werd op 13 januari 2019 op de hoogte gebracht van het datalek, maar meldde het pas op 7 februari bij de AP. Dat is 22 dagen te laat. Het is namelijk verplicht een datalek binnen 72 uur te melden.
Booking.com heeft de getroffen klanten op 4 februari 2019 op de hoogte gebracht van het lek. Daarnaast nam het bedrijf andere maatregelen om de schade te beperken, zoals het aanbod om eventuele schade te vergoeden.

Ernstige overtreding
“Dit is een ernstige overtreding”, zegt Verdier. “Een datalek kan helaas overal gebeuren, ook al heb je goede voorzorgsmaatregelen getroffen. Maar om schade voor je klanten en herhaling van zo’n datalek te voorkomen, moet je dit op tijd melden.”
“Die snelheid is van groot belang. In de eerste plaats voor de slachtoffers van een lek. De AP kan een bedrijf na zo’n melding onder meer opdragen meteen getroffen klanten te waarschuwen. Om zo te voorkomen dat criminelen bijvoorbeeld weken de tijd krijgen om door te gaan met pogingen klanten op te lichten.”

Grote verantwoordelijkheid
Verdier: “Zo’n groot bedrijf, met waardevolle persoonsgegevens van miljoenen klanten in zijn systemen, heeft een grote verantwoordelijkheid. Klanten vertrouwen hun persoonsgegevens toe aan Booking.com. En die moet er alles aan doen om de gegevens goed te beschermen. Dat betekent een goede beveiliging om een lek te voorkomen, maar ook snelle actie mocht het onverhoopt toch misgaan.”
Booking.com gaat niet in bezwaar of beroep tegen de boete van de AP.

Internationaal onderzoek
Het onderzoek naar Booking.com was een internationaal onderzoek. Het gaat om een internationaal bedrijf met klanten uit verschillende landen. Booking.com heeft zijn wereldwijde hoofdvestiging in Nederland. Daarom voerde de AP dit onderzoek uit. Omdat het om een internationale kwestie gaat, heeft de AP het onderzoek afgestemd met de andere Europese privacytoezichthouders.

Meldplicht datalekken
De meldplicht datalekken houdt in dat zowel bedrijven als overheden direct (en uiterlijk binnen 72 uur) een melding moeten doen bij de AP wanneer zij een ernstig datalek hebben. In bepaalde gevallen moeten zij het datalek ook melden aan de mensen van wie de persoonsgegevens zijn gelekt. Een datalek melden gaat via het Meldloket datalekken van de AP.

Explosieve toename datadiefstal
De AP signaleerde in 2020 een explosieve toename van het aantal hacks gericht op het buitmaken van persoonsgegevens. Het aantal meldingen steeg in 2020 met maar liefst 30% ten opzichte van 2019. Dat blijkt uit de Rapportage Datalekken 2020. Datadiefstal is vaak te voorkomen door een betere beveiliging.

Reactie Booking.com
In een reactie geeft Booking.com aan dat de boete van de Autoriteit Persoonsgegevens specifiek betrekking heeft op het te laat melden van het incident en dat de kwestie niet in verband staat met de beveiligingspraktijken van het bedrijf of de algehele afhandeling van het incident. Een klein aantal hotels hebben onbedoeld inloggegevens van hun Booking.com-account aan online oplichters verstrekt, maar er was volgens de reisbemiddelaar geen sprake van een compromitterende situatie met betrekking tot de code of databases van het Booking.com-platform. “Nadat we de eerste meldingen van verdachte activiteiten hadden ontvangen, begonnen we te werken aan het begrijpen van het probleem en deze op te lossen, maar helaas werd de kwestie niet zo snel intern geëscaleerd als we hadden gewild. We hebben sindsdien extra stappen ondernomen om onze partners en medewerkers beter bewust te maken van en voor te lichten over belangrijke privacymaatregelen en algemene beveiligingsprocessen, terwijl we ook werken aan het verder optimaliseren van de snelheid en efficiëntie van onze interne meldingskanalen. De bescherming en beveiliging van persoonlijke informatie heeft en blijft de hoogste prioriteit bij Booking.com”, aldus Bram van Ginneken namens de reisbemiddelaar.

Deel dit artikel via: