De Autoriteit Persoonsgegevens (AP) is gestopt met het intensiever toezicht op Booking.com. De privacytoezichthouder monitorde een jaar lang of Booking.com zich goed hield aan de regels rond het melden van datalekken, omdat de AP aanwijzingen had dat Booking.com eerder datalekken niet altijd op tijd meldde. In 2021 kreeg de website nog een boete van 475.000 euro wegens het te laat melden van een datalek. Criminelen wisten toen de gegevens van vierduizend klanten te stelen, waaronder creditcardgegevens van driehonderd slachtoffers. Ook in de periode meldde het bedrijf mogelijk enkele datalekken niet op tijd bij de AP.

Met het intensiever toezicht wilde de Autoriteit Persoonsgegevens ervoor zorgen dat Booking.com datalekken op tijd zou melden, zowel bij de toezichthouder als slachtoffers. Tevens moest Booking.com vorig jaar rapporteren over de maatregelen die het bedrijf nam om datalekken op tijd te melden aan de AP en welke maatregelen het nam om toekomstige incidenten te voorkomen. Daarnaast controleerde de AP of Booking.com bepaalde incidenten onterecht helemaal niet heeft gemeld. In de periode van geïntensiveerd toezicht bleek het bedrijf alle incidenten die het moest melden, ook daadwerkelijk te melden.

Gedurende het intensievere toezicht heeft Booking.com diverse fraudezaken gemeld. Bij een groot deel van deze zaken slaagden criminelen erin het account van accommodaties op Booking.com over te nemen. Vanuit het overgenomen account werden gasten vervolgens opgelicht. De oplichters vroegen klanten de hotelkamer te betalen, bijvoorbeeld omdat er iets mis zou zijn gegaan met een eerdere betaling. Omdat de berichten via het berichtensysteem van Booking.com kwamen, leken deze voor klanten authentiek te zijn. De AP zegt vanwege dit soort incidenten Booking.com goed in de gaten te blijven houden.