הרשות להגנת נתונים בהולנד הטילה על Booking.com קנס של 475,000 יורו בגין עיכוב בדיווח על אירוע אבטחת מידע באתר החברה. במסגרת האירוע נחשפו נתונים אישיים של למעלה מ -4,000 לקוחות, כמו גם, פרטי כרטיס אשראי של כמעט 300 מהם. ואף ב -97 מקרים, הגיעו ליידי העבריינים גם קודי ה- PIN של הכרטיסים.
ההפרה התרחשה כתוצאה מהונאה טלפונית שכוונה ל -40 מלונות באיחוד האמירויות הערביות בדצמבר 2018. העבריינים שכנעו את צוות המלון לחשוף את פרטי הכניסה לחשבונות הלקוחות במערכת Booking.com. הרשות ההולנדית מצאה כי החברה דיווחה על דליפת המידע 22 יום מאוחר מהמועד בו נדרשה לדווח, בעת שמדובר היה בדליפה שנדרש לדווח עליה בתוך מגבלת הזמן של 72 שעות, כעולה מהוראות תקנות ה- GDPR (תקנות הגנת המידע האירופאיות).
בהחלטתה הדגישה הרשות ההולנדית את חשיבות הדיווח המיידי על אירועים מסוג זה, ובמיוחד לצורך האפשרות לצמצם את הנזק שנגרם בשל דליפת המידע. הרשות ההולנדית, בשיתוף פעולה עם רשויות מקבילות באיחוד האירופי, הייתה הסמכות המובילה במקרה זה כיוון שהמטה העולמי של Booking.com נמצא בהולנד.