Criminelen ontfutselden per telefoon bij medewerkers van veertig hotels in de Verenigde Arabische Emiraten inloggegevens tot hun accounts in een systeem van Booking.com. Zij kregen in december 2018 toegang tot de gegevens van 4.109 mensen die via de boekingssite een hotelkamer hadden geboekt in dat land. Het ging onder meer om hun namen, adressen en telefoonnummers en details over hun boeking. Daarnaast konden zij de creditcardgegevens van 283 mensen inzien.Booking.com werd op 13 januari 2019 op de hoogte gebracht van het datalek en bracht de getroffen klanten op 4 februari 2019 hiervan op de hoogte. De AP werd enkele dagen later, 7 februari, op de hoogte gebracht. Dat is 22 dagen te laat. Een datalek dient namelijk binnen 72 uur bij de AP gemeld te worden.‘Dit is een ernstige overtreding’, zegt AP-vicevoorzitter Monique Verdier. ‘Een datalek kan helaas overal gebeuren, ook al heb je goede voorzorgsmaatregelen getroffen. Maar om schade voor je klanten en herhaling van zo’n datalek te voorkomen, moet je dit op tijd melden. Die snelheid is van groot belang. In de eerste plaats voor de slachtoffers van een lek. De AP kan een bedrijf na zo’n melding onder meer opdragen meteen getroffen klanten te waarschuwen. Om zo te voorkomen dat criminelen bijvoorbeeld weken de tijd krijgen om door te gaan met pogingen klanten op te lichten.’

Reactie Booking.com

‘De boete van de Autoriteit Persoonsgegevens heeft specifiek betrekking op het te laat melden van dit incident en staat niet in verband met de beveiligingspraktijken van Booking.com, noch met de algehele afhandeling van het incident in kwestie’, laat Booking.com in een reactie weten. ‘Een klein aantal hotels hebben onbedoeld inloggegevens van hun Booking.com-account aan online oplichters verstrekt, maar er was geen sprake van een compromitterende situatie met betrekking tot de code of databases van het Booking.com-platform.’
De boekingswebsite verklaart dat ze na het ontvangen van de meldingen van verdachte activiteiten direct onderzochten wat het probleem is en hoe ze deze konden oplossen. ‘Helaas werd de kwestie niet zo snel intern geëscaleerd als we hadden gewild, wat leidde tot de late melding van het incident bij het Autoriteit Persoonsgegevens.’
Booking.com optimaliseert sindsdien de snelheid en efficiëntie van de interne meldingskanalen. Ook zegt het extra stappen te hebben ondernomen om de partners en medewerkers beter bewust te maken van en in te lichten over belangrijke privacymaatregelen en algemene beveiligingsprocessen. ‘De bescherming en beveiliging van persoonlijke informatie heeft en blijft de hoogste prioriteit bij de reisorganisatie’