Boete voor Booking.com na te laat melden datalek

Het datalek vond plaats in december 2018, toen hackers inloggegevens van hotelmedewerkers in de Verenigde Arabische Emiraten in handen kregen. Met deze gegevens hadden ze toegang tot hun accounts in een systeem van Booking.com.

Daarmee hadden ze niet alleen de persoonsgegevens van 4109 klanten binnen handbereik, ze kregen ook inzage in de creditcardgegevens van 283 mensen. Van 97 van hen kon zelfs de beveiligingscode gelezen worden.

De cybercriminelen gingen ook daadwerkelijk met de gegevens aan de haal. Ze deden zich voor als medewerkers van Booking.com en probeerden nietsvermoedende klanten op te lichten. "Door per telefoon of mail te doen alsof ze van het hotel waren, probeerden zij mensen geld afhandig te maken. Dat kan zeer geloofwaardig zijn als zo'n oplichter precies weet wanneer jij welke kamer hebt geboekt en vraagt of je die overnachtingen nog even wilt betalen. De schade kan dan flink oplopen", legt Monique Verdier van de Autoriteit Persoonsgegevens uit.

Het datalek werd op 13 januari 2019 door Booking.com ontdekt. Dat had het bedrijf binnen 72 uur moeten melden, maar getroffen klanten werden pas op 4 februari dat jaar geïnformeerd. Drie dagen daarna bracht het platform de Autoriteit Persoonsgegevens op de hoogte.

"Een datalek kan helaas overal gebeuren, ook al heb je goede voorzorgsmaatregelen getroffen. Maar om schade voor je klanten en herhaling van zo'n datalek te voorkomen, moet je dit op tijd melden", aldus Verdier.

Booking.com zegt in een reactie dat het datalek intern niet zo snel is opgepakt "als we hadden gewild" en dat het lek daardoor te laat is gemeld. De oplichters hebben geen toegang gekregen tot de code of de databases van het platform, benadrukt het bedrijf. ANP