Het was een heel basale phishing poging. Een link in een e-mail, die naar een inlogpagina leidde. In het geval van het beveiligingsincident bij de Van der Valk hotels ging het echter om een fout van een medewerker, waardoor cybercriminelen toegang kregen tot klantgegevens bij twee locaties. De gevolgen waren groot, en nog groter om dat Van der Valk ervoor koos om getroffen klanten niet in te lichten over het lek.
De criminelen kregen met de gestolen inloggegevens toegang tot de gegevens van honderden klanten. Ze konden zowel de contactgegevens van de klanten zien, als aankomende reserveringen. Dit stelde ze in staat om contact op te nemen met klanten via nepberichten waarin gevraagd werd om reserveringen en creditcardnummers te bevestigen. Omdat de berichten informatie bevatten uit het Van der Valk systeem en verwees naar reserveringen die al gemaakt waren, kwamen deze berichten als betrouwbaar over. Enkele Van der Valk klanten konden op deze manier opgelicht worden.
Van der Valk stelt dat de klanten die door dit datalek opgelicht werden hun gemaakte kosten vergoed zullen krijgen. Wat echter ook opvalt: de hotelketen stelt dat klanten niet gewaarschuwd werden over het lekken van hun gegevens, omdat ze klanten niet onnodig wilden verontrusten. De klanten die door de cybercriminelen benaderd werden, wisten dus niet dat hun gegevens mogelijk op deze manier misbruikt zouden kunnen worden.
Juist daarom wordt in de Algemene verordening gegevensbescherming (AVG) een meldingsplicht aangehouden. Artikel 33 van de AVG stelt dat als binnen een organisatie een datalek wordt ontdekt er binnen 72 uur een melding moet worden gemaakt bij de Autoriteit Persoonsgegevens (AP). Artikel 34 stelt dat ook personen van wie de gegevens buit zijn gemaakt op de hoogte moeten worden gesteld, wanneer er sprake is van een hoog risico op misbruik van deze gegevens.
Van der Valk heeft er bewust voor gekozen om klanten niet op de hoogte te stellen. De tijd moet uitwijzen of ze bij dit datalek wel of geen meldingsplicht jegens hun klanten hadden. Er staat nu dus wel onomstotelijk vast dat klanten van wie de gegevens gelekt zijn ook schade hebben opgelopen. Daarnaast heeft de keuze om niet te melden ook gevolgen voor Van der Valk. Door hun klanten niet te waarschuwen, riskeert Van der Valk een boete die kan oplopen tot €20 miljoen, of 4% van de jaaromzet. En daar komt mogelijke schade aan de reputatie, niet alleen door het lek maar ook door de keuze om slachtoffers niet te waarschuwen, nog bij.
De AP heeft een eigen pagina voor het melden van datalekken, of het tippen van een datalek dat elders is geconstateerd. Ook het DTC heeft een eigen voorlichtingspagina over de AVG.