Beter voorkomen dan… betalen – boete voor Booking.com wegens te laat melden datalek

Beter voorkomen dan… betalen – boete voor Booking.com wegens te laat melden datalek
Advocatuur 22 april 2021

De Autoriteit Persoonsgegevens (hierna AP) legde Booking.com recent  een boete op van maar liefst 475.000 euro, vanwege het te laat melden van een datalek. Deze boete benadrukt maar weer eens – na de eerdere boete voor Uber in 2018 – hoe belangrijk het tijdig melden van een datalek is. Bovendien onderstreept dit geval de preventieve werking van het doen van een tijdige, al dan niet voorlopige melding, ter voorkoming van boetes.

Het datalek

Het betrof hier een geval van ‘social engineering’ waarbij criminelen de beschikking kregen over gegevens van ruim vierduizend personen die via Booking.com een hotelkamer boekten in de Verenigde Arabische Emiraten. Het betrof niet alleen informatie over hun boeking, maar ook namen, adressen en telefoonnummers. Van 283 personen werd daarnaast ook creditcardinformatie bemachtigd, in sommige gevallen inclusief de beveiligingscode. Tot deze gegevens werd toegang verkregen door het ontfutselen van de Booking.com inloggegevens van hotelmedewerkers.

De gedupeerde klanten van Booking namen begin januari 2019 contact op met de betreffende hotels, nadat zij gepersonaliseerde phishing mails ontvingen. Daarmee werd geprobeerd hen geld afhandig te maken. Op 9 januari 2019 trok één van de betreffende hotels aan de bel bij Booking, vanwege een vermeend beveiligingsincident aan de kant van Booking. Booking ondernam naar aanleiding daarvan geen actie. Zij meende dat het datalek niet bij haar lag, aangezien zij bij het opslaan van e-mailadressen gebruik maakte van hashing, een pseudonimiseringstechniek. Op 13 januari 2019 kwam vanuit dezelfde accommodatie een tweede signaal, van dezelfde strekking. Een week later volgden nog eens twee alarmerende berichten, waarvan één afkomstig van een andere accommodatie.

Waar ging het mis bij Booking.com?

Op grond van de Algemene Verordening Persoonsgegevens (hierna: AVG) is men na kennisname van een datalek verplicht om het lek ‘zonder onredelijke vertraging en, indien mogelijk, binnen 72 uur’ bij de AP te melden. Het datalek werd door Booking echter pas op 7 februari bij de AP gemeld, maar liefst 22 dagen te laat dus. De getroffen klanten werden een aantal dagen eerder geïnformeerd, op 4 februari 2019.

De AP spreekt van een ernstige schending en is van oordeel dat Booking in ieder geval op 13 januari 2019 geacht wordt kennis te hebben van de inbreuk in verband met persoonsgegevens. Booking had volgens de AP met de verkregen informatie een redelijke mate van zekerheid dat zich een veiligheidsincident heeft voorgedaan dat heeft geleid tot compromittering van door Booking verwerkte persoonsgegevens.

Behalve dat zij het datalek op grond van de AVG te laat meldde, handelde Booking hier ook in strijd met haar eigen protocollen. Volgens deze protocollen moeten alle vermoedens van incidenten direct worden doorgezet aan het Security Team van Booking, ook indien zij over een incident worden getipt door derden, zoals serviceproviders. Booking heeft echter tot 31 januari 2019 nagelaten het Security Team bij het incident te betrekken. Ook op dit vlak tikt de AP de boeking-gigant op de vingers.

Initieel wilde de AP hier een boete van 525.000 euro opleggen. Dit bedrag werd uiteindelijk met 50.000 euro verlaagd, vanwege de maatregelen die Booking nam om de schade voor slachtoffers te beperken en haar aanbod om eventuele schade te compenseren.

Wanneer moet een datalek worden gemeld?

Melding maken van een datalek bij de AP is niet in alle gevallen vereist. Uit de AVG volgt dat dit alleen nodig is indien het het datalek een risico inhoudt voor de rechten en vrijheden van natuurlijke personen. In geval van een hoog risico voor de rechten en vrijheden van betrokkenen wordt u bovendien geacht ook de personen wiens gegevens het betreft te informeren. Dit is bijvoorbeeld het geval indien het datalek voor hen kan leiden tot identiteitsfraude of financiële schade.

