Privacyautoriteit VK geeft hotelketen boete van 20,5 miljoen euro wegens datalek

Het Brits Information Commissioner's Office legt hotelketen Marriott een boete van 18,4 miljoen pond op, omgerekend 20,5 miljoen euro. Marriott had volgens het ICO onvoldoende gedaan om een systeem te beveiligen toen het een omvangrijk datalek had.

De Britse privacyautoriteit komt na onderzoek tot de conclusie dat Marriott niet de juiste technische en organisatorische maatregelen had genomen om de data van klanten voldoende te beschermen, zoals de Europese General Data Protection Regulation wel vereist. Het VK was ten tijde van de ontdekking van het datalek, in 2018, nog onderdeel van de EU, waardoor de GDPR van toepassing was.

Gegevens van 339 miljoen accounts van klanten kwamen in 2018 bij een aanval op Marriotts Starwood Hotels en Resorts Worldwide Inc op straat te liggen, waaronder onversleutelde paspoortdata. Het ICO beschrijft dat de aanvallers een webshell op een apparaat in het Starwood-reserveringssysteem installeerden en via deze route op afstand een remote access trojan en andere malware het netwerk in konden krijgen. Op deze wijze wisten ze logingegevens van andere accounts te verkrijgen, databases met klantinformatie te openen en deze data weg te sluizen.

Volgens het ICO had Marriott meer moeten doen om het betreffende reserveringssysteem te beveiligen. De aanval vond al in 2014 plaats. In 2016 nam Marriott Starwood over en in 2018 werd het datalek ontdekt. Marriott beriep zich er onder andere op dat de keten het reserveringssysteem begin 2018 wilde vervangen vanwege aanwijzingen dat dit onveilig zou zijn. Het ICO constateert dat dit anderhalf jaar na de overname zou zijn geweest, wat de autoriteit een lange periode van dataverwerking noemt, en dat de uiteindelijke vervanging pas eind 2018 plaatsvond.

Door Olaf van Miltenburg

Nieuwscoördinator

Feedback • 30-10-2020 13:45 38

30-10-2020 • 13:45

38

Lees meer

BBC lekt gegevens van 25.000 medewerkers en oud-werknemers
BBC lekt gegevens van 25.000 medewerkers en oud-werknemers Nieuws van 31 mei 2024
Politie Noord-Holland benadert gebruikers van remoteaccesstrojan RevCode
Politie Noord-Holland benadert gebruikers van remoteaccesstrojan RevCode Nieuws van 16 februari 2024
Holland America Line waarschuwt voor datalek met paspoortgegevens
Holland America Line waarschuwt voor datalek met paspoortgegevens Nieuws van 18 juni 2021
Duits bedrijf krijgt 10,4 miljoen euro voorwaardelijke boete voor cameratoezicht
Duits bedrijf krijgt 10,4 miljoen euro voorwaardelijke boete voor cameratoezicht Nieuws van 18 januari 2021
Creditcarddata van miljoenen hotelboekingen was vrij toegankelijk
Creditcarddata van miljoenen hotelboekingen was vrij toegankelijk Nieuws van 9 november 2020
Hotelketen Marriott meldt diefstal gegevens van half miljard klanten
Hotelketen Marriott meldt diefstal gegevens van half miljard klanten Nieuws van 30 november 2018
Ook Nederlandse Hyatt-hotels werden getroffen door malware
Ook Nederlandse Hyatt-hotels werden getroffen door malware Nieuws van 15 januari 2016
Malware op betaalsystemen hotelketen Hyatt stal creditcardgegevens
Malware op betaalsystemen hotelketen Hyatt stal creditcardgegevens Nieuws van 24 december 2015
Meer producten en artikelen
Beveiliging en antivirus

Reacties (38)

-Moderatie-faq
38
38
23
6
1
12
Wijzig sortering

Sorteer op:

Weergave:
Tommy_K 30 oktober 2020 13:55
Lastig te beoordelen of die een goede beslissing is of niet.

