Binnen een korte tijdsspanne heeft de Britse privacy-toezichthouder, de ICO, voor de tweede keer het voornemen aangekondigd om een boete op te leggen. De eerste keer zag op een overtreding door British Airways en deze tweede keer op een overtreding door Marriot International.
Marriot International
Het voornemen van de ICO om Marriot een boete van €110 miljoen op te leggen, vloeit voort uit een datalek dat Marriot in november 2018 bij de ICO heeft gemeld. Door dit datalek kwamen gegevens van 339 miljoen hotelgasten, op straat te liggen. Ongeveer 30 miljoen van de geopenbaarde persoonsgegevens had betrekking op ingezetenen van de Europese Economische Ruimte (EER). De ICO is onder de ‘one stop shop’ bepalingen van de Avg benoemd tot leidinggevende toezichthouder.
Het incident
Het feitelijke incident, een inbreuk op gebruikte informatiesystemen, dat uiteindelijk heeft gezorgd voor de onterechte openbaring van persoonsgegevens vond plaats in 2014 bij de Starwood hotels group. Deze keten is in 2016 door Marriot overgenomen, waarna het incident in 2018 aan het licht kwam.
Ondanks dat het incident voor de overname door Marriot had plaatsgevonden, acht de ICO Marriot wel aansprakelijk voor de gevolgen van het incident. Uit het door de ICO ingestelde onderzoek is namelijk naar voren gekomen dat Marriot bij de overname van Starwood niet heeft voldaan aan haar due diligence verplichting en zich onvoldoende heeft ingespannen om haar informatiesystemen adequaat te beveiligen.
Accountability en due diligence
Op grond van de Avg worden organisaties verantwoordelijk gehouden voor de persoonsgegevens die zij onder zich hebben. Volgens de ICO kan deze verantwoordelijkheid zich uitstrekken tot het verrichten van adequate due diligence bij bedrijfsovernames en het instellen van maatregelen om te inventariseren welke persoonsgegevens worden overgenomen en hoe deze persoonsgegevens zijn beveiligd. Persoonsgegevens zijn immers op geld waardeerbaar, zodat organisaties een wettelijke verplichting hebben (zoals bij andere activa) om de veiligheid van deze gegevens te waarborgen.
Deze laatste overweging maakt onomstotelijk duidelijk dat het van groot belang is voor organisaties om overzicht en inzicht in hun verwerkingen te hebben en om hun privacy-huishouding op orde te hebben, alsook dat in geval van voorgenomen fusies en overnames er niet alleen (financiële) boekenonderzoeken plaatsvinden, maar ook privacy due diligences. Als Marriot zo’n onderzoek serieus had uitgevoerd, had ze nu niet hoeven te vrezen voor een boete van €110,- miljoen.
Wilt u meer weten hoe zo’n privacy due diligence er uit kan zien? Neem contact op met de advocaten van First Lawyers via +31 (0) 70 306 00 33 en info@firstlawyers.nl.