Om het risico voor de rechten en vrijheden van de betrokken personen te kunnen beoordelen, zal een onderzoek moeten worden verricht. De AP benadrukt in deze kwestie het belang van het ondernemen van onmiddellijke actie om een onderzoek in gang te zetten.

Zo’n onderzoek kan, gelet op de woorden ‘indien mogelijk’ in artikel 33 lid 1 AVG, meer dan 72 uur in beslag nemen en de meldingstermijn dus in feite overschrijden. Zo bevestigt ook de AP.

Stapsgewijs (voorlopig) melden

Artikel 33 lid 4 AVG voorziet daarnaast in de mogelijkheid om een datalek te melden in fasen, zonder onredelijke vertraging. Dit is aan de orde indien en voor zover niet alle informatie tegelijkertijd kan worden aangeleverd. Bij de initiële, voorlopige melding kan dan worden aangegeven dat later nog een verdere melding met aanvullende informatie wordt verstrekt. Mocht uit onderzoek blijken dat melden toch niet nodig was, dan kan de melding altijd nog worden ingetrokken.

Ten aanzien van de stapsgewijze melding stelt de AP in het boetebesluit: ‘Dit neemt niet weg dat de melding van de inbreuk op grond van artikel 33, eerste lid, van de AVG binnen de wettelijk voorgeschreven termijn van 72 uur moet plaatsvinden’. Deze zinsnede is op zijn minst opmerkelijk, aangezien dit veronderstelt dat bij stapsgewijs melden de initiële melding in iedere situatie binnen 72 uur na kennisname moet plaatsvinden. Dit zou dan ook gelden voor het geval waarin een dergelijk onderzoek enkel is opgestart, maar daaruit nog geen resultaten naar voren zijn gekomen. Dit is niet in lijn met de AVG. Het is dan ook onduidelijk hoe deze redenering van de AP exact moet worden geïnterpreteerd in het licht van de stapsgewijze melding en hoe dit in de praktijk zal uitpakken. Het kan in ieder geval niet de bedoeling zijn dat de stapsgewijze melding een wassen neus wordt, doordat het veelvuldig zal worden ingezet als algemeen vangnet ter voorkoming van boetes.

Booking.com wordt zwaar aangerekend dat bij de eerste melding al duidelijk had moeten zijn dat het hier privacygevoelige informatie betrof met een hoog risico op misbruik (het betrof hier creditcardgegevens). De AP stelt met zoveel woorden dat in dat geval al vrijwel meteen duidelijk had moeten zijn dat het hier een meldingsplichtig datalek betrof.

Conclusie

Welke lessen kunnen worden getrokken uit dit boetebesluit?

  • Onderneem op tijd actie indien u (vermoedelijk) te maken heeft met een datalek: wacht niet te lang met het instellen van een onderzoek naar een beveiligingsincident en overweeg zekerheidshalve een voorlopige melding te doen als het gaat om zeer privacy gevoelige gegevens met een hoog risico op misbruik. Datalek meldingen kunnen altijd nog worden ingetrokken als uit onderzoek blijkt dat melden toch niet nodig was;
  • Zorg daarnaast dat uw interne datalekken beleid wordt nageleefd; zorg dat werknemers weten hoe zij een lek kunnen herkennen en wat er van hen wordt verwacht in geval zij een datalek vermoeden of constateren, zodat zij tijdig aan de bel kunnen trekken.

Ons privacy team kan u helpen bij het beoordelen van een datalek en het maken van de afweging om deze al dan niet te melden.

Ook in gevallen waarin het melden van een datalek bij de AP niet nodig is, heeft u baat bij het hanteren van een duidelijk datalekkenbeleid en dient u de datalekken die zich voordoen binnen uw bedrijf te documenteren. Wij kunnen u daarbij ondersteunen.

Meer weten? Neem vrijblijvend contact op met Julia Driessen via juliadriessen@vdb-law.nl of een van de andere leden van ons privacyteam.

Terug

Neem contact op

Heeft u vragen naar aanleiding van dit artikel of wenst u meer informatie over een van onze diensten? Neem vrijblijvend contact met ons op!

Neem contact op