Het is aan de ene kant goed dat een bedrijf beboet word van het niet op orde hebben van de beveiliging van persoonsgegevens.
Aan de andere kant kan dit andere bedrijven afschrikken om inderdaad incidenten zelf te melden zoals ze verplicht zijn. Een dergelijk boete kan er voor zorgen dat ze dingen onder de mat proberen te vegen om zoiets te voorkomen
djwice @Tommy_K31 oktober 2020 22:48
Deze keten verplichtte je paspoort te laten scannen. Laten zien was niet genoeg, zelfs niet als borg en overnachting al betaald waren.

Er mocht ook geen filter over tijdens scannen.

En ze weigerden de gegevens na de overnachting te verwijderen. Ook konden ze niet aangeven waarvoor ze deze data nog nodig hadden.

Meerdere keren bij verschillende hotels van deze keten ervaren.
_Galavant @Tommy_K30 oktober 2020 14:02
Het niet melden van incidenten is illegaal. Er zullen geheid bedrijven zijn die de regels aan de laars lappen, maar ik ben 100% overtuigd dat sommige bedrijven die dit doen, uiteindelijk door de mand vallen. Bij het strafrechtelijk vervolgen van het illegaal handelen van deze bedrijven, zullen er voorbeelden ontstaan en zullen het gros van de bedrijven het wel laten.


Ik vind een boete een goede incentive als er bewijst kan worden dat een bedrijf dingen 'weg moffelt'.
Marriott beriep zich er onder andere op dat de keten het reserveringssysteem begin 2018 wilde vervangen vanwege aanwijzingen dat dit onveilig zou zijn.
Er was een constatering dat het onveilig was en als gevolg blijf je het gebruiken totdat er aan het einde van het jaar een alternatief is. Dit is niet okay. niet veilig voor je klant? dan zorg je dat je ingrijpt..
0xygen500 @_Galavant31 oktober 2020 05:43
Ik ben het met je eens dat je het dan moet patchen. Echter als een bedrijf het programma al twintig jaar gebruikt en ze gaan het jaar daarna over dan is denk ik de gedachte bij veel manager:wij veranderen niks meer aan het oude programma.
_Galavant @0xygen50031 oktober 2020 10:58
Het gaat ook niet om ontmiddelijke patches, het gaat ook om het blijven gebruiken. Hiervoor was het kosten plaatje makkelijk:
1. in de lucht houden ongeacht lek -> uiteindelijk vervangen (alleen kosten ontvangen)
2. Uit de lucht halen (kosten) -> vervanging ontwikkelen (kosten)

Maar nu zit er een mogelijkheid voor een gigantische boete in stap 1.
1. in de lucht houden ongeacht lek(kans op proportionele boete) -> uiteindelijk vervangen (alleen kosten ontvangen)
2. Uit de lucht halen (kosten) -> vervanging ontwikkelen (kosten)

Wat hopelijk meer managers prompt om beter met jou en mij gegevens om te gaan (zoals ze uberhaupt zouden moeten, als een beetje sociaal ondernemer..)
OruBLMsFrl @_Galavant31 oktober 2020 15:41
Van de andere kant is 2 jaar na overname bedrijfsmatig bezien geen enorme periode voor een ERP migratie. Dat ze eind 2018 op een nieuw systeem overgegaan zijn is eingelijk best indrukwekkend. Je moet toch eerst ook voldoende inwerken en afstemmen na overname om zo'n project te lanceren, alle gebruiksscenario's goed in beeld brengen, uitrolplan maken, etc...

Maar goed, is vast goed naar gekeken in het proces en al meegenomen in de afweging en hoogte van de boete. Gevolgen van paspoortgegevens uitlekken is natuurlijk ook bijzonder ernstig. Zo'n boete zal terecht zijn.

Ik denk dat ketens vooral bij bedrijfsovernames hiervan gaan leren, aandeelhouders vervolgens ook, dat je je IT (beveiliging) landschap op orde moet hebben in het bijzonder waar dat bijzondere gegevensverwerking raakt. Anders ben je straks niet meer aantrekkelijk voor je klanten én (toekomstige) investeerders. Dat kan vervolgens zeker de kijk op IT in organisaties helpen veranderen, op plekken waar die stap nog niet gemaakt is.
Killemov @Tommy_K30 oktober 2020 13:57
Eens. Ik denk dat de boete dan ook meer bedoeld is om prioriteit af te dwingen voor beveiliging/upgrade en dat het niet melden wel eens een onbedoeld neveneffect zou kunnen zijn.
mcDavid @Killemov30 oktober 2020 14:01
Op het niet-melden van een datalek staan ook forse boetes. Dus zeker in gevallen als dit, die sowieso wel aan het licht gekomen zouden zijn, blijft dat een zeer onverstandige keus.

