Wat je niet moet doen bij een datalek

Verkeerd antwoord, verkeerde houding en een boete

“Oh dat datalek kennen we”. Als je dat zo leest denk je eerder aan een grap dan aan een serieus antwoord. Toch is dat wat iemand te horen kreeg toen hij navraag deed bij het hotel waar hij eerder online een reservering had gedaan.

AVG-GDPRHet hotel bevindt zich in Spanje en de reservering was ook gedaan door iemand uit dat land. Die keek vreemd op toen hij kort na de reserveringsbevestiging via Whatsapp benaderd door iemand die zei van het hotel te zijn. De “hotelmedewerker” sprak de persoon met voornaam en achternaam aan en wist de details van de reservering. De reden van het contact was dat er iets niet goed was gegaan met de creditcard, of de klant het bedrag op een andere manier kon overmaken.

Op dat moment rook de aanstaande hotelgast onraad. Hij verbrak de verbinding en nam zelf rechtstreeks contact op het met hotel. De reactie op zijn navraag was “Oh dat datalek kennen we”. Wat daarop precies zijn reactie naar het hotel toe in het Spaans is geweest weten we niet, maar het laat zich raden.

Wat we wel weten is dat deze persoon een klacht heeft ingediend bij de Spaanse toezichthouder en die heeft er ook direct werk van gemaakt. Het hotel is bezocht, onderzocht, tegen het licht gehouden en “beloond” met een boete van 7.000 Euro.

Drie boetes

De boete bestaat uit drie delen. Een voor het ontbreken van een risicoanalyse. Omdat die er niet was is geen aandacht besteed aan (een deel van de) cybersecurity en dat rechtvaardigt de tweede boete. Niet adequaat reageren op meldingen was de derde boete. Die derde boete had nog hoger kunnen uitvallen. Het hotel had nooit klanten gewaarschuwd, terwijl het datalek langer bekend was en ook nog nooit de toezichthouder op de hoogte gebracht.

“Bookingfraude”

Dat uiteindelijk een deel van de boete is kwijtgescholden doet vermoeden dat niet een hele keten aansprakelijk is gesteld, maar dat het hotel in kwestie een soort franchise is. Voor oplettende lezers: er lijkt in deze zaak een link te zijn met de “Bookingfraude“, omdat ook nu de boeking via die website is gelopen

(bron – Spaans boetebesluit)

Mobiele versie afsluiten