Aanleiding
Booking.com heeft een bestuurlijke boete van € 475.000 opgelegd gekregen van de Autoriteit Persoonsgegevens (AP) wegens het te laat melden van een datalek. Booking.com heeft het datalek 22 dagen te laat gemeld. Het betrof gegevens van meer dan 4.000 personen, waaronder creditcard gegevens van bijna 300 personen.
Booking.com heeft het datalek gemeld op 7 februari 2019. Omdat Booking.com in het meldingsformulier had aangegeven dat de inbreuk op 10 januari 2019 was ontdekt, is de AP een onderzoek gestart naar de naleving van artikel 33, eerste lid, van de AVG door Booking.com.
Wat is er gebeurd?
Een onbekende derde had toegang verkregen tot een reserveringssysteem van Booking.com door zich bij meerdere accommodaties in de Verenigde Arabische Emiraten voor te doen als medewerker van Booking.com. Hierbij zijn de persoonsgegevens van meerdere betrokkenen, die via het platform van Booking.com hotelreserveringen hadden gedaan, gecompromitteerd. Booking.com heeft de getroffen klanten op 4 februari 2019 op de hoogte gebracht van het datalek. Daarnaast nam het bedrijf andere maatregelen om de schade te beperken, zoals het aanbod om eventuele schade te vergoeden.
Booking.com heeft in haar zienswijze primair het standpunt ingenomen dat er geen sprake is van een overtreding. Op 4 februari 2019, na afronding van het interne onderzoek, was er kennis van de inbreuk waarna deze tijdig en zonder onredelijke vertraging binnen 72 uur na kennisname is gemeld bij de toezichthouder, aldus Booking.com. Hier denkt de AP anders over. Van Booking.com had veel eerder onverwijlde actie mogen worden verwacht. Een medewerker van Booking.com werd vanaf begin januari meerdere keren op de hoogte gebracht van verdachte mailtjes aan hotelgasten. In plaats van direct in actie te komen heeft Booking.com stilgezeten waardoor er sprake is van een (zeer) onredelijke vertraagde melding bij de AP.
Daarnaast vindt de AP het kwalijk dat Booking.com er bewust voor heeft gekozen om eerst een grondig onderzoek te verrichten in plaats van het in stappen melden van het incident bij de toezichthouder. Dit is niet in lijn met de regeling zoals neergelegd in de AVG, aldus e AP.
Booking.com heeft geen bezwaar aangetekend tegen het boetebesluit van 10 december 2020.
Actualiteiten beschermen van persoonsgegevens
Wij behandelen dit besluit van de toezichthouder en datalek in de module ‘actualiteiten gegevensbescherming en privacy’. Na aanmelding krijgt u direct toegang tot de module in onze leeromgeving. Hier kunt u zich inschrijven voor een workshop naar keuze.
Meer informatie en aanmelden, klik hier.