Ik vermoed dat dit wel meegewogen is in het besluit tot het opleggen van de boete. Bij een minder grootschalig incident hoef je natuurlijk niet een soortgelijke boete te verwachten als je het netjes meldt.
Scriptkid @mcDavid30 oktober 2020 14:15
je kunt ook zo redeneren dat hoe hoger de boete hoe meer losgeld een attacker kan vragen om de gestolen database stil te houden en dus hoe leucreativer het wordt voor dat soort mensen om dit te blijven doen.
WillySis @Scriptkid30 oktober 2020 19:50
Gewoon zelf melde is gratis. Als je je beveiliging op dat moment een klein beetje op orde hebt krijg je niet eens een boete. Hoe langer je wacht met het melden, hoe groter de kans op een boete. Als het systeem zo open is dat elke sukkel in kan breken, dan zal ook een boete volgen, al is dat wel afhankelijk van de stappen die worden ondernomen om de beveiliging te verbeteren.

Stil houden gaat uiteindelijk gewoon veel geld kosten. Of je krijgt een boete, of je wordt gechanteerd.
MrBarBarian @Tommy_K30 oktober 2020 13:59
Het niet melden van een datalek kan ook leiden tot een boete. Immers, ook datalekken zijn opgenomen in de GDPR. In de GDPR staat dat je een datalek moet melden, tenzij...

Als je in het nieuws bent omdat een hacker een groot deel van de klantbestand in handen heeft, dan valt er nog weinig te ontkennen.

@Cebasvdh Het boetegeld gaat naar de overheid.
RobinJ1995 @Tommy_K30 oktober 2020 13:59
Het ding met een datalek is dat het een lek is, en de gegevens dus op straat liggen. Kan soms redelijk moeilijk zijn om onder de mat te vegen, dus dat los je op door de boete te vertienvoudigen als je er achter komt dat ze dit hebben geprobeerd.
Jeroen73 @Tommy_K30 oktober 2020 14:01
De boete laat ook zien dat je aansprakelijk bent voor data die je overgenomen hebt en dat je niet anderhalf jaar kan wachten met actie op onveilige situaties.
StackMySwitchUp @Tommy_K30 oktober 2020 13:58
Dan neem ik aan dat de boete nog veel hoger is wanneer deze informatie uiteindelijk gevonden wordt.
Eerlijkheid duurt het langst, er vanuit gaande dat de autoriteiten voldoende kennis en resources hebben om dit ook te handhaven.
DjoeC @Tommy_K30 oktober 2020 15:33
Dit is nou niet echt een hoge boete. 330 miljoen accounts inclusief paspoort informatie en dan zo'n 6 cent boete per account? Gezien de waarde van de gegevens voor zowel de hotelketen als voor de dieven is zelfs 1 euro boete per account nog laag.
lasharor 30 oktober 2020 14:32
Ik vind het veel belangrijker dat na dit soort lekken bedrijven verplicht worden om consumenten te beschermen tegen identiteitsfraude en/of in ieder geval een verzekering etc beschikbaar te stellen voor kosten die voortvloeien uit de nalatigheid met betrekking tot privacy.

Prima dat ze een boete krijgen maar hier heb je toch helemaal niks aan als al je data te downloaden is van het Internet?
Myaimistrue 30 oktober 2020 13:59
Het VK was ten tijde van de ontdekking van het datalek, in 2018, nog onderdeel van de EU, waardoor de GDPR van toepassing was.

