Booking.com krijgt boete van 475.000 euro voor te laat melden datalek - update

Booking.com heeft een boete van 475.000 euro gekregen van de Autoriteit Persoonsgegevens. Het bedrijf meldde in 2019 een datalek te laat. Volgens de AVG moet een bedrijf binnen 72 uur melding maken van een datalek, maar dat gebeurde pas na drie weken.

Bij het datalek uit 2019 werden de gegevens van zo'n vierduizend klanten van het platform gestolen. Booking ontdekte het datalek op 10 januari 2019, maar lichtte de Autoriteit Persoonsgegevens daar pas op 7 februari in plaats van 13 januari over in. De AVG stelt dat een datalek binnen 72 uur na de ontdekking aan de privacytoezichthouder moet worden doorgegeven. Voor die overtreding moet het bedrijf nu 475.000 euro betalen.

Het datalek ontstond in een intern systeem dat werd gebruikt om contact-, reserverings- en betaalgegevens op te slaan. Een onbekende hacker wist daar toegang toe te krijgen, en daarmee naast naw-gegevens en telefoonnummers ook reisinformatie en betaalde prijzen in te zien van 4109 bezoekers van veertig hotels. Ook werden van 283 slachtoffers de creditcardgegevens gestolen, waarvan bij 97 ook nog de cvc-code werd buitgemaakt. Het gaat met name over gasten die hotels hadden geboekt in de Verenigde Arabische Emiraten. Het datalek vond plaats op 19 december van 2018.

Hotels in de VAE meldden aan Booking.com op 9 januari 2019 dat hun gasten werden benaderd met gepersonaliseerde phishingmails. Ook in de daaropvolgende dagen kreeg Booking meer van zulke signalen. Het bedrijf begon op 31 januari een onderzoek. Vier dagen later concludeerde het bedrijf dat er waarschijnlijk sprake was van een datalek. Dat werd op 4 februari doorgegeven aan het 'Privacy Team' van Booking dat vervolgens alle klanten informeerde. De Autoriteit Persoonsgegevens werd pas drie dagen daarna op de hoogte gebracht.

Volgens de AP gaat het om 'een ernstige overtreding', omdat de schade zo laat werd gemeld. "Een datalek kan helaas overal gebeuren, ook al heb je goede voorzorgsmaatregelen getroffen", zegt AP-vicevoorzitter Monique Verdier. "Maar om schade voor je klanten en herhaling van zo'n datalek te voorkomen, moet je dit op tijd melden."

Booking zei aanvankelijk dat het lek op tijd was gemeld omdat het pas na het afronden van het interne onderzoek op 4 februari zeker wist dat het om een datalek ging. De AP noemt dat onterecht. Al op 13 januari had Booking zeker kunnen weten dat het om een datalek ging. Ook zouden de hotels die waren getroffen hebben geconcludeerd dat 'het datalek niet bij Booking zat', maar ook dat accepteert de AP niet. Booking had namelijk aan de aard van de gegevens kunnen zien dat de gegevens wel degelijk van zijn systemen kwam. Booking gaat niet in beroep tegen de boete.

Bij het datalek werden gebruikers getroffen uit andere landen dan Nederland. De AP trad op als de voornaamste toezichthouder in de zaak. Ook dat kan onder de AVG; één privacytoezichthouder neemt dan de leiding in het onderzoek en treedt op namens de andere Europese autoriteiten.

Update, vrijdag 2 april, 09.45: De link naar een nieuwsbericht van Datanews over een melding van een datalek bij Booking is verwijderd omdat deze van voor het betreffende datalek ging en ongerelateerd was. Booking heeft verder een verklaring over de zaak verstrekt: "De boete van de Autoriteit Persoonsgegevens heeft specifiek betrekking op het te laat melden van dit incident en staat niet in verband met de beveiligingspraktijken van Booking.com, noch met de algehele afhandeling van het incident in kwestie. Een klein aantal hotels hebben onbedoeld inloggegevens van hun Booking.com-account aan online oplichters verstrekt, maar er was geen sprake van een compromitterende situatie met betrekking tot de code of databases van het Booking.com-platform."

IT-banen

Reacties (80)

djoelzz 31 maart 2021 12:40

Hoe wordt die boete eigenlijk berekend?

Er is sprake van een aantal variabelen die je mee zou willen laten wegen, bijvoorbeeld:
- Aantal klanten die het betreft
- Gevoeligheid van de gegevens (e-mail adres of creditcard gegevens is nogal een groot verschil)
- Historie/trackrecord van het bedrijf op gebied van privacy.

Arnoud Engelfriet @djoelzz • 31 maart 2021 12:53

Die staan in de Boetebeleidsregels (https://autoriteitpersoon...st-boetebeleidsregels-aan). Het boetebesluit van deze zaak geeft aan wat ze meewegen. De basisboete voor dit soort overtredningen is categorie III, en daar hoort een boetebandbreedte bij van € 300.000 en € 750.000 en een basisboete van € 525.000. Bij Booking gaat de boete vervolgens 50.000 omlaag vanaf die basis omdat ze betrokkenen goed hebben geholpen de schade te beperken (zie p23), en er waren geen redenen de boete omhoog te doen vanaf de basis.

