Booking.com meldt datalek te laat: 475.000 euro boete
Het te laat melden van een datalek kan naast afnemend consumentenvertrouwen ook leiden tot hoge boetes. Dat heeft Booking.com nu ook ervaren. Het 22 te laat melden van een relatief klein datalek kost de reisorganisatie nu 475.000 euro. Bij het datalek maakten criminelen persoonsgegevens van meer dan 4.000 klanten buit. Zij konden daarbij ook de hand leggen op creditcardgegevens van bijna 300 slachtoffers. In een reactie stelt Booking.com dat de boete van de Autoriteit Persoonsgegevens specifiek betrekking heeft op het te laat melden van dit incident en niet op de beveiligingspraktijken van Booking.com, noch met de algehele afhandeling van het incident in kwestie. Booking.com gaat niet in bezwaar of beroep tegen de boete van de AP.
Het onderzoek naar Booking.com was een internationaal onderzoek. Het gaat om een internationaal bedrijf met klanten uit verschillende landen. Booking.com heeft zijn wereldwijde hoofdvestiging in Nederland. Daarom voerde de AP dit onderzoek uit. Omdat het om een internationale kwestie gaat, heeft de AP het onderzoek afgestemd met de andere Europese privacytoezichthouders.
Datalek met grote gevolgen
Criminelen ontfutselden per telefoon bij medewerkers van 40 hotels in de Verenigde Arabische Emiraten inloggegevens tot hun accounts in een systeem van Booking.com. Zo kregen de criminelen in december 2018 toegang tot de gegevens van 4.109 mensen die via de boekingssite een hotelkamer hadden geboekt in dat land. Het ging onder meer om hun namen, adressen en telefoonnummers en details over hun boeking. De criminelen hebben daarbij ook de creditcardgegevens van 283 mensen ingezien. In 97 gevallen inclusief de beveiligingscode van de creditcard. Daarnaast probeerden ze de creditcardgegevens van andere slachtoffers te bemachtigen, door zich per mail of telefoon voor te doen als medewerker van Booking.com.
22 dagen te laat gemeld
Booking.com werd op 13 januari 2019 op de hoogte gebracht van het datalek, maar meldde het pas op 7 februari bij de AP. Dat is 22 dagen te laat. Het is namelijk verplicht een datalek binnen 72 uur te melden. Booking.com heeft de getroffen klanten op 4 februari 2019 op de hoogte gebracht van het lek. Daarnaast nam het bedrijf andere maatregelen om de schade te beperken, zoals het aanbod om eventuele schade te vergoeden.”Dit is een ernstige overtreding”, zegt AP-vicevoorzitter Monique Verdier.
"Een datalek kan helaas overal gebeuren, ook al heb je goede voorzorgsmaatregelen getroffen. Maar om schade voor je klanten en herhaling van zo’n datalek te voorkomen, moet je dit op tijd melden. Die snelheid is van groot belang. In de eerste plaats voor de slachtoffers van een lek. De AP kan een bedrijf na zo’n melding onder meer opdragen meteen getroffen klanten te waarschuwen. Om zo te voorkomen dat criminelen bijvoorbeeld weken de tijd krijgen om door te gaan met pogingen klanten op te lichten.”
Boete alleen voor te late melding
Voor Booking.com is het belangrijk om op te merken dat de boete van de Autoriteit Persoonsgegevens specifiek betrekking heeft op het te laat melden van dit incident en niet in verband staat met de beveiligingspraktijken van Booking.com, noch met de algehele afhandeling van het incident in kwestie. "In feite erkent het AP-rapport de transparante en open afhandeling van dit incident door Booking.com, inclusief de manier waarop we getroffen klanten en partners vervolgens hebben ondersteund, wat ertoe heeft geleid dat het standaardbedrag van de boete met € 50.000 is verlaagd.”
Medewerkers en partners bewust maken
Booking.com stelt dat hoewel een klein aantal hotels onbedoeld inloggegevens van hun Booking.com-account aan online oplichters hebben verstrekt, er geen sprake was van een compromitterende situatie met betrekking tot de code of databases van het Booking.com-platform: "Nadat we op 13 januari 2019 de eerste meldingen van verdachte activiteiten hadden ontvangen, begonnen we te werken aan het begrijpen van het probleem en deze op te lossen, maar helaas werd de kwestie niet zo snel intern geëscaleerd als we hadden gewild, wat leidde tot de late melding van het incident bij het Autoriteit Persoonsgegevens.” Booking.com heeft sindsdien extra stappen ondernomen om onze partners en medewerkers beter bewust te maken van, en voor te lichten over belangrijke privacymaatregelen en algemene beveiligingsprocessen. "Tegelijkertijd werken we aan het verder optimaliseren van de snelheid en efficiëntie van onze interne meldingskanalen. Dit is een doorlopend en iteratief proces, zodat we de meldingsdeadlines van de AP kunnen halen.”
Grote verantwoordelijkheid
Volgens Verdier heeft zo’n groot bedrijf, met waardevolle persoonsgegevens van miljoenen klanten in zijn systemen, een grote verantwoordelijkheid. "Klanten vertrouwen hun persoonsgegevens toe aan Booking.com. En die moet er alles aan doen om de gegevens goed te beschermen. Dat betekent een goede beveiliging om een lek te voorkomen, maar ook snelle actie mocht het onverhoopt toch misgaan.”
Meldplicht datalekken
De meldplicht datalekken houdt in dat zowel bedrijven als overheden direct (en uiterlijk binnen 72 uur) een melding moeten doen bij de AP wanneer zij een ernstig datalek hebben. In bepaalde gevallen moeten zij het datalek ook melden aan de mensen van wie de persoonsgegevens zijn gelekt. Een datalek melden gaat via het Meldloket datalekken van de AP.
