“Oh dat datalek kennen we”. Als je dat zo leest denk je eerder aan een grap dan aan een serieus antwoord. Toch is dat wat iemand te horen kreeg toen hij navraag deed bij het hotel waar hij eerder online een reservering had gedaan.
Op dat moment rook de aanstaande hotelgast onraad. Hij verbrak de verbinding en nam zelf rechtstreeks contact op het met hotel. De reactie op zijn navraag was “Oh dat datalek kennen we”. Wat daarop precies zijn reactie naar het hotel toe in het Spaans is geweest weten we niet, maar het laat zich raden.
Wat we wel weten is dat deze persoon een klacht heeft ingediend bij de Spaanse toezichthouder en die heeft er ook direct werk van gemaakt. Het hotel is bezocht, onderzocht, tegen het licht gehouden en “beloond” met een boete van 7.000 Euro.
Drie boetes
De boete bestaat uit drie delen. Een voor het ontbreken van een risicoanalyse. Omdat die er niet was is geen aandacht besteed aan (een deel van de) cybersecurity en dat rechtvaardigt de tweede boete. Niet adequaat reageren op meldingen was de derde boete. Die derde boete had nog hoger kunnen uitvallen. Het hotel had nooit klanten gewaarschuwd, terwijl het datalek langer bekend was en ook nog nooit de toezichthouder op de hoogte gebracht.
“Bookingfraude”
Dat uiteindelijk een deel van de boete is kwijtgescholden doet vermoeden dat niet een hele keten aansprakelijk is gesteld, maar dat het hotel in kwestie een soort franchise is. Voor oplettende lezers: er lijkt in deze zaak een link te zijn met de “Bookingfraude“, omdat ook nu de boeking via die website is gelopen
(bron – Spaans boetebesluit)