De Autoriteit Persoonsgegevens (AP) heeft reiswebsite Booking.com een boete van € 475.000 opgelegd vanwege het te laat melden van een datalek. Criminelen ontfutselden per telefoon inloggegevens van medewerkers van hotels in Dubai. Hierdoor kregen zij toegang tot persoonsgegevens van 4.109 mensen. Daarbij wisten zij ook creditcard-gegevens van ruim 300 klanten buit te maken.

Booking.com werd op 13 januari 2019 op de hoogte gebracht van het datalek. Zij meldde dit lek echter pas op 7 februari 2019, daar waar een dergelijk lek volgens de Algemene Wet Gegevensbescherming (AVG) binnen 72 uur gemeld moet worden. Booking.com was dus 22 dagen te laat met het melden van het datalek. Booking.com erkent het lek te laat gemeld te hebben. Booking.com stelt dat sindsdien haar systemen op het gebied van privacy en beveiliging zijn geoptimaliseerd om een dergelijk lek en de daarop volgende te late melding uit te sluiten.

Heeft u vragen over privacyrecht of heeft u advies nodig? Neem gerust contact op met advocaat Arsen Mukuchian.

2 april 2021

Bron: AP