Bij de Starwood Hotels Group hebben hackers vanaf 2014 toegang gehad tot klantdata. Het gaat daarbij om alle mogelijke gegevens van 500 miljoen klanten. ICO heeft vastgesteld dat van 339 miljoen klanten de data daadwerkelijk is ontvreemd. 30 miljoen daarvan waren EU ingezetenen. In die groep zaten ook de data van 7 miljoen Britten.
Een
Omdat er data van EU burgers zijn gelekt is ICO bevoegd een boete op te leggen. Die bevoegdheid is in de AVG / GDPR vastgelegd en zorgt op dit moment in de Amerikaanse pers voor nog meer ophef (vergeet daarbij niet dat ICO enkele dagen geleden British Airways een boete van £183,39 miljoen heeft opgelegd). Voor iedereen is nu duidelijk dat toezichthouders als ze reden genoeg zien hard in te grijpen dat ook doen. Dat is het eerste dat ondernemers waar ook ter wereld nu moeten weten.
Twee
Het tweede punt is de scope van de AVG. Het is altijd duidelijk geweest dat het gaat om data van EU ingezetenen. Sommige Amerikaanse bedrijven worstelen daarmee. Zij zien de AVG als een belemmering op hun handelen buiten de EU. Met deze boete laat ICO zien dat de plek waar de datalekken zijn ontstaan niet relevant zijn, het gaat echt om de nationaliteit van de personen waarvan de data is gelekt of misbruikt.
Drie
Het derde punt raakt niet alleen Amerikanen, maar letterlijk elke ondernemer. ICO heeft bij het bepalen van de boete het volgende laten meewegen. De Starwood Hotels Group is vanaf 2014 gehackt. Marriott heeft de keten in 2016 overgenomen. Pas in 2018 is men er achter gekomen dat de data op straat lag. Marriott wordt door ICO verweten (a) geen gedegen onderzoek vooraf aan de koop te hebben gedaan en (b) te weinig te hebben gedaan om de systemen van de nieuwe aanwinst te beveiligen.
The ICO’s investigation found that Marriott failed to undertake sufficient due diligence when it bought Starwood and should also have done more to secure its systems.
Je hoeft geen hotelketen met miljoenen klanten te zijn om te begrijpen wat hier wordt gezegd. Letterlijk iedereen die een bedrijf overneemt moet meer doen dan alleen een boekonderzoek. De kopende partij moet kunnen aantonen onderzoek te hebben gedaan naar de wijze waarop data van de over te nemen partij is beveiligd. Doet de kopende partij dat niet, dan heeft hij bij een datalek dat voor de overname is ontstaan een probleem met de toezichthouder.
En vier
Hoewel ICO hier uiteraard geen melding van maakt is er nog een vierde punt dat men moet onthouden. Omdat Marriott heeft nagelaten vooraf te onderzoeken is de kans gering dat de boete door een cyberverzekering (of welke verzekering dan ook) wordt vergoed.
Reacties zijn gesloten.