Nieuws

Booking.com krijgt boete van 475.000 euro voor te laat melden van ernstig datalek

De Autoriteit Persoonsgegevens (AP) heeft Booking.com een boete opgelegd van 475.000 euro omdat het een groot datalek te laat meldde bij de toezichthouder.

Booking.com laat vlakbij het Centraal Station in Amsterdam een nieuw hoofdkantoor bouwen. Beeld Klaas Jan van der Weij
Booking.com laat vlakbij het Centraal Station in Amsterdam een nieuw hoofdkantoor bouwen.Beeld Klaas Jan van der Weij

Criminelen ontfutselden eind 2018 per telefoon bij medewerkers van veertig hotels in de Verenigde Arabische Emiraten inloggegevens voor een systeem van Booking.com. Zo kregen zij toegang tot de gegevens van 4.109 mensen die via de boekingssite een hotelkamer hadden geboekt in dat land. Het ging onder meer om hun namen, adressen en telefoonnummers en details over hun boeking.

De criminelen konden ook bij de creditcardgegevens van 283 mensen, in sommige gevallen inclusief de beveiligingscode van de creditcard. Tot slot probeerden ze de creditcardgegevens van andere slachtoffers te bemachtigen door zich per mail of telefoon voor te doen als medewerker van Booking.com.

Booking.com werd op 13 januari 2019 op de hoogte gebracht van het datalek, maar meldde het pas op 7 februari bij de Autoriteit Persoonsgegevens (AP). Dat is 22 dagen te laat: bedrijven zijn verplicht een datalek binnen 72 uur te melden. De getroffen klanten werden iets eerder geïnformeerd, namelijk op 4 februari. Daarnaast nam het bedrijf andere maatregelen om de schade te beperken, zoals het aanbod om eventuele schade te vergoeden.

AP-vicevoorzitter Monique Verdier noemt het een ‘ernstige overtreding’. Een datalek kan volgens haar iedereen overkomen, maar snel melden is van groot belang: ‘In de eerste plaats voor de slachtoffers van een lek. De AP kan een bedrijf na zo’n melding onder meer opdragen meteen getroffen klanten te waarschuwen. Om zo te voorkomen dat criminelen bijvoorbeeld weken de tijd krijgen om door te gaan met pogingen klanten op te lichten.’

Verantwoordelijkheid

Ze wijst erop dat een groot bedrijf als Booking.com, met waardevolle persoonsgegevens van miljoenen klanten in zijn systemen, een grote verantwoordelijkheid heeft. Volgens de toezichthouder liepen klanten het risico flink bestolen te worden, ook als er geen creditcardgegens werden buitgemaakt: ‘Door per telefoon of mail te doen alsof ze van het hotel waren, probeerden zij mensen geld afhandig te maken. Dat kan zeer geloofwaardig zijn als zo’n oplichter precies weet wanneer jij welke kamer hebt geboekt. En vraagt of je die overnachtingen nog even wilt betalen.’

De AP voerde het onderzoek uit omdat Booking.com zijn wereldwijde hoofdvestiging in Nederland heeft. Wel werd samengewerkt met andere Europese privacytoezichthouders omdat Booking wereldwijd opereert.

De toezichthouder signaleerde onlangs al ‘een explosieve toename’ van het aantal hacks gericht op het buitmaken van persoonsgegevens. Het aantal meldingen steeg in 2020 met maar 30 procent ten opzichte van 2019, zo blijkt uit de Rapportage Datalekken 2020. De boete van 475.000 voor Booking.com is niet de hoogste die de AP ooit uitdeelde. De autoriteit kan organisaties die de privacywet AVG overtreden een boete opleggen van maximaal 20 miljoen euro of 4 procent van de wereldwijde jaaromzet. Tot eind 2020 deelde de AP twaalf boetes uit, waarvan een deel nog niet openbaar is. In november 2018 kreeg techbedrijf Uber een boete van 600.000 voor een vergelijkbare overtreding.

Booking.com gaat niet in bezwaar of beroep tegen de boete van de AP. In een reactie stelt het bedrijf dat het sinds het incident extra stappen heeft ondernomen om zowel partners als medewerkers beter bewust te maken van ‘privacymaatregelen en algemene beveiligingsprocessen’. Ook zegt het bedrijf te werken aan ‘het verder optimaliseren van de snelheid en efficiëntie van onze interne meldingskanalen’.

Meer over

Wilt u belangrijke informatie delen met de Volkskrant?

Tip hier onze journalisten


Op alle verhalen van de Volkskrant rust uiteraard copyright. Linken kan altijd, eventueel met de intro van het stuk erboven.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar copyright @volkskrant.nl.
© 2021 DPG Media B.V. - alle rechten voorbehouden