Verdens største hotelkoncern, Marriott International, står til en bøde på 831 millioner kroner for brud på regler om databeskyttelse efter Marriott gennem fire år blev udsat for et stort datatyveri.
Bøden til Marriott gives på baggrund af EU’s persondataforordning, GDPR, General Data Protection Regulation – EU’s forordning om persondatahåndtering og databeskyttelse, der trådte i kraft sidste forår.
Bøden udstedes af det britiske datatilsyn, Information Commissioner’s Office (ICO), og svarer til 2,4 procent af Marriott Internationals omsætning i 2017.
EU’s persondataforordning gør det muligt for myndighederne at udstede bøder ud på op til fire procent af en virksomheds globale årsomsætning eller op til 20 millioner euro, hvis virksomheden bryder reglerne om databeskyttelse.
Marriott opdagede først det omfattende hackerangreb i november sidste år og sagde at det begyndte i 2014; hackerangrebet afdækkede oplysninger om blandt andet kreditkort fra 339 millioner af koncernens hotelgæster.
Selve hackerangrebet var rettet mod en database for Starwood Hotels & Resorts med blandt andet Sheraton, som Marriott først overtog kontrollen med i 2016. Alligevel bebrejder ICO angiveligt Marriott for ikke at have haft god nok datasikkerhed omkring Starwood-databasen i forbindelse med forhandlingerne om Marriotts overtagelse af Starwood.
”Reglerne omkring GDPR gør det klart, at virksomheder og organisationer kan stilles til ansvar for de data, de er i besiddelse af og hvis disse data ikke er forsvarligt beskyttet,” oplyser ICO i en udtalelse
ICO anerkender, at Marriott har samarbejdet med myndighedernes undersøgelse af hackerangrebet samt at Marriott-koncernen efterfølgende har forbedret sin datasikkerhed.
Marriott er utilfreds
Ifølge reglerne kan den anklagede, i dette tilfælde Marriott, anke dommen og bødestørrelsen. Og det vil Marriott, siger dets koncernchef, Arne Sorenson:
”Vi beklager naturligvis det skete; vi har meget høj fokus på datasikkerhed og arbejder hårdt for at have den højeste sikkerhed på området, noget vores gæster med rette kan forvente fra os.”
Arne Sorenson sagde i foråret under en forklaring til en underkomite i USA’s senat, at Marriott – trods samarbejde med blandt andet det amerikanske forbundspoliti FBI – endnu ikke ved, hvem der stod bag cyber-angrebet.
Marriotts koncernchef oplyste, at hotelgiganten har givet FBI oplysninger om blandt andet de IP-addresser og de såkaldte malware-værktøjer, der blev brugt i angrebet på Starwood så efterforskerne havde større mulighed for at finde årsagen og bagmændene bag angrebet.
Blandt Marriotts tiltag for at undgå nye angreb har været fokus på øget kryptering og spredning af data om hotelkoncernens gæster, herunder pasnumre. I Starwood-systemet var disse samlet et centralt sted.
Relaterede artikler:
Marriott kender ikke årsag til cyber-angreb