2 min read

Privacy bij bedrijfsovername: lees het Boetebesluit van Britse privacy toezichthouder inzake Marriott International

3 November 2020

Op 30 oktober 2020 heeft ICO, de Britse privacy toezichthouder, aangekondigd aan Marriott International Inc. een boete op te zullen leggen van 18,4 miljoen pond voor een datalek dat wereldwijd 339 miljoen gegevens van hotelgasten trof. Het datalek ontstond in 2014 als gevolg van een cyberaanval op Starwood Hotels and Resorts Worldwide Inc., dat Marriott in 2016 overnam. Het datalek bleef tot eind 2018 onopgemerkt.

ICO rekent het Marriott zwaar aan dat het geen due diligence onderzoek heeft gedaan naar de systemen en beveiligingsmaatregelen van Starwood toen het Starwood Hotels and Resorts Worldwide Inc. in 2016 verwierf. ICO benadrukt dat een bedrijfsovername een trigger is voor het uitvoeren van een due diligence onderzoek op privacyaspecten. Ook is het een voortdurende verplichting om ervoor te zorgen dat de systemen die gebruikt worden om persoonsgegevens te verwerken veilig zijn. Het boetebesluit onderstreept eens te meer het belang van het uitvoeren van een zorgvuldige due diligence op het gebied van privacy en het periodiek evalueren van systemen en beveiligingsmaatregelen. Lees ook onze eerdere bijdrage hierover: zie hier.

De uiteindelijke boete is wel aanzienlijk lager dan het aangekondigde voornemen van ICO in juli 2019 om het Marriott een boete van 99 miljoen pond op te leggen als gevolg van dit datalek. Bij het vaststellen van de definitieve boete heeft ICO rekening gehouden met de stappen die het Marriott heeft ondernomen om de gevolgen van het incident te beperken en de economische impact van COVID-19 op de hotelsector. Een soortgelijke korting heeft ICO onlangs ook toegepast in haar boetebesluit naar aanleiding van een datalek bij British Airways. In juli 2019 kondigde de Britse toezichthouder aan van plan te zijn British Airways een boete op te leggen van 183,39 miljoen pond voor een datalek in 2018 dat omstreeks 400.000 klanten trof, maar eerder deze maand stelde ICO de definitieve boete vast op slechts 20 miljoen pond.

In beide gevallen lijkt met name de economische impact van COVID-19 op deze sectoren een rol te hebben gespeeld bij de vaststelling van de definitieve boetes.