In het boetebesluit van 31 maart 2021, waarin de Autoriteit Persoonsgegevens (AP) een boete oplegt van € 475.000,- aan reisplatform Booking.com, is ten aanzien van het tijdig melden van datalekken overwogen dat wanneer een verwerkingsverantwoordelijke precies kan worden geacht kennis te hebben gekregen van een bepaalde inbreuk, afhangt van de omstandigheden van de specifieke inbreuk. Volgens de WP29 moet een verwerkingsverantwoordelijke worden geacht kennis te hebben gekregen van een inbreuk in verband met persoonsgegevens wanneer hij een redelijke mate van zekerheid heeft dat zich een veiligheidsincident heeft voorgedaan dat tot de compromittering van persoonsgegevens heeft geleid. Dit uitgangspunt is door de AP in deze zaak nader uitgewerkt.

In dit geval kreeg Booking.com op 9 januari 2019 een eerste signaal van een hotel in de Verenigde Arabische Emiraten. Het betrof hier onder andere adresgegevens, e-mailadressen en creditcard gegevens, inclusief beveiligingscodes. Op 13 januari 2019 volgde een tweede signaal, beiden met expliciete verdenkingen van datalekken. Hierop had Booking.com sneller moeten handelen door de meldingen door te zetten naar het Security team, want dat gebeurde pas op 31 januari 2019, aldus de AP.

Dat Booking.com op 4 februari 2019 melding van het datalek had gemaakt, maakt dit niet anders. Belangrijker is dat nu duidelijk is dat de 72 uurs-termijn voor melding aan de AP niet begint te lopen nadat een intern onderzoek is afgerond, maar al begint op het moment dat de verwerkingsverantwoordelijke geacht wordt een redelijke mate van zekerheid te hebben dat zich een veiligheidsincident heeft voorgedaan dat tot de compromittering van persoonsgegevens heeft geleid. Dat kan dus al zijn nadat een melding van een derde wordt ontvangen dat er naar diens mening sprake is van een datalek.

Tip: Het is dus beter tijdig een voorlopige melding te doen van een datalek, waarbij later de bevindingen van het interne onderzoek worden toegevoegd aan de melding, dan eerst het hele onderzoek af te wachten wanneer dit onderzoek langer duurt dan 72 uur.

Aangaande de inbreuk op de rechten en vrijheden van de betrokkenen had Booking.com aangevoerd dat hier geen sprake meer van was, omdat onder andere de betrokkenen waren ingelicht door Booking.com en dat zij hadden aangegeven eventuele schade van de betrokkenen te zullen compenseren. De AP oordeelde dat zodra persoonsgegevens, zoals in dit geval, bij een daartoe onbevoegde persoon belanden en zijn ingezien, er reeds sprake is van een risico voor de rechten en vrijheden van natuurlijke personen. Dit risico heeft zich in het onderhavige geval tevens geopenbaard nu betrokkenen benaderd waren door een onbekende derde die onrechtmatig over de persoonsgegevens van betrokkenen beschikte. Dat Booking.com nadien heeft toegezegd eventuele financiële schade te compenseren, doet niets af aan het feit dat de persoonsgegevens in verkeerde handen zijn beland. Het risico op eventuele gevolgen van de inbreuk is daarmee niet weggenomen. Overigens was deze omstandigheid wel relevant voor de hoogte van de boete, die daarmee €50.000,- lager werd.

