AP deelt boete van half miljoen euro uit aan Booking.com

Foto van de ingang van hoofdkantoor van Booking.com in Amsterdam

De Autoriteit Persoonsgegevens heeft een boete van 475.000 euro opgelegd aan Booking.com. Het bedrijf meldde een datalek pas na drie weken aan de toezichthouder. Klanten liepen hierdoor onnodig lang het risico om bestolen te worden.

Dat schrijft de Autoriteit Persoonsgegevens in een persbericht.

Deze gegevens wisten oplichters te stelen

Het gaat om een datalek dat zich in december 2018 voordeed. Oplichters benaderden telefonisch medewerkers van veertig hotels in de Verenigde Arabische Emiraten. Op deze manier probeerden ze de inloggegevens van een intern systeem te bemachtigen dat gebruikt werd om contact-, reserverings- en betaalgegevens van bezoekers op te slaan. De hackers kreeg gegevens van 4.109 mensen in handen die via Booking.com hadden geboekt. Het ging onder meer om namen, adressen, telefoonnummers en details over de boeking.

De daders wisten tevens de hand te leggen op de creditcardgegevens van 283 mensen. Bij 97 mensen stalen ze ook de Card Verification Code (CVC) of beveiligingscode die op de achterkant van de creditcard staat. Tevens probeerden de oplichters de creditcardgegevens van andere slachtoffers te bemachtigen. Daarbij deden ze zich per e-mail of telefoon voor als medewerker van Booking.com.

Booking.com meldt datalek op 7 februari aan toezichthouder

In het boetebesluit staat dat op 9 januari 2019 een hotel uit de Verenigde Arabische Emiraten Booking.com benaderde met de mededeling dat gasten door een onbekende partij werden benaderd. De oplichter deed zich daarbij voor als een medewerker van de accommodatie en zei dat de creditcard van de bezoeker niet werkte. Of hij zijn geboortedatum en andere bankkaartgegevens wilde doorgeven zodat de gereserveerde overnachting kon worden aanbetaald.

Op 13 januari ontving Booking.com van dezelfde accommodatie opnieuw een klacht over gasten die telefonisch werden benaderd om creditcard- en persoonsgegevens te verkrijgen. Ditmaal deed de oplichter zich voor als een medewerker van Booking.com. Op 20 januari gebeurde dit nogmaals.

Op 31 januari besloot Booking.com om het Security Team van het bedrijf in te lichten over de fraudepraktijken. Op 4 februari rondde het team haar eerste onderzoek af en concludeerde dat het Privacy Team van Booking.com op de hoogte gebracht moest worden. Diezelfde dag stelde de reisorganisatie de getroffen klanten op de hoogte van het datalek. Het Privacy Team zei dat er sprake was van een datalek en dat dit gemeld moest worden aan de Autoriteit Persoonsgegevens. Dat deed Booking.com op 7 februari.

AP: ‘Booking.com heeft ernstige overtreding begaan’

De toezichthouder zegt dat Booking.com artikel 33 lid 1 van de Algemene Verordening Gegevensbescherming (AVG) heeft overtreden. Daarin staat dat de verwerkingsverantwoordelijke (Booking.com) verplicht is om ‘zonder onredelijke vertraging’ of binnen maximaal 72 uur een inbreuk van persoonsgegevens door te geven aan de nationale toezichthouder.

De Autoriteit Persoonsgegevens is van oordeel dat Booking.com op 13 januari kennis had of had moeten hebben van het datalek en dit aan de toezichthouder had moeten doorgeven. Door het lek pas op 7 februari door te geven aan de privacywaakhond, 22 dagen na de constatering, heeft de reisorganisatie ‘een ernstige overtreding’ begaan.

Monique Verdier, vicevoorzitter van de Autoriteit Persoonsgegevens, zegt dat een datalek overal kan voorkomen, zelfs als je goede voorzorgsmaatregelen hebt getroffen. “Maar om schade voor je klanten en herhaling van zo’n datalek te voorkomen, moet je dit op tijd melden”, zegt Verdier. Die snelheid is volgens haar van groot belang. “In de eerste plaats voor de slachtoffers van een lek. De Autoriteit Persoonsgegevens kan een bedrijf na zo’n melding onder meer opdragen meteen getroffen klanten te waarschuwen. Om zo te voorkomen dat criminelen bijvoorbeeld weken de tijd krijgen om door te gaan met pogingen klanten op te lichten.”

De vicevoorzitter zegt dat een bedrijf dat waardevolle persoonsgegevens verwerkt een grote verantwoordelijkheid heeft. “Klanten vertrouwen hun persoonsgegevens toe aan Booking.com. En die moet er alles aan doen om de gegevens goed te beschermen. Dat betekent een goede beveiliging om een lek te voorkomen, maar ook snelle actie mocht het onverhoopt toch misgaan.”

Verdier stelt dat er van alles mis had kunnen gaan. Doordat de daders creditcardgegevens wisten te bemachtigen, hadden klanten van Booking.com flink bestolen kunnen worden. Door misbruik te maken van iemands naam, contactgegevens en informatie over zijn of haar hotelboeking, hadden nietsvermoedende slachtoffers benadeeld kunnen worden door middel van phishing.

“Door per telefoon of mail te doen alsof ze van het hotel waren, probeerden zij mensen geld afhandig te maken. Dat kan zeer geloofwaardig zijn als zo’n oplichter precies weet wanneer jij welke kamer hebt geboekt. En vraagt of je die overnachtingen nog even wilt betalen. De schade kan dan flink oplopen”, aldus Verdier.

Booking.com accepteert de boete

Het onderzoek naar Booking.com maakte onderdeel uit van een internationaal onderzoek. Omdat het hoofdkantoor van Booking.com in Nederland staat, nam de Autoriteit Persoonsgegevens het voortouw in deze zaak. Omdat het om een internationale kwestie ging, stemde de Nederlandse toezichthouder af met andere Europese privacytoezichthouders.

Booking.com zegt niet in hoger beroep te gaan of bezwaar aan te tekenen tegen de boete van 475.000 euro.

Deze boetes legde de toezichthouder op sinds de inwerkingtreding van de AVG

Dit is de niet de eerste boete die de Autoriteit Persoonsgegevens oplegt sinds de AVG van kracht is. Het HagaZiekenhuis in Den Haag kreeg in 2019 een boete van 460.000 euro omdat de medische dossiers van patiënten voor al het personeel destijds toegankelijk waren. Afgelopen jaar ontvingen de Koninklijke Nederlandse Lawn Tennisbond (KNLTB), Stichting Bureau Kredietregistratie (BKR) en een bedrijf dat vingerafdrukken van medewerkers verzamelde een boete opgelegd van de toezichthouder. De boetebedragen kwamen respectievelijk uit op 525.000 euro, 830.000 euro en 725.000 euro.

De toezichthouder legde tevens een boete van 575.000 euro op aan VoetbalTV wegens het onrechtmatig verwerken van persoonsgegevens. De privacywaakhond was verder van mening dat een commercieel belang nooit een gerechtvaardigd belang kon zijn. De organisatie vocht de boete aan en werd door de rechter in het gelijk gesteld. De uitspraak kwam echter te laat voor VoetbalTV, dat in september faillissement aanvroeg. Inmiddels werkt het bedrijf aan een doorstart.

In februari van dit jaar deelde de Autoriteit Persoonsgegevens een boete van 440.000 euro uit aan het Onze Lieve Vrouwe Gasthuis (OLVG). Het Amsterdamse ziekenhuis had jarenlang onvoldoende maatregelen genomen om ongeautoriseerde toegang tot medische dossiers te voorkomen. Ook werd er geen meerfactorauthenticatie toegepast om de dossiers te beveiligen. Maurice van den Bosch, voorzitter van de Raad van Bestuur van het OLVG, zei de torenhoge boete te betreuren. “We vinden de boete voor een maatschappelijke instelling zoals ons ziekenhuis wel erg hoog. Geld wat we nu niet kunnen besteden aan datgene waar ons geld het hardste nodig is: voor de zorg voor onze patiënten.”

Update: in een reactie laat Booking.com weten dat de boete van de Autoriteit Persoonsgegevens enkel betrekking heeft op het te laat melden van het datalek, en geen betrekking heeft op de beveiligingspraktijken van het bedrijf of de afhandeling van de kwestie. Tevens benadrukt het bedrijf dat slechts een klein aantal hotels de inloggegevens van hun Booking.com-account aan de oplichters heeft verstrekt. Er was nooit sprake van een compromitterende situatie ten aanzien van de database van Booking.com.

“Nadat we de eerste meldingen van verdachte activiteiten hadden ontvangen, begonnen we te werken aan het begrijpen van het probleem en deze op te lossen, maar helaas werd de kwestie niet zo snel intern geëscaleerd als we hadden gewild”, schrijft Booking.com. Verder zegt het bedrijf na het incident aanvullende stappen te hebben genomen om herhaling te voorkomen. Partners en medewerkers zijn gewezen op ‘belangrijke privacymaatregelen en algemene beveiligingsprocessen’. Ook zijn er stappen genomen om ervoor te zorgen dat dergelijke meldingen in de toekomst sneller worden herkend en afgehandeld. “De bescherming en beveiliging van persoonlijke informatie heeft en blijft de hoogste prioriteit bij Booking.com”, aldus de reisorganisatie.

Privacy en security redacteur
Techliefhebber pur sang: Anton is gek op alles wat met technologie en internet te maken heeft. Cybersecurity, privacy en internetcensuur hebben dan ook zijn volle aandacht. 
Plaats een reactie
Een reactie plaatsen