De Autoriteit Persoonsgegevens (AP) rondt een periode af van intensiever toezicht op Booking.com. De AP monitorde in 2023 een jaar lang of Booking.com zich goed hield aan de regels rond het melden van datalekken, omdat de AP aanwijzingen had dat Booking.com eerder datalekken niet altijd op tijd meldde. De AP concludeert nu dat Booking.com zich in 2023 goed hield aan de regels rond het melden van datalekken.
De AP legde Booking.com in 2021 een boete van 475.000 euro (1) op vanwege het te laat melden van een datalek. Bij dit lek maakten criminelen persoonsgegevens van 4.000 klanten buit, waaronder creditcardgegevens van 300 slachtoffers. Ook in de periode daarna meldde het bedrijf mogelijk enkele datalekken niet op tijd bij de AP.
Door het instellen van intensiever toezicht wilde de AP zekerstellen dat Booking.com datalekken op tijd meldt, zowel bij de AP als bij de slachtoffers. Booking.com moest gedurende 2023 rapporteren over de maatregelen die het bedrijf nam om datalekken op tijd te melden aan de AP. Ook moest Booking.com rapporteren over maatregelen om toekomstige incidenten te voorkomen. Daarnaast heeft de AP gecontroleerd of Booking.com bepaalde incidenten onterecht helemaal niet heeft gemeld. In de periode van geïntensiveerd toezicht bleek het bedrijf alle incidenten die het moest melden, ook daadwerkelijk te melden.
Booking.com heeft als groot platform een grote verantwoordelijkheid om het lekken van persoonsgegevens te voorkomen, stelt AP-vicevoorzitter Monique Verdier: ‘Gebruikers geven gevoelige informatie uit handen, zoals hun creditcardgegevens. Het is belangrijk dat Booking.com deze gegevens goed beschermt. Toch kan een datalek helaas overal gebeuren, ook al heb je goede voorzorgsmaatregelen getroffen. Om schade voor je klanten en herhaling van zo’n datalek te voorkomen, moet je het datalek op tijd melden bij de AP, zodat de AP kan adviseren waar nodig.’
Gedurende het intensievere toezicht heeft Booking.com diverse fraudezaken gemeld. Bij een groot deel van deze zaken slaagden criminelen erin het account van accommodaties op Booking.com over te nemen. Vanuit het overgenomen account werden gasten vervolgens opgelicht. De oplichters vroegen klanten de hotelkamer te betalen, bijvoorbeeld omdat er iets mis zou zijn gegaan met een eerdere betaling. Omdat de berichten via het berichtensysteem van Booking.com kwamen, leken deze voor klanten authentiek te zijn.
Vanwege dit soort incidenten blijft de AP Booking.com goed in de gaten houden. De AP kan bij signalen dat Booking.com de wet overtreedt, altijd handhavend optreden.
https://autoriteitpersoonsgegevens.nl/actueel/boete-bookingcom-voor-te-laat-melden-datalek