Booking.com krijgt boete van privacywaakhond voor te laat melden datalek

Booking.com heeft een boete gekregen omdat het een datalek niet op tijd heeft gemeld bij de Autoriteit Persoonsgegevens. Bij dat lek gingen criminelen aan de haal met persoonsgegevens van ruim 4000 klanten. Ook werden de creditcardgegevens van bijna 300 mensen buitgemaakt.

Booking.com werd volgens de Autoriteit Persoonsgegevens op 13 januari 2019 ingelicht over het lek, maar stapte pas op 7 februari naar de toezichthouder. Dat is 22 dagen te laat, zegt de privacyautoriteit, omdat datalekken binnen 72 uur gemeld moeten worden. De Autoriteit Persoonsgegevens heeft de reiswebsite nu een boete opgelegd van 475.000 euro.

Hotels in Verenigde Arabische Emiraten

De criminelen ontfulselden bij medewerkers van veertig hotels in de Verenigde Arabische Emiraten de inloggegevens van een systeem van Booking.com. In december 2018 konden de criminelen bij de gegevens van 4109 mensen die in dat land een hotelkamer hadden gereserveerd. Het ging onder meer om namen, adressen, telefoonnummers en details over de boeking.

Van 283 mensen konden ze de creditcardgegevens inzien. In 97 gevallen was dat inclusief de beveiligingscode van de kaart. Daarna deden de criminelen zich per mail of telefoon bij andere klanten voor als medewerkers van de hotelboekingsite in een poging om meer creditcardgegevens in handen te krijgen.

"Het kan zeer geloofwaardig zijn als zo'n oplichter precies weet wanneer jij welke kamer hebt geboekt en vraagt of je die overnachtingen nog even wilt betalen", zegt vicevoorzitter Monique Verdier van de Autoriteit Persoonsgegevens. "De schade kan dan flink oplopen."

Het internationale onderzoek is in Nederland uitgevoerd omdat de hoofdvestiging van Booking.com in Amsterdam staat. De reiswebsite gaat niet in beroep tegen de boete van de Autoriteit Persoonsgegevens.

Booking: 'Onze systemen zijn veilig'

Booking.com benadrukt dat de boete alleen betrekking heeft op het te laat melden van het incident. De eigen systemen zouden veilig zijn. "Een klein aantal hotels hebben onbedoeld inloggegevens van hun Booking.com-account aan online oplichters verstrekt, maar er was geen sprake van een compromitterende situatie met betrekking tot de code of databases van het Booking.com-platform", laat een woordvoerder weten.

De reiswebsite zegt dat het sinds het incident "extra stappen" heeft ondernomen om de medewerkers en de partners, zoals de hotels, bewuster te maken van belangrijke privacymaatregelen en beveiligingsprocessen. "De bescherming en beveiliging van persoonlijke informatie heeft en blijft de hoogste prioriteit bij Booking.com."