De Autoriteit Persoonsgegevens (AP) heeft Booking.com een boete opgelegd van € 475.000,-. Booking.com meldde een datalek namelijk 22 dagen te laat. Bij het datalek maakten criminelen persoonsgegevens van meer dan 4.000 klanten buit. De criminelen konden daarbij ook de hand leggen op creditcardgegevens van bijna 300 slachtoffers.

Wat is er gebeurd?

meldplicht datalekken

Criminelen ontfutselden per telefoon bij medewerkers van 40 hotels in de Verenigde Arabische Emiraten inloggegevens. De inlogcodes gaven toegang tot de accounts in een systeem van Booking.com.

Op die manier kregen de criminelen in december 2018 de data van 4.109 mensen in handen. De gegevens bestonden onder meer uit namen, adressen, telefoonnummers en details over de boeking.

Ook hebben de criminelen creditcardgegevens van 283 mensen ingezien. In 97 gevallen zelfs MET de beveiligingscode van de creditcard. Daarnaast probeerden ze de creditcardgegevens van andere slachtoffers te bemachtigen, door zich per mail of telefoon voor te doen als medewerker van Booking.com.

Datalek werd 22 dagen te laat gemeld

Booking.com werd als verwerkingsverantwoordelijke op 13 januari 2019 op de hoogte gebracht van het datalek. De organisatie meldde dit pas op 7 februari 2019 bij de AP.

22 dagen te laat dus.

Het datalek had namelijk binnen 72 uur gemeld moeten worden bij de privacytoezichthouder.

Booking.com heeft de getroffen klanten op 4 februari 2019 op de hoogte gebracht van het lek. Daarnaast nam het bedrijf andere maatregelen om de schade te beperken, zoals het aanbod om eventuele schade te vergoeden.

Booking.com gaat niet in bezwaar of beroep tegen de boete van de AP.

Hoe werkt de Meldplicht datalekken?

Natuurlijk wilt u een situatie als die van Booking.com voorkomen.

Aan welke regels moet u zich dan houden?

privacy klacht.jpg

De Meldplicht datalekken vormt onderdeel van de AVG-regels. Het verplicht een verwerkingsverantwoordelijke om een datalek uiterlijk binnen 72 uur te melden bij de Autoriteit Persoonsgegevens.

Is het niet waarschijnlijk dat het datalek een risico inhoudt voor de rechten en vrijheden van natuurlijke personen?

Dan hoeft u geen melding te maken.

Is er sprake van een ernstig datalek met groot risico voor de betrokkenen?

Dan moet u niet alleen de AP, maar ook de betrokkenen tijdig en juist informeren.

Bij het beoordelen van een datalek kijkt u dus naar de risico’s die het lek met zich meebrengt. Denk aan:

  • gaat het om gevoelige persoonsgegevens? Medische gegevens hebben bijvoorbeeld meer impact dan NAW-gegevens.

  • om de gegevens van hoeveel personen gaat het?

  • waar zijn de gegevens terecht gekomen? Bij een betrouwbare ontvanger of liggen ze voor het oprapen?

  • gaat het om kwetsbare groepen zoals kinderen?

Wilt u een datalek melden? Dat kan via het meldloket datalekken van de Autoriteit Persoonsgegevens.

Blijf op de hoogte

Op de hoogte blijven van de ontwikkelingen op het gebied van ICT Recht? Meldt u zich dan nu aan voor de maandelijkse nieuwsbrief van Legalz.