Verwijderd @Arnoud Engelfriet • 31 maart 2021 13:14

M.a.w. De hoogte van de boete is dus een druppel op een gloeiende plaat. Ik zie dat er pas bij het negeren van het vonnis dat er een boete opgelegd kan worden van maximaal 10 miljoen of hoger van 2 tot 4 procent van het totale vermogen. Ik vraag mij af of dergelijke bedrag wel zin heeft bij een Microsoft of een Google waarbij zulke bedragen meer wisselgeld is maar wel bekend staan om de zaken te rekken.

Plep @Verwijderd • 31 maart 2021 13:50

Ook 10, 100 of 1000 miljoen is te overzien door bedrijven zoals Google, Microsoft en Apple. Imagoschade zijn ze denk ik veel banger voor en kan (op de lange termijn) veel meer kosten.
En als het om (gevoelige) bedrijfsdata gaat komen daar zeker wel rechtszaken en schadeclaims uit.

N1ckk @Arnoud Engelfriet • 31 maart 2021 13:08

Bedankt voor deze onderbouwing. 118,75€ per persoon, gaat die vergoeding ook naar die mensen toe?

The Zep Man

Privacy

@N1ckk • 31 maart 2021 13:25

Een boete is geen schadevergoeding, dus nee. Die mensen zijn vrij om een civielrechtelijke procedure te starten, mits ze aan kunnen tonen dat zij schade hebben geleden. Anders heeft zoiets geen nut.

[Reactie gewijzigd door The Zep Man op 22 juli 2024 18:05]

N1ckk @The Zep Man • 31 maart 2021 13:27

Ik hoop dat je de clown emoji erachter wel hebt opgevat als een enorme knipoog en ietwat maatschappelijke kritiek op hoe dit boetesysteem werkt.

arjenovic @N1ckk • 31 maart 2021 18:00

Een niet eens zo gek bedachte knipoog. Ik heb dit jaar nu al een aantal keer in zo'n gelekte database gezeten en vind het absurd dat die bedrijven daar vervolgens een boete over moeten betalen die niet naar de personen gaat die er daadwerkelijk schade van ondervinden.

svane @Elefant • 31 maart 2021 14:59

1,8 miljard? Zou je ook de pensioenleeftijd mee kunnen verlagen. Maar dat is natuurlijk een slecht idee, dat geef je liever aan je vrinden zodat zij straks weer een vervolgbaantje voor je klaar hebben liggen. Zoals Rutte tegen het grootkapitaal gezegd heeft. Jullie kunnen me altijd bellen.

Even rekenen: als je die 1.8 miljard verdeelt over alle Nederlanders kom je uit op €104 per persoon. Een alleenstaande vrouw krijgt gemiddeld iets van €2.020 pensioen per maand.

Met hoeveel dacht je dat je de pensioenleeftijd kon verlagen met die 1,8 miljard? Volgens mijn ruwe berekening kom je uit op anderhalve dag.......... schiet lekker op

Elefant @svane • 1 april 2021 09:24

Erg misleidend. Je zit 200x te laag. Er stromen in een jaar minder iets van 90.000 mensen in. De AOW kost de overheid iets van 30 mrd per jaar voor 3 mln mensen. gemiddeld 10.000 pp. eenmalige instroom van 90.000 extra instroom kost 900 mln per jaar exra.

Nu is booking.com niet de enige waar de de neoliberale regering subsidie en belasting kadootjes loopt te uit te delen. Dat gebeurt grootschalig en de EU doet niet anders dan ons geld aan bedrijven uitdelen. Al het geld gaat naar subsidie. Ook voor Innovatie willen grote bedrijven dat de EU het financiert. Dat kan je toch niet van je megawinst doen die je al jaren uit het bedrijf trekt?

Die 1.8 mrd is ruiim voldoende om mensen in zware beroepen vroegtijdig te laten pensioneren, dan zou je al duizenden gezonde levensjaren redden van mensen die sowieso niet lang van hun pensioen genieten. Gederfde inkomsten worden door liberalen gelijk gesteld aan verliezen, en zo mogen we bewuste vroegtijdige dood rustig gelijk stellen aan moord. Rutten en co zijn doelbewust bezig een deel van de bevolking vroegtijdig om het leven te brengen door de pensioenleeftijd alsmaar te verhogen door de staat steeds verder uit te kleden.

Vanuit goed economisch beheer en rechtvaardigheid in de samenleving is het totaal verkeerd om steeds meer geld te sluizen naar mensen die het niet nodig hebben, ten koste van mensen die het hard nodig hebben. Het is het notabene het geld van die mensen zelf, zij brengen het op met hun harde werken.

Helemaal verkeerd is steeds meer geld door te sluizen naar mensen die niet eens tot ons volk behoren, de buitenlandse investeerders, die dankzij het neoliberale beleid nu 80% van de Nederlandse bedrijven hebben opgekocht. Het basisprincipe van elke staat is nu juist dat het zorg moet dragen voor zijn eigen volk. Het hele idee van democratie is een regering voor, van, en door het volk, En dat dan wordt niet bedoeld het buitenlandse volk.

De bedoeling van hogere belasting voor rijken en voorzieningen en tegemoetkomingen aan de burger is nu juist herverdeling van inkomen om te zorgen dat verhoudingen tussen arm en rijk constant blijven. Dat is van wezenlijk belang om de rechtvaardigheid te bewaren en te voorkomen dat de rijken alle macht naar zich toetrekken.

