Hospitality is een van de meest kwetsbare sectoren als het gaat om potentiële datalekken en cybercriminaliteit. Volgens het Verizon datalek-rapport is het hotelwezen een van de zwaarst getroffen sectoren als het gaat om cyberaanvallen, want cybercriminelen vinden de gevoelige gegevens die hotels verwerken zeer aanlokkelijk.
Als een hotel gegevens onvoldoende beschermt, hebben cybercriminelen gemakkelijk toegang tot namen, adressen, mobiele nummers, kaartgegevens, paspoorten, rijbewijzen, kentekenplaten, hotelkamernummers en de geplande duur van bezoeken van gasten. En worden e-mailadres en wachtwoord gevraagd om toegang te krijgen tot de wifi van het hotel, dan liggen die gegevens dus ook op straat. Door toegang te krijgen tot persoonlijke informatie van hotelgasten kan een cybercrimineel alles verzamelen wat hij nodig heeft om iemands identiteit te klonen, inclusief toegang tot financiële gegevens en zelfs fysiek toegang tot zijn huis. Aangezien bedrijfs- en gastgegevens voortdurend gevaar lopen, is goede gegevensbescherming een vereiste.
GDPR
Of het nu gaat om het uitvallen van de harde schijf, een natuurramp of kwaadaardige cyberaanvallen… gegevensbescherming moet serieus genomen worden. De hospitality sector is echter niet de enige sector die hiermee te kampen heeft, en mede hierom is de algemene gegevensbeschermingsverordening (GDPR) van de EU ontwikkeld. Deze wet moet ervoor zorgen dat gegevensbescherming wordt geïntegreerd in het proces van het verzamelen en onderhouden van persoonsgegevens. Wordt de wet niet nageleefd dan kan dit resulteren in boetes voor data-inbreuken vanaf tien miljoen euro en zelfs oplopen tot twintig miljoen euro of 4 procent van de jaaromzet van een bedrijf. Zo’n boete zou het einde kunnen betekenen voor een klein tot middelgroot hotel.
Veel hotels zijn door de drukke zomerperiode nog niet toegekomen aan het voldoen aan deze nieuwe regelgeving. Niet gevreesd, het is nog niet te laat. Een veiligheidsaudit kan uitkomst bieden. Bovendien helpt de volgende checklist hoteleigenaren om naleving van de GDPR-wet te waarborgen:
1. Verander regelmatig wachtwoorden voor admin logins – Dit zou een standaardprotocol moeten zijn, maar wordt vaak genegeerd door hoteleigenaren en is een basisfout in de gegevensbeveiliging die cybercriminelen gemakkelijk toegang zou kunnen geven tot hotelsystemen en databases.
2. Houd de gasten-wifi gescheiden van het bedrijfswifi-netwerk van het hotel – Het gescheiden houden van de twee betekent dat er verschillende beveiligingsbeleidsregels kunnen worden toegepast en dat er minder kans is dat een hacker vermomd als gast toegang kan krijgen tot gevoelige informatie.
3. Pas verschillende niveaus van toegangscontrolebeleid en scheiding van verkeer over het netwerk toe – Dit helpt om gegevens gescheiden en zo veilig mogelijk te houden.
4. Neem artikel 32 van de GDPR in acht – Dit artikel heeft specifiek betrekking op de eis dat bedrijven een robuuste gegevensbeveiliging moeten bieden om een veilige toegang tot en een veilige verwerking van gegevens mogelijk te maken. Bedrijven in alle sectoren moeten beschikken over een proces voor het regelmatig testen, beoordelen en evalueren van de doeltreffendheid van technische en organisatorische maatregelen om de gegevensbeveiliging op het hoogste niveau te waarborgen. Om hieraan te voldoen moet een hoge standaard van netwerkbeveiliging worden geïmplementeerd.
5. Vraag gasten uitdrukkelijk om toestemming voor verwerking van persoonsgegevens – Voor het verzamelen van persoonsgegevens moeten gasten een duidelijke opt-in-optie krijgen.
6. Maak duidelijk waarom je gegevens van gasten verzameld – In verband met punt vijf moet de reden duidelijk worden gespecificeerd en aan de gasten worden meegedeeld. Gasten moeten weten hoe hun gegevens zullen worden gebruikt, voordat zij toestemming geven.
7. De verwerking van de persoonsgegevens – Het verwerken van persoonsgegevens, inclusief het profileren en segmenteren, moet op een wettige, eerlijke en transparante manier gebeuren. Dit proces omvat het verzamelen en manipuleren van gegevens om inzicht te krijgen en zinvolle informatie te produceren. De verwerking mag niet plaatsvinden om redenen die buiten het oorspronkelijk vastgestelde doel vallen.
8. Actueel houden – Alle bewaarde gegevens moeten actueel worden gehouden en regelmatig op juistheid worden gecontroleerd.
9. Persoonsgegevens die voor een of meer doeleinden worden verwerkt, mogen niet langer worden bewaard dan voor dat doel of die doeleinden noodzakelijk is – Hoewel er geen specifieke minimum- of maximumtermijnen zijn voor het bewaren van persoonsgegevens, betekent dit het volgende:
- Controleer de tijd dat u uw persoonlijke gegevens bewaart;
- Houd rekening met het doel of de doeleinden waarvoor u de informatie bewaart om te beslissen of (en hoe lang) u de informatie wilt bewaren;
- Verwijder informatie die niet langer nodig is voor dit doel of deze doeleinden op een veilige manier; en
- Update, archiveer of verwijder informatie als deze verouderd is op een veilige manier.
10. Personen die willen worden vergeten – Indien personen gebruik maken van hun recht om te worden ‘vergeten’, moeten zij de over hen opgeslagen gegevens kunnen inzien of laten updaten via een helder proces. Verzoeken van personen om hun gegevens bij te laten werken, te worden ‘vergeten’ of inzichtelijk te krijgen wat er over hen wordt bijgehouden, moeten binnen één maand na het verzoek worden behandeld.
