De Nederlandse hotelboekingssite Booking.com moet een boete van 475.000 euro betalen. De Autoriteit Persoonsgegevens, de privacywaakhond van de overheid, legt die straf op omdat het bedrijf te laat meldde dat er gegevens van gebruikers waren gestolen.
Het datalek gebeurde in december 2018. Cybercriminelen kregen toen de inloggegevens van de medewerkers van hotels in de Verenigde Arabische Emiraten in handen. Daarmee kregen ze toegang tot hun accounts in een systeem van Booking.com. Daarin stonden onder meer de namen, adressen en telefoonnummers van 4109 mensen die via de site een hotelkamer hadden geboekt. Ook zagen ze de creditcardgegevens van 283 mensen, en bij 97 van hen zelfs de beveiligingscode van de creditcard.
> LEES OOK: Onderzoek naar groot datalek autobedrijven
Gegevens gebruikt voor phishing
Die gegevens konden de criminelen gebruiken voor phishing. Ze deden zich voor als medewerkers van Booking.com en probeerden nietsvermoedende klanten op te lichten. “Door per telefoon of mail te doen alsof ze van het hotel waren, probeerden zij mensen geld afhandig te maken. Dat kan zeer geloofwaardig zijn als zo’n oplichter precies weet wanneer jij welke kamer hebt geboekt en vraagt of je die overnachtingen nog even wilt betalen. De schade kan dan flink oplopen”, legt vicevoorzitter Monique Verdier van de Autoriteit Persoonsgegevens uit.
22 dagen te laat gemeld
Booking.com ontdekte op 13 januari 2019 dat er een datalek was geweest. Dat had het bedrijf binnen 72 uur moeten melden, maar getroffen klanten werden pas op 4 februari dat jaar geïnformeerd. Drie dagen daarna bracht het platform de Autoriteit Persoonsgegevens op de hoogte. “Een datalek kan helaas overal gebeuren, ook al heb je goede voorzorgsmaatregelen getroffen. Maar om schade voor je klanten en herhaling van zo’n datalek te voorkomen, moet je dit op tijd melden”, aldus Verdier.
Booking.com zegt in een reactie dat het datalek intern niet zo snel is opgepakt “als we hadden gewild” en dat het lek daardoor te laat is gemeld. De oplichters hebben geen toegang gekregen tot de code of de databases van het platform, benadrukt het bedrijf.
> LEES OOK: Huawei had vrije toegang tot gegevens Telfort-klanten
Internationaal onderzoek
Het onderzoek naar Booking.com was een internationaal onderzoek. Het gaat om een internationaal bedrijf met klanten uit verschillende landen. Booking.com heeft zijn wereldwijde hoofdvestiging in Nederland. Daarom voerde de AP dit onderzoek uit. Omdat het om een internationale kwestie gaat, heeft de AP het onderzoek afgestemd met de andere Europese privacytoezichthouders.
Meldplicht datalekken
De meldplicht datalekken houdt in dat zowel bedrijven als overheden direct (en uiterlijk binnen 72 uur) een melding moeten doen bij de AP wanneer zij een ernstig datalek hebben. In bepaalde gevallen moeten zij het datalek ook melden aan de mensen van wie de persoonsgegevens zijn gelekt. Een datalek melden gaat via het Meldloket datalekken van de AP.
Explosieve toename datadiefstal
De AP signaleerde in 2020 een explosieve toename van het aantal hacks gericht op het buitmaken van persoonsgegevens. Het aantal meldingen steeg in 2020 met maar liefst 30% ten opzichte van 2019. Dat blijkt uit de Rapportage Datalekken 2020. Datadiefstal is vaak te voorkomen door een betere beveiliging.
– Thuiswerken? Zo communiceer je veilig digitaal met elkaar
– Met mensen alleen los je digitale fraude niet op
– Actuele cyberdreigingen in de tijd van Covid-19
– Medewerkers zijn je sterkste poortwachters
– Voorbereiden op digitale ontwrichting vraagt om coördinatie overheid
Volg Security Management op LinkedIn