Booking.com krijgt boete voor te laat melden van datalek

Het datalek gebeurde in december 2018. Cybercriminelen kregen toen de inloggegevens van de medewerkers van hotels in de Verenigde Arabische Emiraten in handen. Daarmee kregen ze toegang tot hun accounts in een systeem van Booking.com. Daarin stonden onder meer de namen, adressen en telefoonnummers van 4109 mensen die via de site een hotelkamer hadden geboekt. Ook zagen ze de creditcardgegevens van 283 mensen, en bij 97 van hen zelfs de beveiligingscode van de creditcard.

Die gegevens konden de criminelen gebruiken voor phishing. Ze deden zich voor als medewerkers van Booking.com en probeerden nietsvermoedende klanten op te lichten. "Door per telefoon of mail te doen alsof ze van het hotel waren, probeerden zij mensen geld afhandig te maken. Dat kan zeer geloofwaardig zijn als zo'n oplichter precies weet wanneer jij welke kamer hebt geboekt. En vraagt of je die overnachtingen nog even wilt betalen. De schade kan dan flink oplopen", legt vicevoorzitter Monique Verdier van de Autoriteit Persoonsgegevens uit.

Booking.com ontdekte op 13 januari 2019 dat er een datalek was geweest. Dat had het bedrijf binnen 72 uur moeten melden, maar getroffen klanten werden pas op 4 februari dat jaar geïnformeerd. Drie dagen daarna bracht het platform de Autoriteit Persoonsgegevens op de hoogte. "Een datalek kan helaas overal gebeuren, ook al heb je goede voorzorgsmaatregelen getroffen. Maar om schade voor je klanten en herhaling van zo'n datalek te voorkomen, moet je dit op tijd melden", aldus Verdier.

In een reactie stelt Booking.com dat de boete van de Autoriteit Persoonsgegevens specifiek betrekking heeft op het te laat melden van dit incident en niet in verband staat met de beveiligingspraktijken van Booking.com, noch met de algehele afhandeling van het incident in kwestie. Een klein aantal hotels hebben onbedoeld inloggegevens van hun Booking.com-account aan online oplichters verstrekt, maar er was geen sprake van een compromitterende situatie met betrekking tot de code of databases van het Booking.com-platform.

De woordvoerder zegt: "Nadat de eerste meldingen van verdachte activiteiten binnen waren, begonnen we te werken aan het begrijpen van het probleem en deze op te lossen, maar helaas werd de kwestie niet zo snel intern geëscaleerd als we hadden gewild. We hebben sindsdien extra stappen ondernomen om onze partners en medewerkers beter bewust te maken van, en voor te lichten over belangrijke privacymaatregelen en algemene beveiligingsprocessen, terwijl we ook werken aan het verder optimaliseren van de snelheid en efficiëntie van onze interne meldingskanalen. De bescherming en beveiliging van persoonlijke informatie heeft en blijft de hoogste prioriteit bij Booking.com."