Een citaat deze week op www.nos.nl van Dennis Davrados, coördinator datalekken bij de Autoriteit Persoonsgegevens (AP): “Soms denken bedrijven dat de gestolen data niet zo veel kwaad kunnen, maar soms melden ze het ook gewoon niet omdat ze bang zijn voor imagoschade”.

Zodra het toch uitkomt – en dat gebeurt natuurlijk – kan de AP maatregelen nemen. De meeste bedrijven krijgen een waarschuwing van de AP, de AP kan ook een boete opleggen en soms gaat de AP zelfs verscherpt toezicht uitoefenen gedurende een lange periode.

Booking.com kan hierover meepraten.

Boete Booking.com in 2021
De AP heeft in maart 2021 een boete aan Booking.com opgelegd van € 475.000,- voor het te laat melden van een datalek bij de AP. Het ging om een datalek van persoonsgegevens van duizenden klanten, waaronder creditcardgegevens.

Datalek in 2018
Per telefoon hadden cybercriminelen bij medewerkers van 40 hotels in de Verenigde Arabische Emiraten inloggegevens tot hun accounts in een systeem van Booking.com kunnen opsnorren. Zo kregen zij toegang tot de persoonsgegevens van 4.109 mensen die via de Booking.com een hotelkamer hadden geboekt in dat land. Het ging daarbij om de namen, adressen, telefoonnummers en details over hun boeking. Daarbij kregen de cybercriminelen ook toegang tot de creditcardgegevens van 283 mensen en in 97 gevallen zelfs inclusief de beveiligingscode van de creditcard. Om nog meer creditcardgegevens te ontvangen hebben de cybercriminelen zich per e-mail of telefoon als medewerkers van Booking.com voorgedaan. Aangezien de cybercriminelen namen en contactgegevens van de slachtoffers hadden gestolen liepen de slachtoffers gevaar door hen bestolen te worden. Door zich telefonisch of per e-mail voor te doen als medewerkers van het hotel, probeerden de cybercriminelen hun slachtoffers geld afhandig te maken. Zoals AP-vicevoorzitter Monique Verdier aangaf, kan het zeer geloofwaardig overkomen als zo’n oplichter precies weet wanneer jij welke kamer hebt geboekt en je vraagt om die overnachtingen nog even te willen betalen.

Datalek te laat gemeld
Booking.com ontdekt het lek in januari 2019 maar meldde dit datalek 22 dagen te laat bij de AP. De AVG (Algemene Verordening Gegevensbescherming) schrijft voor dat een datalek binnen 72 uur (nadat men daarvan op de hoogte is gebracht) aan de AP gemeld moet worden. Daarnaast moet een datalek in sommige gevallen ook aan de getroffen klanten worden gemeld.

Ook in 2022 bleken meerdere datalekken niet tijdig te zijn gemeld. Naar aanleiding van al deze overtredingen in combinatie met de boete, besloot de AP tot de maatregel verscherpt toezicht op Booking.com.

Één jaar lang verscherpt toezicht door AP
De AP monitorde gedurende één jaar of Booking.com zich hield aan de regels rond het melden van datalekken.

Zo wilde de AP zeker stellen dat Booking.com datalekken op tijd zou melden, zowel bij de AP als bij de slachtoffers. Booking.com moest gedurende het jaar 2023 rapporteren over maatregelen om toekomstige incidenten te voorkomen. De AP heeft ook gecontroleerd of Booking.com bepaalde incidenten onterecht helemaal niet heeft gemeld. Booking.com bleek in de periode van verscherpt toezicht alle incidenten die het moest melden ook daadwerkelijk te melden.

Meerdere fraudezaken gemeld
Tijdens het verscherpt toezicht heeft Booking.com diverse cyberaanvallen gemeld. Cybercriminelen slaagden ook in 2023 erin om de accounts van de accommodaties op Booking.com te hacken en vanuit het overgenomen account gasten op te lichten. Daartoe namen zij via het berichtensysteem van Booking.com contact met de gasten op en vroegen om de hotelkamer te betalen omdat er iets mis zou zijn gegaan met de eerdere betaling. Omdat het berichtensysteem van het platform werd gebruikt, leken de berichten authentiek en betaalden vele gasten opnieuw.

Grote verantwoordelijkheid
Booking.com verwerkt veel gevoelige gegevens, waaronder betalingsgegevens van hun klanten. Het is van groot belang dat deze gegevens goed door Booking.com worden beschermd. Dat geldt echter niet alleen voor Booking.com, maar voor elk bedrijf dat persoonsgegevens verwerkt.
Deze casus maakt weer duidelijk hoe belangrijk het voor bedrijven is om in het geval van een datalek efficiënt en juridisch correct te handelen. Helaas kan een datalek nooit worden uitgesloten, maar het is van groot belang om goede voorzorgsmaatregelen te treffen en een eventueel datalek tijdig te melden. Zo kan schade voor de personen wiens persoonsgegevens door een datalek zijn getroffen zo veel mogelijk worden beperkt en een boete of maatregelen door de AP worden voorkomen.

Deze bijdrage werd geschreven door Kim Deckers. Meer weten over hoe als organisatie om te gaan met datalekken in het algemeen? Lees dan (nog) eens haar eerder artikel met een stappenplan bij datalek of bel (043 328 4162) of mail haar (k.deckers@paulussen.nl).

Dat kan uiteraard ook indien u nog andere vragen heeft naar aanleiding van dit artikel.

 

 

Nieuws Overzicht