De Autoriteit Persoonsgegevens (AP) heeft boekingsite Booking.com een boete van 475.000 euro opgelegd. Reden is een te late melding van een datalek.
Kwaadwillenden slaagden erin om de gegevens van ruim 4.000 klanten van het bedrijf te ontvreemden. Dat deden ze via een telefonische phishingaanval op personeelsleden van 40 hotels in de Verenigde Arabische Emiraten.
Binnen 72 uur
Datalekken dienen binnen 72 uur gemeld te worden bij de AP. De boekingsite informeerde de toezichthouder echter 22 dagen te laat. “Nadat we op 13 januari 2019 de eerste meldingen van verdachte activiteiten hadden ontvangen, begonnen we te werken aan het begrijpen van het probleem en dit op te lossen, maar helaas werd de kwestie niet zo snel intern geĆ«scaleerd als we hadden gewild, wat leidde tot de late melding van het incident bij het Autoriteit Persoonsgegevens”, heeft Booking.com laten weten.
Meldingsdeadlines
“We hebben sindsdien extra stappen ondernomen om onze partners en medewerkers beter bewust te maken van, en voor te lichten over, belangrijke privacy-maatregelen en algemene beveiligingsprocessen, terwijl we ook werken aan het verder optimaliseren van de snelheid en efficiĆ«ntie van onze interne meldingskanalen. Dit is een doorlopend en iteratief proces, zodat we de meldingsdeadlines van de AP kunnen halen,” aldus Booking.com.
525.000 euro
De AP wilde in eerste instantie een boete van 525.000 euro opleggen. Omdat Booking.com echter maatregelen nam om de schade voor slachtoffers te beperken, verlaagde de autoriteit de boete met 50.000 euro.