Kennisbank
Volgend artikel
Vorig artikel
Kennisbank

Geplaatst op: 01-04-2021
Auteur: Ton Vermeulen
NRIT

Booking.com meldt datalek te laat: 475.000 euro boete

Booking.com meldt datalek te laat: 475.000 euro boete
Photo by ThisIsEngineering from Pexels

Het te laat melden van een datalek kan naast afnemend consumentenvertrouwen ook leiden tot hoge boetes. Dat heeft Booking.com nu ook ervaren. Het 22 te laat melden van een relatief klein datalek kost de reisorganisatie nu 475.000 euro. Bij het datalek maakten criminelen persoonsgegevens van meer dan 4.000 klanten buit. Zij konden daarbij ook de hand leggen op creditcardgegevens van bijna 300 slachtoffers. In een reactie stelt Booking.com dat de boete van de Autoriteit Persoonsgegevens specifiek betrekking heeft op het te laat melden van dit incident en niet op de beveiligingspraktijken van Booking.com, noch met de algehele afhandeling van het incident in kwestie. Booking.com gaat niet in bezwaar of beroep tegen de boete van de AP.

Het onderzoek naar Booking.com was een internationaal onderzoek. Het gaat om een internationaal bedrijf met klanten uit verschillende landen. Booking.com heeft zijn wereldwijde hoofdvestiging in Nederland. Daarom voerde de AP dit onderzoek uit. Omdat het om een internationale kwestie gaat, heeft de AP het onderzoek afgestemd met de andere Europese privacytoezichthouders.

Datalek met grote gevolgen

Criminelen ontfutselden per telefoon bij medewerkers van 40 hotels in de Verenigde Arabische Emiraten inloggegevens tot hun accounts in een systeem van Booking.com. Zo kregen de criminelen in december 2018 toegang tot de gegevens van 4.109 mensen die via de boekingssite een hotelkamer hadden geboekt in dat land. Het ging onder meer om hun namen, adressen en telefoonnummers en details over hun boeking. De criminelen hebben daarbij ook de creditcardgegevens van 283 mensen ingezien. In 97 gevallen inclusief de beveiligingscode van de creditcard. Daarnaast probeerden ze de creditcardgegevens van andere slachtoffers te bemachtigen, door zich per mail of telefoon voor te doen als medewerker van Booking.com.

22 dagen te laat gemeld

Booking.com werd op 13 januari 2019 op de hoogte gebracht van het datalek, maar meldde het pas op 7 februari bij de AP. Dat is 22 dagen te laat. Het is namelijk verplicht een datalek binnen 72 uur te melden. Booking.com heeft de getroffen klanten op 4 februari 2019 op de hoogte gebracht van het lek. Daarnaast nam het bedrijf andere maatregelen om de schade te beperken, zoals het aanbod om eventuele schade te vergoeden.”Dit is een ernstige overtreding”, zegt AP-vicevoorzitter Monique Verdier. 

"Een datalek kan helaas overal gebeuren, ook al heb je goede voorzorgsmaatregelen getroffen. Maar om schade voor je klanten en herhaling van zo’n datalek te voorkomen, moet je dit op tijd melden. Die snelheid is van groot belang. In de eerste plaats voor de slachtoffers van een lek. De AP kan een bedrijf na zo’n melding onder meer opdragen meteen getroffen klanten te waarschuwen. Om zo te voorkomen dat criminelen bijvoorbeeld weken de tijd krijgen om door te gaan met pogingen klanten op te lichten.”

Boete alleen voor te late melding

Voor Booking.com is het belangrijk om op te merken dat de boete van de Autoriteit Persoonsgegevens specifiek betrekking heeft op het te laat melden van dit incident en niet in verband staat met de beveiligingspraktijken van Booking.com, noch met de algehele afhandeling van het incident in kwestie. "In feite erkent het AP-rapport de transparante en open afhandeling van dit incident door Booking.com, inclusief de manier waarop we getroffen klanten en partners vervolgens hebben ondersteund, wat ertoe heeft geleid dat het standaardbedrag van de boete met € 50.000 is verlaagd.”  

Medewerkers en partners bewust maken

Booking.com stelt dat hoewel een klein aantal hotels onbedoeld inloggegevens van hun Booking.com-account aan online oplichters hebben verstrekt, er geen sprake was van een compromitterende situatie met betrekking tot de code of databases van het Booking.com-platform: "Nadat we op 13 januari 2019 de eerste meldingen van verdachte activiteiten hadden ontvangen, begonnen we te werken aan het begrijpen van het probleem en deze op te lossen, maar helaas werd de kwestie niet zo snel intern geëscaleerd als we hadden gewild, wat leidde tot de late melding van het incident bij het Autoriteit Persoonsgegevens.” Booking.com heeft sindsdien extra stappen ondernomen om onze partners en medewerkers beter bewust te maken van, en voor te lichten over belangrijke privacymaatregelen en algemene beveiligingsprocessen. "Tegelijkertijd  werken we aan het verder optimaliseren van de snelheid en efficiëntie van onze interne meldingskanalen. Dit is een doorlopend en iteratief proces, zodat we de meldingsdeadlines van de AP kunnen halen.” 

Grote verantwoordelijkheid

Volgens Verdier heeft zo’n groot bedrijf, met waardevolle persoonsgegevens van miljoenen klanten in zijn systemen, een grote verantwoordelijkheid. "Klanten vertrouwen hun persoonsgegevens toe aan Booking.com. En die moet er alles aan doen om de gegevens goed te beschermen. Dat betekent een goede beveiliging om een lek te voorkomen, maar ook snelle actie mocht het onverhoopt toch misgaan.”