Sando @Elefant • 31 maart 2021 14:50

Ik ben benieuwd hoeveel rijker de rijken worden van Corona

Grootste financiële crisis sinds WO2 + Grootste monetaire verruiming ooit = AEX hoogste punt ooit.

This is fine.

Horatius @Notenkraker20 • 31 maart 2021 12:45

De AVG is zeker een flinke hindernis en het is maar tijd ook dat privacy iets is waar bij stil wordt gestaan.

Ook zijn er meer bedrijven dan de grote 3, deze 3 zullen ook niet keihard deze wet met de voeten treden maar er meer omheen en tussendoor lopen. Onder andere omdat er ook strafrechtelijke vervolging zit en niet alleen een geld boete. Maar ook dat Google alles eraan zal doen om niet opgesplitst te worden.

De AVG is ook zeer belangrijk voor de minder grote bedrijven waar meestal de datalekken zitten.

D0ubleD0uble @Notenkraker20 • 31 maart 2021 12:50

Dat is het absoluut niet, en boetes zijn er helemaal niet voor bedoeld om geld af te troggelen. Als mensen dat zouden weten zouden ze tenslotte ook nooit de verkeersregels breken, ik denk dat geen enkele automobilist de staatskas wilt spekken

Sinds de AVG is ingevoerd worden er een stuk meer datalekken gemeld. Dit verhoogd ook het bewustzijn van waar data beveiliging nou eigenlijk voor dient, en het is goed dat er dan ook op gehandhaafd wordt. En data verzameling is prima, maar daar staan wel regels voor opgesteld in de desbetreffende wet. Als Google en Facebook zich aan die wet houden is er dus niks aan de hand.

Nou ben ik wel met je eens dat deze big-tech bedrijven hun macht misbruiken, maar om dan gelijk te stellen dat de AVG alleen maar organisaties dwars zit gaat wel een beetje ver. Dan zou je eerder moeten kijken hoe de AVG kan worden ingericht om ook dit probleem aan te pakken

Lisadr @Notenkraker20 • 31 maart 2021 12:40

Nee! AVG zorgt ervoor dat bedrijven bewuster omgaan met persoonsgegevens en zolang boetes hoger zijn dan de kosten om persoonsgegevens beter te beschermen zullen bedrijven ervoor kiezen om meer geld uit te geven aan bescherming.

Blokker_1999

Boete
Privacy

@Notenkraker20 • 31 maart 2021 12:40

En zolang dat volgens de geldende wetgeving gebeurd is daar ook niets mis mee. Welke wetten overtreden die bedrijven dan volgens jouw?

De AVG is ontstaan om jouw data beter te beschermen en jouw meer controle te geven over die data, en dat is ook precies wat er gebeurd; En die grote bedrijven zijn net heel goed in het omgaan met die wetgeving, al zoeken ze wel eens de limieten op. Maar ga eens bij een kleine organisatie wat vragen stellen over je data. Kans is groot dat ze het in Keulen horen donderen en niet weten hoe ze er mee om moeten gaan.

wind-rider @Notenkraker20 • 31 maart 2021 12:40

Is volgens jou de wet zelf het probleem of de slagkracht van de toezichthouder(s)?

Edit: Volgens mij staan er in de wet zeker wel goede dingen, die daarnaast ook effect hebben buiten Europa, en die bewustwording bevorderen.

Punten als doelmatigheid (je mag gegevens van burgers niet gebruiken voor andere doelen dan waarvoor ze je gegeven zijn), verwerkingsovereenkomsten tussen bedrijven (de hele keten moet eraan voldoen), recht op correctie/inzage/vergeten te worden.

Ik denk dat er meer in slagkracht geïnvesteerd moet worden.

[Reactie gewijzigd door wind-rider op 22 juli 2024 18:05]

Martijn.C.V

@Notenkraker20 • 1 april 2021 10:46

Hm, Ik denk dat je het beter andersom kunt bekijken:

Als jij een bedrijf hebt en je wilt goede beveiliging in je software, mag je zo je urenschatting x2 doen voor alle features. De meeste bedrijven laten een beetje toe en daardoor wordt het x1.1, want zo kunnen ze zeggen dat ze er iets aan doen, maar kost het niet teveel geld.

Als je bedrijf een datalek heeft voelt niemand daar echt iets van. Je bent niets kwijt los van imago, niets is kapot, je bedrijf kan gewoon verder. Het kost je niets en dat is gelijk het issue; Het kost je niets dus waarom zou je dan geld investeren? Dan kost het je veel geld voor een theoretisch probleem! Gecombineerd met een "ag, we zijn niet belangrijk genoeg joh" wordt er weinig aan besteed.

Nu staat er een boete tegenover. Nu is de kans dat je gepakt wordt niet veranderd, maar áls het gebeurd, zijn de gevolgen groter. Het loont nu dus iets meer om er toch maar wat defensieve tijd aan te besteden.