Het VK is ook nu nog onderdeel van de EU. De Brexit is eind dit jaar.
Maurits van Baerle @Myaimistrue30 oktober 2020 14:01
Dat is niet helemaal correct. Brexit was op 1 februari dit jaar. Alleen gelden alle regels etc. nog tot eind dit jaar omdat ze in de transitiefase zitten. De GDPR dus ook.
Myaimistrue @Maurits van Baerle30 oktober 2020 14:16
Je hebt gelijk, wat ik bedoelde is dat de Europese wetgeving nog tot dit jaar geldig is. Maar ze hebben niets meer te zeggen sinds 1 februari van dit jaar inderdaad :).
Arjan P @Myaimistrue30 oktober 2020 14:06
Nee, de UK is officieel uit de EU sinds 31 januari 2020 - er zijn ook geen Britse Europarlementariërs meer. Er is nu sprake van een transitieperiode tot 1 januari 2021, gedurende welke periode een nieuw UK-EU akkoord gesloten zou moeten worden, en tot die tijd houden beide partijen de status quo.
dimitrivisser 30 oktober 2020 13:58
Volgende keer niet melden. Dat is tenminste wat ik zou denken. Ik begrijp dat de dreiging van een boete kan werken om bedrijven aan te zetten beter hun best te doen, maar het kan natuurlijk op verschillende manieren anders uitpakken.
Arnoud Engelfriet @dimitrivisser30 oktober 2020 15:03
Dan tipt een klokkenluider de toezichthouder en is je boete een stuk hoger. Oh ja en je bestuur kan jou in privé aanspreken op dit opzettelijk verzwegen datalek. Zou ik dan zeggen als FG.
djwice @Arnoud Engelfriet31 oktober 2020 22:56
We zijn weer een leuke op het spoor: vrienden loterij. Via de kinderpostzegels. Gratis lot zonder verplichtingen.

Blijkt automatisch te verlengen.
En als je begint met invullen, dan leest dat ie automatisch verlengd en dus NIET op de bevestigingsknop klikt en al je gegevens uit het formulier haalt...

Krijg je tóch een mail van ze dat je bent aangemeld en mee doet..

Maar eh... die gegevens heb ik nooit bevestigd voor gebruik... en nooit bevestigd dat ik mee wil doen... en nooit akkoord gegaan met automatisch meespelen tegen betaling.

Reageren op de mail kan niet.
Je moet bellen om het ongedaan te maken...
Kom je in een lange wachtrij....
En via online contactformulier geven ze aan dat je pas over 5 dagen een reactie krijgt...
5pë©ïàál_Tèkén @dimitrivisser30 oktober 2020 14:02
Dergelijke gejatte datasets worden in z'n geheel verhandeld. Vroeg of laat komt zo'n set bij een opsporingsinstantie waarna het zeer eenvoudig is om te achterhalen wat al die creditcards gemeen hebben - er is ooit mee betaald bij bedrijf X.
Goede kans dat mensen klachten indienen bij hun creditcard instantie die vervolgens een lijntje uitgooit naar bedrijf X. Dan zou bedrijf X toch wel een serieus onderzoek op poten moeten zetten - dergelijke signalen negeren is fouter dan fout. Als overheden zien dat dergelijke signalen in de wind zijn geslagen, dan hangen ze aan de hoogste boom en is die boete misschien wel het minste probleem.

[Reactie gewijzigd door 5pë©ïàál_Tèkén op 29 juli 2024 22:49]

Jeroen73 @dimitrivisser30 oktober 2020 14:02
Wat zou dat kosten?
Scriptkid 30 oktober 2020 14:20
Wacht even,

Dus marriot moet een boete betalen voor een overgenomen bedrijf over de periode dat het bedrijf nog niet eens van hun was voor een datalek dat pas 2 jaar na overnamen werd ontdekt,

De boete geld dan voor het nalaten van het vervangen van een ICT systeem eind 2018 terwijl ergen in 2018 de hack pasw werd gevonden.