Meldplicht datalekken

De meldplicht datalekken houdt in dat zowel bedrijven als overheden direct (en uiterlijk binnen 72 uur) een melding moeten doen bij de AP wanneer zij een ernstig datalek hebben. In bepaalde gevallen moeten zij het datalek ook melden aan de mensen van wie de persoonsgegevens zijn gelekt. Een datalek melden gaat via het Meldloket datalekken van de AP.

Topics:Reis & vervoer
Trefwoorden: reisbranche, privacy, data, datalekken, boetes
« Terug naar het overzicht

Gerelateerde berichten:

  • 19-11-24
    KLM breidt intercontinentale netwerk uit met drie nieuwe bestemmingen
  • 19-11-24
    Eindhoven Airport start met uitbreiding terminal
  • 15-11-24
    Verantwoord reizen blijft groeien: Riksja Travel boekt succes
  • 15-11-24
    Better Places: Positieve impact maken met reizen
  • 15-11-24
    Noorden boos over uitstel ontwikkeling Lelylijn en Nedersaksenlijn
  • 08-11-24
    Grote uitstoot door ver-vliegers: Milieu Centraal en Natuur & Milieu lanceren bewustwordingscampagne
  • 08-11-24
    Druk derde kwartaal voor Nederlandse luchthavens
  • 07-11-24
    Meer reizigers maar historisch slecht financieel resultaat KLM

    		•
    CELTH
     
       
       
       
       
       
       

       
       

       
       
       

       

    ||| Nieuws |||

    19/11/24
    KLM breidt intercontinentale netwerk uit met drie nieuwe bestemmingen
    KLM breidt haar intercontinentale netwerk uit met nieuwe diensten tussen Amsterdam en San Diego (VS), Georgetown (Guyana) en Hyderabad (India).
    19/11/24
    Eindhoven Airport start met uitbreiding terminal
    Bouwbedrijf Heijmans en Eindhoven Airport hebben een aannemingsovereenkomst getekend voor de uitbreiding van de terminal. Deze uitbreiding zal passagiers van de Brabantse luchthaven extra ruimte, comfort en beleving bieden, wat een belangrijke kwaliteitsimpuls voor de luchthaven betekent
    15/11/24
    Exclusief voor leden
    Verantwoord reizen blijft groeien: Riksja Travel boekt succes
    Verantwoord reizen wint aan populariteit, zoals blijkt uit de aanhoudende groei van reisorganisatie Riksja Travel. De organisatie, die nu tot de top 10 grootste touroperators in Nederland behoort en marktleider is op het gebied van verantwoorde rondreizen wereldwijd, zag in 2024 een omzetgroei van 25 procent.
    15/11/24
    Better Places: Positieve impact maken met reizen
    Reisorganisatie Better Places heeft haar Impactrapport over 2023 gepubliceerd en meldt trots de resultaten. De reisorganisatie is een voorbeeld voor anderen en loopt mijlenver voorop in de transitie. Ze minimaliseren de negatieve impact en vergroten de positieve.
    15/11/24
    Exclusief voor leden
    Noorden boos over uitstel ontwikkeling Lelylijn en Nedersaksenlijn
    Noordelijk Nederland is zeer ontstemd over de uitkomsten van het Bestuurlijk Overleg over mobiliteit tussen Rijk en regio van afgelopen woensdag 6 november. Twee belangrijke spoorlijnen voor het noorden gaan niet van start.
    08/11/24
    Exclusief voor leden
    Grote uitstoot door ver-vliegers: Milieu Centraal en Natuur & Milieu lanceren bewustwordingscampagne
    Uit een nieuw onderzoek van Motivaction, uitgevoerd in opdracht van Milieu Centraal en Natuur & Milieu, blijkt dat 4 op de 10 reizigers de klimaatimpact van verre vliegreizen onderschatten. Om reizigers bewust te maken van deze impact en gedragsverandering te stimuleren, lanceren Milieu Centraal en Natuur & Milieu vandaag de online campagne ‘Op vakantie? Denk dichtbij’.
    08/11/24
    Druk derde kwartaal voor Nederlandse luchthavens
    In het derde kwartaal van 2024 reisden 21,6 miljoen passagiers van en naar de vijf belangrijkste Nederlandse luchthavens. Dit is bijna 4% meer dan in hetzelfde kwartaal van 2023. Waar reisden al die passagiers naar toe?
    07/11/24
    Opmars Nederlandse tweewielermarkt zet zich voort
    Het aantal fietsen, brom/snorfietsen en motoren in ons land blijft gestaag groeien. Nu al tot een park van inmiddels 26,2 miljoen tweewielers
    Lees meer

    ||| Agenda |||

    Momenteel geen berichten aanwezig.
    Lees meer
    Magazines
    Recreatie & Toerisme
    Vrijetijdstudies
    Recente publicaties
    Trendrapport 2022 
    De Wereld van Toerisme
    Het Vakantiepark in NL
    Populaire topics
    Marketing
    Toerisme
    Vakanties
    Verblijfsrecreatie
    Kennisplatform
    Blogs
    Artikelen
    Agenda
    Uitgebreid zoeken
    NRIT Media
    Contact
    Disclaimer
    Adverteren
    Sitemap
    RSS