Autoriteit Persoonsgegevens: Booking alerter op datalekken

De Autoriteit Persoonsgegevens (AP) rondt een periode af van intensiever toezicht op Booking.com. De AP monitorde in 2023 een jaar lang of Booking.com zich goed hield aan de regels rond het melden van datalekken, De AP concludeert nu dat Booking.com zich in 2023 goed hield aan de regels rond het melden van datalekken.

De AP legde Booking.com in 2021 een boete van 475.000 euro op vanwege het te laat melden van een datalek. Bij dit lek maakten criminelen persoonsgegevens van 4000 klanten buit, waaronder creditcardgegevens van 300 slachtoffers. Ook in de periode meldde het bedrijf mogelijk enkele datalekken niet op tijd bij de AP.

Booking.com moest gedurende 2023 rapporteren over de maatregelen die het bedrijf nam om datalekken op tijd te melden aan de AP. Ook moest Booking.com rapporteren over maatregelen om toekomstige incidenten te voorkomen. Daarnaast heeft de AP gecontroleerd of Booking.com bepaalde incidenten onterecht helemaal niet heeft gemeld. In de periode van geïntensiveerd toezicht bleek het bedrijf alle incidenten die het moest melden, ook daadwerkelijk te melden.

Gedurende het toezicht heeft Booking.com diverse fraudezaken gemeld. Bij een groot deel van deze zaken slaagden criminelen erin het account van accommodaties op Booking.com over te nemen. Vanuit het overgenomen account werden gasten vervolgens opgelicht. De oplichters vroegen klanten de hotelkamer te betalen, bijvoorbeeld omdat er iets mis zou zijn gegaan met een eerdere betaling. Omdat de berichten via het berichtensysteem van Booking.com kwamen, leken deze voor klanten authentiek te zijn. Vanwege dit soort incidenten blijft de AP Booking.com goed in de gaten houden. De AP kan bij signalen dat Booking.com de wet overtreedt, altijd handhavend optreden.