Dutch Data Protection Authority fines Booking.com for late reporting of data breach
Locations
Legal framework
A data breach under the GDPR involves the following: a breach of security resulting in the unlawful destruction, modification, loss, unauthorized disclosure or access to personal data. The GDPR requires data controllers to report the data breach to the competent supervisory authority without unreasonable delay and, if possible, within 72 hours at the latest. This is of great importance if the data breach has potentially serious consequences for data subjects. The information must be reported as soon as possible without undue delay, so that the parties involved can take measures themselves if necessary.
Reason for the investigation
On 7 February 2019, the Dutch DPA received a notification from Booking.com that a personal data breach had taken place. An unknown third party had gained access to the reservation system by posing as an employee of Booking.com. Personal data of 4,109 people involved were subsequently stolen. This includes names, addresses and telephone numbers. For a small part of this group, the credit card details were also accessed, and in some cases, the security code for the credit card as well. Booking.com had entered January 10, 2019 on the data breach notification form as the date on which the data breach became known internally, while the form was not submitted to the Dutch DPA until February 7. Much later than the 72 hours that companies must comply with in the event of a data breach. Because Booking.com had only reported the leak so late, the Dutch DPA subsequently decided to start an investigation into compliance with Article 33 GDPR.
Fine
The main accusation made against Booking.com is that at the time when speed was of the essence, it opted for a much delayed notification. In addition, the data breach concerned sensitive personal data, such as credit card details, which could lead to financially disadvantageous consequences for the parties involved. Due to the late notification, the Dutch DPA cannot properly perform its work as supervisor and, if the notification had been made in time, measures could have been taken. Because of this late notification, Booking.com offered criminals the opportunity to use the personal data stolen for a period of one month. Ultimately, the Dutch DPA imposed a fine of €475,000.
Conclusion
The Dutch DPA found that the number of reported data breaches increased by a staggering 30% in 2020 compared to 2019. It is important that your company secures its systems properly to prevent a data breach. Should you be affected by a data breach and suspect that it is serious then you would be well advised to report it to the competent supervisory authority in time.
If you have any questions, please contact me.
Autoriteit Persoonsgegevens beboet Booking.com voor het te laat melden van een datalek
In december 2020 heeft de Autoriteit Persoonsgegevens ("AP") een boete van € 475.000 opgelegd aan Booking.com omdat het een datalek te laat heeft gemeld.
Wettelijk kader
Een datalek wordt in de AVG gedefinieerd als een inbreuk in verband met persoonsgegevens. Hiermee wordt bedoeld: een inbreuk op de beveiliging dat resulteert in de vernietiging, de wijziging, het verlies, de ongeoorloofde verstrekking van of ongeoorloofde toegang tot persoonsgegevens. De AVG verplicht verwerkingsverantwoordelijken om zonder onredelijke vertraging en, indien mogelijk, uiterlijk binnen 72 uur het datalek te melden aan de bevoegde toezichthouder. Dit is van groot belang indien het datalek mogelijk ernstige gevolgen heeft voor betrokkenen. De informatie moet zo snel mogelijk zonder al te veel vertraging worden gemeld, zodat er door de betrokkenen eventueel zelf maatregelen getroffen kunnen worden.
Aanleiding onderzoek
Op 7 februari 2019 ontving de AP een melding van Booking.com dat een inbreuk in verband met persoonsgegevens had plaatsgevonden. Een onbekende derde partij had zichzelf toegang verschaft tot het reserveringssysteem door zich voor te doen als medewerker van Booking.com. Persoonsgegevens van 4.109 betrokkenen zijn vervolgens buitgemaakt. Hieronder vallen onder meer: namen, adressen en telefoonnummers. Voor een klein deel van deze groep gold ook dat de creditcardgegevens inzichtelijk waren en zelfs in enkele gevallen ook de beveiligingscode van de creditcard. Booking.com had op het datalekmeldingsformulier 10 januari 2019 ingevuld als de datum waarop het datalek intern bekend werd, terwijl het formulier pas op 7 februari bij de AP werd ingediend. Veel later dus dan de 72 uur die bedrijven moeten naleven indien sprake is van een datalek. Doordat Booking.com zo laat pas melding had gedaan van het lek, besloot de AP vervolgens om een onderzoek in te stellen naar de naleving van artikel 33 AVG.
Boete
Het grootste verwijt dat Booking.com wordt gemaakt, is dat op het moment dat er snelheid geboden was, gekozen werd voor een zeer vertraagde melding. Daarnaast betrof het datalek gevoelige persoonsgegevens, zoals creditcardgegevens, die kunnen leiden tot financiële nadelige gevolgen bij de betrokkenen. Door de late melding kan de AP als toezichthouder haar werk niet goed uitoefenen en bij een tijdige melding hadden er maatregelen genomen kunnen worden. Booking.com bood door deze late melding aan criminelen de mogelijkheid om gedurende een maand aan de slag te gaan met de buitgemaakte persoonsgegevens. Uiteindelijk legde de AP een boete van € 475.000 op.
Conclusie
De AP stelde vast dat het aantal gemelde datalekken in 2020 met maar liefst 30% is toegenomen ten opzichte van 2019. Het is van belang dat uw bedrijf haar systemen goed beveiligd om een datalek te voorkomen. Mocht u getroffen worden door een datalek en vermoedt u dat er sprake is van een ernstig datalek dan doet u er goed aan om dit tijdig te melden aan de bevoegde toezichthouder.
Mocht u vragen hebben, neem dan vooral contact met mij op.