Hotelketen Marriott riskeert boete van 110 miljoen euro wegens datalek

Het Britse Information Commissioner’s Office (ICO) heeft aangekondigd dat het de hotelketen Marriott International een boete wil geven van 99,2 miljoen pond (ongeveer 110 miljoen euro), vanwege een datalek in november vorig jaar.

De hack was geen eenmalig incident, maar liep al sinds 2014, schrijft Silicon Angle. Het begon bij de Starwood hotels-groep, twee jaar voor deze keten door Marriott werd overgenomen.

In een periode van vier jaar werden klantgegevens van ongeveer 339 miljoen individuele klanten gestolen. Het ging onder meer om namen, e-mailadressen, huisadressen, paspoortnummers en telefoonnummers.

De diefstal werd pas aan het eind van 2018 ontdekt, ongeveer twee jaar nadat Marriott Starwood had overgenomen. De ICO stelt nu dat Marriott te weinig onderzoek heeft gedaan toen het Starwood kocht, en dat het meer had moeten doen om zijn systemen te beveiligen.

GDPR

Het overgrote deel van het datalek vond plaats voordat de Europese privacywetgeving GDPR van kracht werd. De hack werd echter pas na de invoering daarvan ontdekt, wat betekent dat die regels gehanteerd worden.

“De GDPR maakt het duidelijk dat organisaties aansprakelijk zijn voor de persoonlijke data die zij verzamelen”, aldus Information Commissioner Elizabeth Denham. “Dat omvat ook het doen van goed onderzoek bij een zakelijke acquisitie, en het inzetten van maatregelen om vast te stellen welke data er verzameld is en hoe deze beschermd zijn.”

Marriott heeft al laten weten in beroep te gaan tegen de boete. CEO en president Arne Sorenson stelt teleurgesteld te zijn met de aangekondigde intenties van de ICO.

Dader

Het is niet bekend wie er achter de hack op Marriott zit. In december werd in een rapport echter wel gesuggereerd dat dit mogelijk China is. Het lijkt er op dat de aanval ontworpen was om informatie te verzamelen voor spionage door China, en niet voor financiële winst.