Een uit het Verenigd Koninkrijk dient een massaclaim in tegen hotelketen Marriott International vanwege een grootschalig datalek. Daarbij kwamen zeer persoonlijke gegevens van 500 miljoen gasten op straat te liggen. De aanklager eist nu voor alle gedupeerden een schadevergoeding.
Dat schrijft Martin Bryant op zijn blog (update redactie 2 februari 2023: blogbericht wordt niet meer gevonden op de site van de bron). Ook heeft hij een website gelanceerd waar slachtoffers alle informatie over de zaak en de rechtszaak kunnen vinden en zich kunnen aanmelden (update redactie 2 februari 2023: website van de bron niet meer bereikbaar).
Update (2 november 2020): de Information Commissioner’s Office (ICO) heeft het Marriott een boete van 18,4 miljoen pond opgelegd, wat omgerekend uitkomt op 20,5 miljoen euro. In de ogen van de Britse toezichthouder heeft de hotelketen onvoldoende gedaan om haar systemen te beveiligen toen er sprake was van een omvangrijk datalek. De Algemene Verordening Gegevensbescherming (AVG) eist dat Europese bedrijven technische maatregelen treffen om persoonsgegevens te beschermen. “Als een bedrijf nalaat om goed voor de data van haar klanten te zorgen, dan is een boete nog de minste zorg. Wat er het meeste toedoet is dat ze een plicht heeft om deze gegevens te beschermen”, zo zegt het ICO in een persverklaring over de boete (update redactie 2 februari 2023: de persverklaring wordt niet meer gevonden op de site van de bron).
Britse toezichthouder dreigt met forse boete
Wat is er aan de hand? In 2014 slaagden hackers erin om toegang te verkrijgen tot de servers van de hotelgroep Starwood Hotels. Daarbij wisten ze persoonlijke gegevens als naam, woonadres, e-mailadres en creditcardnummer buit te maken van 500 miljoen oud-gasten. Twee jaar later koopt Marriott Starwood Hotels. De grote hotelketen is daarmee verantwoordelijk voor de afhandeling van het datalek. Medewerkers van Marriott hoorden echter pas in 2018 van het datalek.
De Information Commissioner’s Office (ICO), de Britse tegenhanger van de Autoriteit Persoonsgegevens, werd in november 2018 op de hoogte gesteld en onderzocht de zaak. De privacytoezichthouder concludeerde dat Marriott de zaak niet grondig genoeg had onderzocht. Ook deed de hotelketen te weinig om haar systemen te beveiligen. Uit documenten blijkt dat ICO afgelopen juli Marriott op de hoogte heeft gesteld van diens voornemen om een sanctie op te leggen. De boete zou omgerekend 110 miljoen euro bedragen.
Eiser wil ‘echte verandering’ teweegbrengen
Eén van de gasten wiens persoonsgegevens zijn buitgemaakt, is Martin Bryant. Op zijn blog schrijft hij: “Het is een deprimerend vertrouwde situatie geworden. Je krijgt een e-mail van een bedrijf waarin staat dat er een datalek heeft plaatsgevonden en dat je persoonlijke gegevens zijn gestolen. Je zucht, je haalt je schouders op en dan vergeet je het, omdat je machteloos bent. Je kunt die persoonlijke gegevens niet terugkrijgen. Het kan uiteindelijk worden gebruikt voor identiteitsdiefstal of fraude, en je kunt er niets aan doen.”
Of toch wel? Bryant is van mening dat slachtoffers gecompenseerd moeten worden. “Als een groot bedrijf te maken krijgt met een datalek omdat het niet al het mogelijke heeft gedaan om je gegevens te beschermen, en het ergste dat het kan overkomen is een boete voor het overtreden van regels voor gegevensbescherming, dan is er weinig reden om iets echt te veranderen. Maar als het bedrijf verantwoording moet afleggen aan de klanten van wie ze de gegevens zijn kwijtgeraakt, is dat een andere zaak.” Dat is de reden waarom Bryant de zaak voor de rechter brengt.
Als de rechter Bryant in het gelijk stelt, hebben alle gedupeerden recht op een schadevergoeding. Aan wat voor soort bedragen we moeten denken is nog onduidelijk, maar gegarandeerd dat het in de miljarden euro’s loopt.
Advocatenkantoor: ‘Marriott is nalatig geweest’
Bryant wordt bijgestaan door het advocatenkantoor Hausfeld. Op haar site gaat het advocatenkantoor verder in op de zaak (update redactie 2 februari 2023: nieuwsbericht wordt niet meer gevonden op de site van de bron). Zo lezen we onder andere dat gasten die, naast Starwood Hotel, in elf andere hotelketens verbleven tussen juli 2014 en september 2018, onderdeel uitmaken van de rechtszaak. Burgers uit Engeland en Wales kunnen zich aanmelden voor de collectieve zaak.
“Jarenlang heeft Marriott International nagelaten adequate technische of organisatorische maatregelen te nemen om de aan hen toevertrouwde persoonsgegevens van miljoenen gasten te beschermen. Marriott handelde duidelijk in strijd met de gegevensbeschermingswetten die specifiek waren ingevoerd om betrokkenen te beschermen”, zo zegt Michael Bywell van Hausfeld. Het proces wordt bekostigd door Harbour Litigation.