Ik denk dat je schrikt als je weet hoe lafjes veel beveiligd is. En als iedereen de basis toe zou gaan passen gaat dat enorm schelen

miicker 31 maart 2021 12:41

Daar ligt booking natuurlijk niet van wakker, vragen ze gewoon even een half miljoen extra overheidssteun aan..

walteij @miicker • 31 maart 2021 12:52

Een half miljoen gaat Booking.com zelf maar weinig van voelen.
Als ik op https://now-inzichtelijk.nl/ kijk, heeft Booking.com al € 64.465.254 mogen ontvangen via de NOW regeling.
Goed, ze hebben wel 99% minder winst gemaakt, maar er is nog steeds 59 miljoen winst behaald. De NOW zal hier zeer waarschijnlijk invloed op hebben gehad.

satya @walteij • 31 maart 2021 13:04

Geld wat allemaal naar het personeel gaat. Een soort veredelde WW.

walteij @satya • 31 maart 2021 13:18

Dat mogen we hopen ja.
Verder ben ik van mening dat een bedrijf dat miljoenen op de bank heeft staan en in gewone jaren miljarden winst maakt, eerst eens even naar de eigen vetpot moet kijken, voordat ze uit de staatsruif gaan graaien.

Ik vind overigens dat de NOW regeling simpelweg verkeerd is opgezet. Neem Booking.com als voorbeeld, zij hebben dus bijna € 64,5 miljoen staatssteun gekregen en vervolgens € 59 miljoen winst behaald.
In plaats van uitbetalen naar omzetderving, had de NOW zo opgesteld moeten worden dat eventueel behaalde winsten teruggaan naar de staat om de NOW ruif een beetje gevuld te houden.
Op die manier zou booking.com slechts € 5,5 staatssteun hebben ontvangen en bleef er nog € 59 miljoen over om te voorkomen dat er veel MKB's failliet gaan, of om het oplopen van de staatsschulden enigszins te beperken.
Een bedrijf starten of runnen neemt risico's met zich mee. Minder winst halen (of verlies draaien) is een van die risico's (onder normale omstandigheden).
Overheidssteun voor bedrijven die failliet dreigen te gaan, is in de huidige omstandigheden gewoon logisch, maar als er miljoenen winst wordt gemaakt door bedrijven die steun ontvangen, moet de kraan wellicht wat dichtgedraaid worden. Zeker als de kopmannen in die bedrijven jaarlijks miljoenen binnen weten te harken.

Voetnoot: Ik weet dat booking.com geen vetgevulde bankrekening heeft, maar een schuld van 7.5 miljard.
Laat niet over dat minimaal één directielid van Booking in 2018 effectief 20 miljoen dollar heeft verdiend (bron).

tmnvanderberg @walteij • 31 maart 2021 13:33

Dat klinkt leuk, maar wanneer je zo'n regeling niet aantrekkelijk maakt doet Booking gewoon niet mee. Dan ontslaan ze liever mensen.

walteij @tmnvanderberg • 31 maart 2021 13:37

Daar heb je zeker een punt. Ik zeg ook niet dat mijn idee de beste oplossing is, maar ik weet vrij zeker dat de manier waarop de NOW nu is neergezet zeker niet de beste oplossing is.

Jantimon @tmnvanderberg • 31 maart 2021 14:29

Ze hebben de NOW gepakt en evengoed veel mensen ontslagen (zo een 20%). Ik denk ook dat ze de NOW veel te coulant hebben opgesteld. Als je winst kan maken heb je gewoon geen steun nodig. Zo simpel is het.

Wat mij betreft mogen ze grote bedrijven überhaupt wat harder aanpakken. Ophouden met allemaal belasting voordeeltjes in de angst dat ze zich anders elders vestigen. Dan is het wel handig om dat binnen de EU te regelen.

rvt1 @tmnvanderberg • 31 maart 2021 14:40

Dan kun voor die 64miljoen behoorlijk wat mensen , zeker 2000, mensen van levensonderhoud voorzien.
Lieverdat dan dat we de kans lopen dat ons geld weglekt via allerlei bedrijven.

TheekAzzaBreek @tmnvanderberg • 31 maart 2021 15:52

Dat is (in dit geval) maar de vraag.

Bij Booking werken veel gespecialiseerde IT'ers, in feite draait het bedrijf daar op. Die krijg je heus niet zo maar terug als de problemen voorbij zijn.

satya @walteij • 31 maart 2021 13:28

Vergeet niet dat een deel van dat geld meteen terug vloeit naar de premie en belastingpotten van ons allemaal, het geld wordt ahw gewoon rondgepompt. Dit is geen bedrijfsrisico, maar een systeem risico voor ons allemaal. De andere optie is massale en waarschijnlijk terechte ontslagen als gevolg een ineenstorting van (een deel) van het hele systeem.

walteij @satya • 31 maart 2021 13:35

Maar die premies en belastingpotten worden gevuld van het geld dat er is voordat er winst wordt gemaakt, de premies en aandelen voor de directie horen ook bij het sommetje dat gemaakt wordt voordat de winst berekend kan worden.
Ook is nog maar de vraag in hoeverre booking.com de belastingpotten vult en niet gebruik maakt van een double-irish-dutch-sandwich achtige constructie.

satya @walteij • 31 maart 2021 15:34

Daarvoor mag je bij de VVD zijn die de belastingvlucht voor zijn aanhang faciliteert, Nederland stemt daar in grote mate voor

xbeam @walteij • 31 maart 2021 14:00

Precies deze winst gaat gewoon naar buitenlandse aandeelhouders en die betalen hier geen belasting.

