Logo van hotelketen Marriott International tegen een van haar hotels

Marriott geconfronteerd met massaclaim om datalek

Laatst bijgewerkt: 2 november 2020
Leestijd: 3 minuten, 19 seconden

Een uit het Verenigd Koninkrijk dient een massaclaim in tegen hotelketen Marriott International vanwege een grootschalig datalek. Daarbij kwamen zeer persoonlijke gegevens van 500 miljoen gasten op straat te liggen. De aanklager eist nu voor alle gedupeerden een schadevergoeding.

Dat schrijft Martin Bryant op zijn blog. Ook heeft hij een website gelanceerd waar slachtoffers alle informatie over de zaak en de rechtszaak kunnen vinden en zich kunnen aanmelden.

Update (2 november 2020): de Information Commissioner’s Office (ICO) heeft het Marriott een boete van 18,4 miljoen pond opgelegd, wat omgerekend uitkomt op 20,5 miljoen euro. In de ogen van de Britse toezichthouder  heeft de hotelketen onvoldoende gedaan om haar systemen te beveiligen toen er sprake was van een omvangrijk datalek. De Algemene Verordening Gegevensbescherming (AVG) eist dat Europese bedrijven technische maatregelen treffen om persoonsgegevens te beschermen. “Als een bedrijf nalaat om goed voor de data van haar klanten te zorgen, dan is een boete nog de minste zorg. Wat er het meeste toedoet is dat ze een plicht heeft om deze gegevens te beschermen”, zo zegt het ICO in een persverklaring over de boete. 

Britse toezichthouder dreigt met forse boete

Wat is er aan de hand? In 2014 slaagden hackers erin om toegang te verkrijgen tot de servers van de hotelgroep Starwood Hotels. Daarbij wisten ze persoonlijke gegevens als naam, woonadres, e-mailadres en creditcardnummer buit te maken van 500 miljoen oud-gasten. Twee jaar later koopt Marriott Starwood Hotels. De grote hotelketen is daarmee verantwoordelijk voor de afhandeling van het datalek. Medewerkers van Marriott hoorden echter pas in 2018 van het datalek.

De Information Commissioner’s Office (ICO), de Britse tegenhanger van de Autoriteit Persoonsgegevens, werd in november 2018 op de hoogte gesteld en onderzocht de zaak. De privacytoezichthouder concludeerde dat Marriott de zaak niet grondig genoeg had onderzocht. Ook deed de hotelketen te weinig om haar systemen te beveiligen. Uit documenten blijkt dat ICO afgelopen juli Marriott op de hoogte heeft gesteld van diens voornemen om een sanctie op te leggen. De boete zou omgerekend 110 miljoen euro bedragen.

Eiser wil ‘echte verandering’ teweegbrengen

Eén van de gasten wiens persoonsgegevens zijn buitgemaakt, is Martin Bryant. Op zijn blog schrijft hij: “Het is een deprimerend vertrouwde situatie geworden. Je krijgt een e-mail van een bedrijf waarin staat dat er een datalek heeft plaatsgevonden en dat je persoonlijke gegevens zijn gestolen. Je zucht, je haalt je schouders op en dan vergeet je het, omdat je machteloos bent. Je kunt die persoonlijke gegevens niet terugkrijgen. Het kan uiteindelijk worden gebruikt voor identiteitsdiefstal of fraude, en je kunt er niets aan doen.”

Of toch wel? Bryant is van mening dat slachtoffers gecompenseerd moeten worden. “Als een groot bedrijf te maken krijgt met een datalek omdat het niet al het mogelijke heeft gedaan om je gegevens te beschermen, en het ergste dat het kan overkomen is een boete voor het overtreden van regels voor gegevensbescherming, dan is er weinig reden om iets echt te veranderen. Maar als het bedrijf verantwoording moet afleggen aan de klanten van wie ze de gegevens zijn kwijtgeraakt, is dat een andere zaak.” Dat is de reden waarom Bryant de zaak voor de rechter brengt.

Als de rechter Bryant in het gelijk stelt, hebben alle gedupeerden recht op een schadevergoeding. Aan wat voor soort bedragen we moeten denken is nog onduidelijk, maar gegarandeerd dat het in de miljarden euro’s loopt.

Advocatenkantoor: ‘Marriott is nalatig geweest’

Bryant wordt bijgestaan door het advocatenkantoor Hausfeld. Op haar site gaat het advocatenkantoor verder in op de zaak. Zo lezen we onder andere dat gasten die, naast Starwood Hotel, in elf andere hotelketens verbleven tussen juli 2014 en september 2018, onderdeel uitmaken van de rechtszaak. Burgers uit Engeland en Wales kunnen zich aanmelden voor de collectieve zaak.

“Jarenlang heeft Marriott International nagelaten adequate technische of organisatorische maatregelen te nemen om de aan hen toevertrouwde persoonsgegevens van miljoenen gasten te beschermen. Marriott handelde duidelijk in strijd met de gegevensbeschermingswetten die specifiek waren ingevoerd om betrokkenen te beschermen”, zo zegt Michael Bywell van Hausfeld. Het proces wordt bekostigd door Harbour Litigation.

Privacy en security redacteur
Techliefhebber pur sang: Anton is gek op alles wat met technologie en internet te maken heeft. Cybersecurity, privacy en internetcensuur hebben dan ook zijn volle aandacht. 

Meer artikelen uit het ‘Nieuws’ dossier

Reacties
Plaats een reactie
Een reactie plaatsen