De Amerikaanse hotelketen Marriott krijgt een boete van 18,4 miljoen pond (ruim 20 miljoen euro) voor een datalek uit 2014 van de Britse privacyautoriteit. De hotelketen heeft onvoldoende moeite gedaan om de gegevens van de gasten te beschermen, concludeert Information Commissioner’s Office (ICO).
Het gaat om klanten van de Starwood-hotelketen, die in 2016 door Marriott werd overgenomen. Onder het bedrijf vielen onder meer hotels van het W Hotels- en Sheraton-merk.
Naar schatting van Marriot zijn zeker 339 miljoen gasten slachtoffer geworden van de hack, maar mogelijk is het werkelijke aantal hoger. Toen de hack in november 2018 naar buiten kwam, werd in eerste schattingen gesproken van een half miljard slachtoffers. Mogelijk is ook een deel van de slachtoffers dubbel geteld.
Onder meer namen, e-mailadressen, telefoonnummers en paspoortnummers zijn door de hacker of hackers buitgemaakt. De gegevens zijn gevoelig en kunnen bijvoorbeeld misbruikt worden voor identiteitsfraude.
Het bedrag van 18,4 miljoen pond is een stuk lager dan de boete van 99,2 miljoen pond die ICO eigenlijk wilde opleggen.
ICO heeft het datalek onderzocht namens alle Europese privacytoezichthouders. Sinds mei 2018 geldt in de EU een overkoepelende privacyreglement, dat in Nederland de Algemene Verordening Gegevensbescherming (AVG) heet.