Bedrijven kunnen trouwen niet zomaar iedereen ontstaan ten eerste hebben velen een vast contract en miljarden op de bank geeft geen rechter toestemming om menens zomaar te ontslaan en daarnaast hebben ze de mensen na COVID ook weer nodig, opnieuw mensen aannemen kost maanden voordat ze weer volledig operationeel zijn. En de concurrentie zit ook niet stil

Jantimon @satya • 31 maart 2021 14:31

De winst vloeit naar buitenlandse aandeelhouders. Winst die ze weten te behalen omdat de NOW de personeelskosten dekt.

xbeam @satya • 31 maart 2021 13:10

maar wist netto onder de streep nog wel een positief resultaat te realiseren van 59 miljoen dollar.

Die zijn er al van betaalt het lijkt er inderdaad op de NOW gewoon winst is voor booking.com

[Reactie gewijzigd door xbeam op 22 juli 2024 18:05]

PhanToM__ @walteij • 1 april 2021 01:23

Dat half milijoen is ook maar eerder om op de vingers te tikken. De boetes van AVG zijn relatief nieuw en hiermee willen ze hun standpunt duidelijk maken.

RobinJ1995

31 maart 2021 12:40

Dat is een redelijk stevige boete. Kan het alleen maar toejuichen, maar vind het dan wel vreemd dat bedrijven die gewoon duidelijk intentioneel privacywetgevingen overtreden er in verhouding steeds zo veel makkelijker vanaf lijken te komen.

Cergorach @RobinJ1995 • 31 maart 2021 12:54

Intentioneel is hier nergens gezegd. Dit riekt eerder naar een stukje onkunde dan wel verkeerd begrijpen van de regelgeving.

Dat het AP zegt dat Booking.com al op 13 januari had kunnen weten dat het om een datalek ging vind ik heel erg kort door de bocht en heel makkelijk gezegd zo achteraf. Als het op 31 januari een onderzoek instelt en 4 februari concludeert dat het een datalek is, dit direct meld aan de klanten en dan 3 dagen erna (72 uur) aan de AVG, kan ik dat alleen maar stellen als heel netjes.

Booking ontdekte het datalek op 10 januari 2019

Komt niet overeen met wat de bron en Bookings.com claimt. Want die bron rapporteert op 3 januari 2019 wat een redactielid van Data News ontving op 1 januari 2019 en die zegt:

"Tijdens een routinecheck van onze beveiliging ontdekten we dat uw accountgegevens mogelijk openbaar zijn geworden na een datalek bij websites of diensten die niet aan Booking.com gerelateerd zijn."

Er was op dat moment dus helemaal niet duidelijk bij Booking.com dat zij een datalek hadden.

eamelink @Cergorach • 31 maart 2021 13:02

De regelgeving is duidelijk; ze moeten melden binnen 72 na kennis nemen. Als je het rapport van de AP leest, zie je dat een hotel op 9 en 13 januari meldingen heeft gedaan die er erg verontrustend uit zien. Op de 9e had nog een fluke kunnen zijn, maar de 13e lijkt me duidelijk dat ze ‘kennis genomen’ hadden. Dus uiterlijk 72 uur na die melding op de 13e had Booking het moeten melden. Die 72 uur is bedoeld om eventueel onmiddellijk een kort onderzoekje te kunnen doen. De wet biedt geen ruimte om weken te dralen, daarna zelf een uitgebreid onderzoek te doen en dán pas melden.

[Reactie gewijzigd door eamelink op 22 juli 2024 18:05]

Verwijderd @eamelink • 31 maart 2021 13:06

De regelgeving is duidelijk; ze moeten melden binnen 72 na kennis nemen.

Als wij elke keer melding moeten maken als een klant komt melden dat hij 'er absoluut zeker van is' dat wij gehacked zijn en zijn gegevens gedeelt doen we 10 meldingen per week. Denk je dat de AVG daarop zit te wachten?

graey @Verwijderd • 31 maart 2021 13:11

En daar is dus die 72 uur voor. Als je op deze schaal opereert maar niet iemand hebt die dat op die termijn kan onderzoeken, doe je sowieso al iets fout ook.

eamelink @Verwijderd • 31 maart 2021 13:16

Als je 10 meldingen per weekt heb, heb je ongetwijfeld een proces dat de meldingen snel kan beoordelen op geloofwaardigheid. Maar inderdaad, een enkele individuele melding is altijd lastig te beoordelen. Die data is immers niet alleen bij de verwerkende organisatie beschikbaar, maar ook bij de persoon zelf.

Echter, in het geval van Booking.com kwamen op 9 en 13 januari de meldingen van een hotel, dat er klanten benaderd werden op hun persoonlijke emailadres - die niet aan het hotel verstrekt worden! - over de boeking. Op 20 januari meldingen van een ander hotel over hetzelfde; ook voor meerdere klanten.

Dan heb je dus al tweemaal een geval waar het niet aan een enkele klant kan liggen en ook niet aan het hotel zelf. Reden genoeg voor alarmbellen dus.

Jantimon @Verwijderd • 31 maart 2021 14:18

Het lijkt me dat je die melding zo snel mogelijk onderzoekt om na te gaan of het werkelijk een lek is of wat anders. Als je er na dat onderzoek achter komt dat de klant zelf onzorgvuldig is geweest met zijn gegevens dan doe je natuurlijk geen melding bij de AP.

Lisadr @RobinJ1995 • 31 maart 2021 12:51

De AP kan organisaties die de AVG overtreden een boete opleggen van maximaal 20 miljoen euro of 4% van de wereldwijde jaaromzet.

Maar tot heden is het laagste boete in Nederland 250 euro en hoogste 830.000 euro volgens Dailybites

In Frankrijk gevens ze hogere boetes. Zo heeft Google boetes van 50, 60 en 40 miljoen gehad en Amazon 35 miljoen.

Verwijderd @Lisadr • 31 maart 2021 13:49

Bovendien kunnen zulke boetes gewoon herhaald worden. Wanneer men een boete oplegt voor te snel rijden en je blijft te snel rijden en je wordt weer gepakt, dan krijg je nadien een nieuwe boete. Doe dat een paar keer te veel en je komt voor de rechter. Doe dat een paar keer en je gaat een paar maanden de cel in en verliest je wagen.

Zo ook bij de Googles en de Amazons. Mensen denken dat het wisselgeld is. De eerste keer misschien wel. Maar het betalen van een boete maakt niet dat je hebt afgekocht dat je het vanaf nu wel mag doen. De boetes gaan gewoon door. Worden gewoon hoger.

Justitie heeft heel veel tijd, is heel geduldig en zal heel down to earth gewoon blijven doorgaan met straffen en boetes die altijd maar zwaarder en zwaarder worden. Bovendien verliezen die bedrijven bij iedere veroordeling ook steeds meer het geduld van zowel de politici als de burgers. Waardoor de wetgeving al maar scherper wordt en de gevolgen al maar ernstiger. Tot inderdaad desnoods een verbanning uit de gehele EU markt. Wat ik denk dat er voor bepaalde van die mastodonten er aan zit te komen. Want heel erg veel leren hun marketing jongetjes niet. Inderdaad. (Ik pleit er voor om die marketing jongetjes zelf in de cel te zetten, i.p.v. het te houden op enkel geldboetes. Maar dus toch ook zeker wel extreem hoge geldboetes ook. Beiden. Kei hard. En blijven doorgaan tot hun nek gebroken is).

[Reactie gewijzigd door Verwijderd op 22 juli 2024 18:05]

Blue-eagle @RobinJ1995 • 31 maart 2021 14:00

Toen ik werkte voor Booking hadden we meerdere A/B-test experimenten draaien die dat soort bedragen verloren per dag en toch live bleven staan om statistische waarschijnlijkheid aantoonbaar te maken. Dit soort bedragen waren–in de tijd dat hotels nog geboekt werden–peanuts voor Booking

NV2013 31 maart 2021 13:04

Ik begrijp het boetesysteem van de toezichthouders niet. Dus onze gegevens worden gelekt en een instantie kan daardoor cashen?Ik zou naar een systeem willen waarbij de gedupeerden worden gecompenseerd.

Auteur

TijsZonderH Nieuwscoördinator @NV2013 • 31 maart 2021 13:19

De AP krijgt dat geld niet, dat gaat naar de Nederlandse schatkist.

protoss warrior @TijsZonderH • 31 maart 2021 13:48

Ondanks dat het waarschijnlijk een verkeerde impuls zou geven aan de AP zelf zou ik liever zien dat het geld wel naar de AP zou gaan zodat die hun capaciteit zouden kunnen uitbreiden of makkelijker tegen bepaalde techgiganten zouden kunnen procederen.

Auteur

TijsZonderH Nieuwscoördinator @protoss warrior • 31 maart 2021 14:27

Ik heb het hier wel eens over gehad met Aleid Wolfsen. Hij is in dat geval bang voor een 'perverse prikkel' - dat de waakhond dus meer, of hogere, boetes uit gaat delen om meer geld te krijgen.

In Spanje is dit overigens wel het geval, maar ik weet niet hoe het zit met de hoogte van die boetes daar.

AWitteveen @NV2013 • 31 maart 2021 13:42

Dat kan nog steeds, iedereen die wil kan een civiele procedure aanspannen om door hem/haar geleden schade te verhalen. Je moet dan natuurlijk wel kunnen aantonen dat je schade hebt geleden.

dnrb @AWitteveen • 31 maart 2021 16:41

En daar zit juist het probleem. Ik heb zelf bitcoin afpersings mailtjes ontvangen door een datalek bij Alliance. 2 weken later werd bekend dat daar het datalek zat, waardoor ik deze mails kreeg.
de zin die duidelijk maakte dat deze mails door dat datalek kwamen:"Leuke auto heeft u".
maar ondertussen heb ik een dag lang wachtwoorden gewijzigd op allerlei websites en een nieuwe PC aangeschaft. Alliance beweerde doodleuk dat zij geen aanwijzingen hadden dat de data was ontsleuteld.
De AP is wat dat betreft een wassen neus, die alleen op de info van de datalekker afgaat.
Daarnaast zouden zij zich wel degelijk moeten bezig houden met de impact van zo'n datalek. Mijn BSN nummer en NAW gegevens liggen ook op straat... maar ik kan geen nieuw BSNnummer aanvragen. Moet ik dan verhuizen om schade te voorkomen?
Er zouden automatisch zoals dat in de USA heet class acts moeten worden georganiseerd door het AP waarbij de schade moet worden gevraagd voor potentiële schade aangezien en datalek vandaag mij geld kan gaan kosten over 30 jaar.
Zo'n civiele procedure waar u het over heeft win ik nooit met mijn financiële buffer i.v.m. die van alliance

Thijsmans @NV2013 • 31 maart 2021 13:44

Artikel 14, lid 6, van de Uitvoeringswet AVG:

De bestuurlijke boete komt toe aan de Staat.

Overigens is dit niet anders dan in het strafrecht: daar krijgt het slachtoffer ook niet de boete uitgekeerd (maar de Staat, via het CJIB). Maar, net als in het strafrecht, kun je los van opgelegde boetes eventuele schade verhalen op de dader in een civielrechtelijke procedure.

Badtothebone 31 maart 2021 12:45

Het alle ergste, waarom wordt de CVC code opgeslagen?

Viruskiller @Badtothebone • 31 maart 2021 13:13

Om één op één door te sturen naar het hotel waar je een reserving geplaatst hebt? Twee jaar geleden zo eens 800 euro van mijn VISA kaart verdwenen: boeking gedaan via booking.com en om persoonlijke redenen een no-show gedaan in het hotel. Het Mexicaanse hotel heeft toen (terecht) rechtstreeks het bedrag van mijn VISA gehaald, enkele uren later heeft er een ook een boeking bij Air Mexico plaatsgevonden.

Ik moet je er al niet bij vertellen hoeveel discussie dit gekost heeft met Airplus.

AceAceAce @Badtothebone • 31 maart 2021 14:35

Terechte vraag, Viruskillir heeft een degelijk antwoord.
https://partner.booking.c...guest-credit-card-details.

Zelf slaat Booking.com je creditcard gegevens op voor eigen gebruik, maar voor partners (zoals accomodaties) doen ze dat liever niet en gebruiken ze liever Virtual Credit Cards waarop de partners trekken. Het kan zijn dat die VAE properties dat, en de andere alternatieven, nog niet ondersteunen.

Interessant artikel hierover: https://partner.booking.c...aqs-and-all-you-need-know

[Reactie gewijzigd door AceAceAce op 22 juli 2024 18:05]

glatuin 31 maart 2021 12:52

Heftige boete en terrecht echter door corona gaat het niet zo goed met dit bedrijf dus ik ben benieuwd of ze hierdoor extra in de penarie komen. Overigens ben ik er niet rauwig om als ze zouden verdwijnen. Dit bedrijf is steevast duurder dan rechtstreeks boeken bij de accommodatie.

mfkne @glatuin • 31 maart 2021 13:03

59 miljoen dollar winst in 2020, dus dat kunnen ze wel betalen: https://www.nrc.nl/nieuws...akkelend-booking-a4033211

Coencordia 31 maart 2021 12:42

Krijgt de belastingdienst deze nu ook?

nieuws: Staatssecretaris: Belastingdienst voldoet pas in 2024 aan AVG

Bensimpel @Coencordia • 31 maart 2021 12:44

Nee want dat gaat om de overheid, overheid helpt overheid zegt maar. Dus dat mag blijbaar prima doorprutelen.. En dan die boete wordt dan door onszelf betaald he, dat heb je ook wel door denk ik..

Coencordia @Bensimpel • 31 maart 2021 12:45

Het is ook vragen naar de bekende weg.
Maar vrouwe justitia is dus niet bepaald blind, maar dat wisten we ook al.

AibohphobiA BoB

@Coencordia • 31 maart 2021 13:48

Kun je ook bewijs leveren van deze uitspraak?
Het is namelijk heel iets anders als het de overheid betreft (lees: wij allemaal) en de boete van de ene overheidsinstelling naar de andere gaat. Onvergelijkbaar dus met een zelfstandig bedrijf.
Overigens wil dat niet zeggen dat er niets aan moet gebeuren. Maar dat is een heel andere (politieke) discussie.

Als je kijkt naar de afwegingen die door justitie gemaakt worden dan komen de meeste mensen tot dezelfde conclusie/straffen (daar zijn wel eens onderzoeken naar gedaan). Als je alleen Facebook leest om je mening te laten bevestigen dan kun je inderdaad niet anders uitkomen op jouw retoriek.

Toet3r @Bensimpel • 31 maart 2021 13:00

En al zou de belastingdienst een AVG boete krijgen, omdat het allebei om overheidsdiensten gaat is het een geval van vestzak broekzak.

debroervanhenk @Toet3r • 31 maart 2021 13:19

Niet helemaal, elke overheidsdienst heeft een eigen budget waaruit ze alles moeten betalen. Bij tekorten moeten ze eerst zelf bezuinigen, want de Tweede Kamer en het kabinet zitten meestal niet te wachten op een kans om extra geld uit te geven. Dus de overheidsdienst in kwestie merkt het wel degelijk, alleen de landelijke overheid niet.

AlphaRomeo FP PowerMod @Coencordia • 31 maart 2021 12:59

Niet voldoen aan de AVG is niet hetzelfde als een datalek te laat melden. Je vergelijkt appels met peren.

Vizzie @AlphaRomeo • 31 maart 2021 13:10

Een datalek te laat melden is letterlijk niet voldoen aan de AVG want die schrijft voor dat je dat op tijd moet melden.

Edit: dit is trouwens ook de derde zin onder de kop van het artikel

[Reactie gewijzigd door Vizzie op 22 juli 2024 18:05]

AlphaRomeo FP PowerMod @Vizzie • 31 maart 2021 13:18

Je afval te vroeg buitenzetten is een overtreding van een wet, een moord plegen ook, toch worden ze niet op dezelfde manier gehandhaafd.

De belastingdienst heeft geen datalekken die het niet meldt op dit moment (voor zover wij weten), maar heeft de rest van de administratie niet op orde. Dit wordt op dit moment minder ernstig ingeschat (wat je daar ook van mag vinden). Je kunt twee totaal verschillende overtredingen niet zomaar klakkeloos vergelijken.

Vizzie @AlphaRomeo • 31 maart 2021 13:20

Helemaal mee eens, ik had de post waar je op reageerde niet goed gelezen. Excuses.

Ben trouwens wel benieuwd wat jij in deze context als de moord ziet en wat je ziet als het te vroeg buiten zetten van je afval. Ik vind zelf de situatie bij de belastingdienst een stuk zorgwekkender dan het iets later dan verplicht melden van een beperkt datalek door booking.

[Reactie gewijzigd door Vizzie op 22 juli 2024 18:05]

junkchaser @Coencordia • 31 maart 2021 12:44

inderdaad, dan moet het ineens niet meer ...

SuperDre @Coencordia • 31 maart 2021 13:01

Maarja, wat is daar het nut van? het is de belastingbetaler die daar toch weer voor moet opdraaien.

moonlander 31 maart 2021 12:48

En straks: DPG krijgt boete voor tonen cookiewall, tweakers(reaguurders) hadden al gewaarschuwd!

SuperDre 31 maart 2021 13:06

"Maar om schade voor je klanten en herhaling van zo'n datalek te voorkomen, moet je dit op tijd melden."

En hoe voorkom je herhaling/schade door het aan deze instantie 'op tijd' te melden? sturen zijn meteen een team om je probleem op te lossen? dacht het niet. Dat het uiteindelijk gemeld wordt is het belangrijkste, want sowieso zul je eerst zelf moeten uitzoeken WAT er precies is gebeurd voordat het uberhaupt zin heeft om te melden aan deze instantie. En zoals ik begrijp waren de gebruikers dus al gewaarschuwd.

Tjidde @SuperDre • 31 maart 2021 13:38

Schade heel simpel, van 97 mensen zijn de volledige creditcard gegevens gelekt.

Als jij niet weet dat die gegevens mogelijk gelekt zijn kan jij als creditcard houder niet de stappen ondernemen om te zorgen dat je creditcard niet gebruikt kan worden.

Iedere dag dat je wacht is er een mogelijkheid dat er misbruik gemaakt kan worden zonder dat de gebruiker hier tijdig iets aan kan doen. Stel je er is ineens 1000 van je creditcard af aan bitcoin. Hoe ga jij aan de bank uitleggen zonder dat er een datalek gemeld is dat jij het zelf niet geweest bent?

Je kunt bij AP een melding doen van een datalek deze vrij open invullen. Je gaat onderzoeken je krijgt een beter beeld wat er precies aan de hand is en je past de melding aan.

SuperDre @Tjidde • 31 maart 2021 13:49

Zoals je in het artikel kunt lezen hadden ze de slachtoffers al snel op de hoogte gebracht, en ook de creditcardmaatschappijen waren dus al gewaarschuwd.. En mijn opmerking ging dus over het melden aan deze instantie..

Tjidde @SuperDre • 31 maart 2021 14:11

Zover ik het begrijp is dat gebeurd op 4-2 terwijl de eerste tekenen van een mogelijk lek al rond 9-1 was.
Dat er op 13-1 Booking al met een extreem grote zekerheid kon aangeven dat er een lek was. Om pas op 31-1 te gaan onderzoeken.
Daar zitten dus ruim twee weken tussen, dat je niet precies weet van wat er gelekt is op de dag je met grote zekerheid kan zeggen dat er data gelekt is snap ik. Maar volgens mij had Booking uit voorzorg iedereen die bij de hotels die zich hadden gemeld een hotelkamer hadden geboekt. Een mail naar kunnen sturen van let op mogelijk datalek. Dit ook meteen doorsturen naar het AP liefst zelf eerst AP dan klanten.

Dit is niet gebeurd. Om te zorgen bedrijven dit wel doen, heeft het AP 72 uur als de regel. Anders een groot risico op een boete. Ik mag er vanuit gaan dat dit soort platformbedrijven deze regels gewoon weten.

Op dit item kan niet meer gereageerd worden.

Booking.com krijgt boete van 475.000 euro voor te laat melden datalek - update

Lees meer

Nederlandse AVG-boetes zijn hoog

IT-banen

Reacties (80)

Lees meer

Nederlandse AVG-boetes zijn hoog

IT-banen

Reacties (80)

Sorteer op:

Weergave: