Blog

(Leestijd: 2 - 3 minuten)

Boete Mariott international

Mariott International krijgt flinke boete

Het Britse Information Commissioner's Office (ICO) wil Marriott International Inc £ 99.200.396 ($ 123.705.869 / € 110.385.736) beboeten wegens inbreuk op de Algemene Verordening Gegevensbescherming (AVG).

Wat is ICO

De ICO is de onafhankelijke regelgevende instantie van het Verenigd Koninkrijk voor informatierechten en gegevensbeschermingswetgeving, ter bescherming van informatierechten in het openbaar belang, alsook voor het aanmoedigen van gegevens privacy voor individuen en openbaarheid door openbare instanties.

Risico bij overname: je krijgt ook cyberincidenten en privacyschendingen erbij!

De boete is gerelateerd aan de inbreuk op de gegevens van de database met gastreserveringen van de Starwood-hotelgroep vanaf 2014, voorafgaand aan de acquisitie van het bedrijf door Marriott. Het cyberincident werd echter pas in 2018, twee jaar na de overname van Starwood, ontdekt.

Onvoldoende technische maatregelen en te weinig zorgvuldigheid (due diligence) tijdens aankoopproces

"Uit het onderzoek van de ICO bleek dat Marriott niet voldoende gepaste zorgvuldigheid betracht bij het kopen van Starwood en ook meer had moeten doen om zijn systemen te beveiligen", aldus de verklaring van ICO.

Over welke data gaat het hier?

Het gaat om gevarieerde persoonsgegevens die ongeveer 339 miljoen dossiers van gasten wereldwijd waarvan zo’n 30 miljoen dossiers gerelateerd waren aan 31 landen binnen het Europees Economisch gebied (EEA).

Ontbreken van aantoonbare accountability en due diligence

"De AVG maakt duidelijk dat organisaties verantwoordelijk moeten zijn voor de persoonlijke gegevens die ze bezitten," zei Information Commissioner Elizabeth Denham. "Dit kan het uitvoeren van gepaste zorgvuldigheid (due diligence) bij het maken van een bedrijfsacquisitie omvatten en het instellen van adequate verantwoordingsmaatregelen om niet alleen te beoordelen welke persoonlijke gegevens zijn verkregen, maar ook hoe deze worden beschermd."

Ondanks samenwerking met ICO, toch een boete

Arne Sorenson, de President en CEO van Marriott International, sprak de teleurstelling van het bedrijf uit door in een aanvraag bij de Amerikaanse Securities and Exchange Commission (SEC) te vermelden dat Marriott tijdens het onderzoek met de ICO samenwerkte:
Wij zijn teleurgesteld over deze intentieverklaring van de ICO, die we zullen betwisten. Marriott heeft met het ICO samengewerkt tijdens diens onderzoek naar het incident, waarbij een criminele aanval op de Starwood-reserveringsdatabase plaatsvond.
In de SEC-aanvraag van Marriott staat ook dat de Starwood-database voor gastreserveringen die tijdens de breuk van november 2018 was aangetast, niet langer in gebruik is als onderdeel van de dagelijkse bedrijfsvoering van het bedrijf.

Protest aantekenen tegen bevindingen en sancties

Marriot krijgt de gelegenheid om bij het ICO protest aan te tekenen met betrekking tot de bevindingen en sancties die uit het onderzoek naar voren zijn gekomen voordat het definitieve besluit door de leidende toezichthoudende autoriteit namens alle andere gegevensbeschermingsautoriteiten in de hele EU is genomen.

 

Bron: BleepingComputer

Image source