Britse miljoenenboete voor hotelketen Marriott wegens datalek

Hotelketen Marriott krijgt een boete van 18,4 miljoen pond opgelegd, omgerekend zo'n 20,5 miljoen euro, wegens een omvangrijk datalek. Bij het datalek zijn gegevens van 339 miljoen accounts van klanten gestolen, waaronder onversleutelde paspoortgegevens.

De boete wordt opgelegd door de Britse Information Commissioner's Office (ICO). De toezichthouder concludeert dat Marriott onvoldoende technische en organisatorische maatregelen had genomen om data van klanten adequaat te beschermen.

GDPR

Dit is volgens de Europese General Data Protection Regulation (GDPR) echter wel verplicht. Aangezien het Verenigd Koninkrijk ten tijde van het datalek - dat in 2014 plaatsvond en pas in 2018 naar buiten kwam - onderdeel was van de Europese Unie (EU) is deze Europese privacywetgeving van toepassing op het datalek.

De toezichthouder stelt onder meer dat Marriott het reserveringssysteem sneller beter had moeten beveiligen. Het bedrijf nam in 2016 Starwood over, dat eigendom is van het aangevallen reserveringssysteem. In 2018 kwam het datalek naar buiten. Marriott meldde toen begin 2018 het reserveringssysteem al te hebben willen vervangen, aangezien deze onveiligheden zou bevatten. De ICO oordeelt echter dat deze stap pas anderhalf jaar na de overname van Starwood komt, wat de toezichthouder te laat vind.