הרשות ההולנדית להגנת מידע קנסה את בוקינג.קום ב-475,000 אירו בשל עיכוב בהגשת דיווח על אירוע אבטחה בו נחשף מידע אישי של יותר מ-4,000 מלקוחות החברה ושכלל בין היתר גם את פרטי האשראי של כ-300 מהלקוחות.

על פי החשד, בדצמבר 2018 האקרים פרצו לטלפונים של 40 מעובדי החברה המוצבים באיחוד האמירויות וניגשו לחשבונות שלהם במערכת הניהול של האתר Booking.com. ההאקרים הצליחו לשים ידם על פרטים אישיים של 4000 מלקוחות החברה שהזמינו דרך האתר חדרים במלונות באיחוד האמירויות. המידע כלל שמות, כתובות מגורים ומספרי טלפון. הדיווח על האירוע התקבל במשרדי בוקינג.קום כבר ב-13 בינואר, 2019 אך החברה התעכבה בדיווח לרשות ההולנדית להגנת הפרטיות במשך 22 ימים. החברה הודיעה על האירוע ללקוחות שפרטיהם נחשפו מספר ימים קודם לכן.

לפי ה-GDPR (חקיקת הגנת המידע באיחוד האירופי) אירוע אבטחת מידע מחייב את בעל השליטה במידע לדווח לרגולטור הפרטיות תוך 72 שעות.

סגנית נשיא הרשות ההולנדית לפרטיות מסרה כי מדובר באירוע חמור בעיקר בשל העיכוב בדיווח, שאלמלא האיחור יכול היה למנוע נזק רב ללקוחות החברה. עוד הוסיפה סגית הנשיא כי קיימת חשיבות גדולה לדיווח מוקדם במקרה של אירוע אבטחה המאפשר למנוע נסיונות חוזרים של האקרים להונות את לקוחות החברה באמצעים שונים באמצעות הפרטים האישיים שהשיגו.