'Hacker brak in bij Booking, hotelwebsite meldde datalek niet bij autoriteiten'
Een Amerikaanse hacker heeft begin 2016 ingebroken in de systemen van hotelwebsite Booking.com en maakte daarbij details van duizenden hotelreserveringen in het Midden-Oosten buit. Gedupeerde klanten werden niet op de hoogte gesteld, schrijft NRC.
Volgens de krant had de hacker nauwe banden met de Amerikaanse inlichtingendiensten. De Amsterdamse hotelwebsite zou de Nederlandse inlichtingendienst AIVD om hulp hebben gevraagd bij het onderzoek naar de datadiefstal. Maar getroffen klanten en de Autoriteit Persoonsgegevens (AP) werden niet op de hoogte gesteld, schrijft de krant.
In een reactie zegt Booking.com dat het niet verplicht was om het datalek bij de toezichthouder te melden. Maar de privacywet die destijds gold schreef voor dat betrokkenen op de hoogte van een datalek moesten worden gesteld, als dit "waarschijnlijk ongunstige gevolgen" voor hen had. Experts zeggen tegen de krant dat de hotelwebsite er niet zomaar vanuit had mogen gaan dat het lek geen nadelige gevolgen had voor klanten.
Uiteindelijk wist Booking.com de identiteit van de hacker te achterhalen. Hij zou hebben gewerkt voor een bedrijf dat opdrachten uitvoerde voor een Amerikaanse inlichtingendienst. Om welke dienst het ging, is niet duidelijk.
Boete om datalek
Eerder dit jaar kreeg het bedrijf nog een boete omdat het een datalek uit 2019 niet op tijd meldde bij de AP. Bij dat lek gingen criminelen aan de haal met persoonsgegevens van ruim 4000 klanten. Ook werden de creditcardgegevens van bijna 300 mensen buitgemaakt.