Dus men vind het rieel dat zoon soort systeem niet binnen een half jaar vervangen kan worden in een complexe post merger situatie met wereld weide deployment en meer dan 300 miljoen aangesloten klanten met pasjes.??
_Galavant @Scriptkid30 oktober 2020 14:29
Het gaat niet om de vervangings periode, het gaat om het online houden van een systeem waar kwetsbaarheden van bekend zijn.
uNoTopia @Scriptkid30 oktober 2020 14:37
Als niet Marriott verantwoordelijk gehouden kan worden, wie dan wel?
Arnoud Engelfriet @Scriptkid30 oktober 2020 15:04
Normaal regel je zulke lijken in de kast via een kortingsregeling in het koopcontract.
Nystran @Scriptkid1 november 2020 15:25
Dus marriot moet een boete betalen voor een overgenomen bedrijf over de periode dat het bedrijf nog niet eens van hun was voor een datalek dat pas 2 jaar na overnamen werd ontdekt,
Nee, ;) een hotelketen moet een boeten betalen, omdat ze de boel niet op orde hadden. Dat de poppetjes bovenin veranderd zijn, doet niet ter zake.

Maar je hebt een punt: de meeste bedrijven doen veel onderzoek naar "lijken in de kast" vóór een dergelijke overname, om dit soort risico's te verkleinen. Helaas krijg je dan alleen de op dat moment bekende lekken boven tafel.
WhatsappHack
30 oktober 2020 14:02
“ Het VK was ten tijde van de ontdekking van het datalek, in 2018, nog onderdeel van de EU, waardoor de GDPR van toepassing was.”

Het VK is nu ook de facto nog lid en daarnaast hebben ze gezegd dat ze vasthouden aan de GDPR. Dus vanuit het oogpunt van ‘t VK boeit het niets en was de boete sowieso uitgeschreven. Enkel vanuit die van de EU maakt het uit, die gaan het VK immers als third-party beschouwen; maar dat maakt voor deze interne zaak geen enkel verschil. :)

[Reactie gewijzigd door WhatsappHack op 29 juli 2024 22:49]

Frituurbaas 30 oktober 2020 14:30
De boete is mild, 20,5 miljoen euro voor een bedrijf dat pre-Covid-19 miljarden euro's winst per jaar maakte.
raptorix @Frituurbaas30 oktober 2020 15:20
Klopt, het is de maximale boete: https://www.itgovernance....data%20protection%20fines.

Wist trouwens niet dat dat 20 miljoen was, ik dacht dat het maximum 4% van de omzet was.
alionfire @raptorix30 oktober 2020 23:13
Het is een boete van 20 miljoen OF tot 4% van de wereldwijde jaarlijkse omzet in geval van een "undertaking" (onderneming).

Het bedrijf kan in dit geval in zijn handjes klappen, want het het heeft in 2019 (4,7 miljard) omzet gedraaid.

Meer leesvoer: https://gdpr-info.eu/issues/fines-penalties/

[Reactie gewijzigd door alionfire op 29 juli 2024 22:49]

Cebasvdh 30 oktober 2020 13:56
Wat gebeurt er eigenlijk met die boete geld, gaat dit gewoon op de grote stapel van de Britse overheid of wordt het ergens anders voor gebruikt?
Polderviking 30 oktober 2020 16:00
Het ICO beschrijft dat de aanvallers een webshell op een apparaat in het Starwood-reserveringssysteem installeerden en via deze route op afstand een remote access trojan en andere malware het netwerk in konden krijgen. Op deze wijze wisten ze logingegevens van andere accounts te verkrijgen, databases met klantinformatie te openen en deze data weg te sluizen.
Ik ben dan wel benieuwd op welke manier er bevonden is dat de beveiliging niet adequaat was.
Ik lees in dit stukje toch vooral de details van een omvangrijke gerichte aanval en vind een boete daarvoor wel een beetje apart.

Verder vraag ik me ook af of een bepaalde garantstellingsverplichting ofzo niet beter is dan zo'n platte boete.
Ik heb er geen reet aan dat mariott een boete heeft gehad als ik vervolgens nare gevolgen ondervind van die gelekte info. Waar ik wel wat zou hebben is dat daaruit voortvloeiende schade gedekt wordt door mariott.
Faloude 30 oktober 2020 18:48
339 miljoen accounts? Als elk account een unieke klant is, hebben we het over 4.3% van de wereldbevolking. Hoe bizar groot is deze keten?
kever678 @Faloude30 oktober 2020 21:37
1,2 miljoen kamers..

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq