De Autoriteit Persoonsgegevens (AP) heeft Booking.com een boete van 475.000 euro opgelegd, omdat het bedrijf een datalek te laat heeft gemeld. Criminelen hebben persoonsgegevens van meer dan vierduizend klanten en creditcardgegevens van driehonderd klanten buitgemaakt.

De criminelen ontfutselden medewerkers van veertig hotels in de Verenigde Arabische Emiraten per telefoon inloggegevens voor hun accounts in een systeem van Booking.com.

Zo kregen ze in december 2018 toegang tot de gegevens van 4.109 personen die via de website een hotelkamer in dat land hadden geboekt. Het ging om onder meer namen, adressen, telefoonnummers en details over de boekingen.

Daarnaast konden ze de creditcardgegevens van 283 mensen inzien. In 97 gevallen was dat inclusief de beveiligingscode van de creditcard.

Ook probeerden ze de creditcardgegevens van andere slachtoffers te bemachtigen door zich per mail of telefoon voor te doen als een medewerker van Booking.com.

Datalek is 22 dagen te laat gemeld bij AP

Booking.com werd op 13 januari 2019 op de hoogte gebracht van het datalek, maar meldde het pas op 7 februari bij de AP. Dat was 22 dagen te laat, want een datalek moet binnen 72 uur gemeld worden.

Het bedrijf heeft de gedupeerde klanten op 4 februari op de hoogte gebracht van het lek. Daarnaast nam het bedrijf volgens de AP andere maatregelen om de schade te beperken, zoals het aanbod om eventuele schade te vergoeden.

"Booking.com-klanten liepen hier het risico flink bestolen te worden. Ook als de criminelen geen creditcardgegevens buitmaakten, maar alleen iemands naam, contactgegevens en informatie over zijn of haar hotelboeking. Die gegevens gebruikten de oplichters namelijk voor phishing", zegt AP-vicevoorzitter Monique Verdier.

Booking.com erkent het lek te laat te hebben gemeld. "Helaas werd de kwestie niet zo snel intern geëscaleerd als we hadden gewild. We hebben sindsdien extra stappen ondernomen om onze partners en medewerkers beter bewust te maken en voor te lichten over belangrijke privacymaatregelen en algemene beveiligingsprocessen", meldt het bedrijf in een reactie.