De Autoriteit Persoonsgegevens (AP) rondt een periode af van intensiever toezicht op Booking.com. De AP monitorde een jaar lang of Booking.com zich goed hield aan de regels rond het melden van datalekken, omdat er aanwijzingen waren dat het bedrijf datalekken niet altijd op tijd meldde.
De AP concludeert nu dat Booking.com zich in 2023 goed hield aan de regels rond het melden van datalekken. Het bedrijf kreeg in 2021 een boete van 475.000 euro vanwege het te laat melden van een datalek. Bij dit lek maakten criminelen persoonsgegevens van vierduizend klanten buit, waaronder creditcardgegevens. Ook in de periode daarna meldde het bedrijf mogelijk enkele datalekken niet op tijd.
Met het intensievere toezicht wilde de AP zekerstellen dat Booking.com datalekken op tijd meldt, zowel bij de AP als bij de slachtoffers. Booking.com moest gedurende 2023 rapporteren over de maatregelen die het bedrijf nam om datalekken op tijd te melden aan de AP. Ook moest Booking.com aangeven welke maatregelen waren genomen om toekomstige incidenten te voorkomen. Daarnaast heeft de AP gecontroleerd of het bedrijf bepaalde incidenten onterecht helemaal niet heeft gemeld. In de periode van geïntensiveerd toezicht bleek dat alle incidenten die gemeld moesten worden, ook daadwerkelijk werden gemeld.
Oplichting van hotelgasten
Gedurende het intensievere toezicht heeft Booking.com diverse fraudezaken gemeld. Bij een groot deel daarvan slaagden criminelen erin het account van accommodaties op Booking.com over te nemen. Vanuit het overgenomen account werden gasten vervolgens opgelicht. De oplichters vroegen klanten de hotelkamer te betalen, bijvoorbeeld omdat er iets mis zou zijn gegaan met een eerdere betaling. Omdat de berichten via het berichtensysteem van Booking.com kwamen, leken deze voor klanten authentiek te zijn.
Vanwege dit soort incidenten blijft de AP Booking.com goed in de gaten houden. De AP kan bij signalen dat Booking.com de wet overtreedt, altijd handhavend optreden.