Den Haag | Eindhoven | Zwolle
+31 (0) 70 392 22 09
info@duthler.nl

Britse toezichthouder treedt wederom krachtig in verband met groot datalek

De Britse toezichthouder ICO heeft het voornemen om Marriott International een boete op van ruim £99 mln, omgerekend €110 mln, op te gaan leggen. De hotelgroep spande zich volgens de toezichthouder onvoldoende in om klantgegevens te beschermen. Daardoor konden hackers ervandoor gaan met de gegevens van zo’n 339 miljoen gasten, onder wie 30 miljoen Europeanen.

Het ging om onder meer 5 miljoen paspoortnummers en gegevens van creditcards, zoals de vervaldatum van de pasjes. De paspoortnummers waren niet versleuteld.

De gegevens belandden op straat na een hack die vermoedelijk vanaf 2014 plaatsvond bij Starwood Hotels & Resorts. Marriott nam dit bedrijf in 2016 over, maar ontdekte het lek pas in 2018. Marriott had, gelet op de Avg, na de overname meer moeten doen om klantgegevens te beschermen, zo stelt de Britse toezichthouder. De Avg maakt duidelijk dat organisaties verantwoordelijk moeten zijn voor de persoonlijke gegevens die zij bijhouden. Dit kan onder meer inhouden dat gepaste due diligence wordt uitgevoerd bij het doen van een bedrijfsovername, en het instellen van adequate verantwoordingsmaatregelen om niet alleen te beoordelen welke persoonlijke gegevens zijn verkregen, maar ook hoe deze worden beschermd, zo staat in het besluit van de ICO te lezen.

“Persoonsgegevens hebben een reële waarde, dus organisaties hebben de wettelijke plicht om de beveiliging ervan te garanderen, net zoals met andere activa. Als dat niet gebeurt, zullen we niet aarzelen om krachtige maatregelen te nemen wanneer dat nodig is om de rechten van het publiek te beschermen.’’

De ICO heeft deze zaak onderzocht als hoofdtoezichthouder namens andere Europese toezichthouders.  In het kader van het “éénloketsysteem” van de Avg zullen de gegevensbeschermingsautoriteiten in de EU-landen waarvan de bewoners zijn getroffen, ook de gelegenheid krijgen om commentaar te leveren op de bevindingen van de ICO.

Bron: besluit ICO 9 juli 2019