La DPA néerlandaise (Autoriteit Persoonsgegevens) a infligé une amende de 475 000 EUR à Booking.com pour ne pas avoir signalé une violation de données à la DPA en temps opportun. En décembre 2018, des criminels ont eu accès aux données de 4109 personnes qui avaient réservé une chambre d'hôtel via le site de réservation. Cela comprenait leurs noms, adresses et numéros de téléphone, ainsi que des détails sur leur réservation. Les criminels ont également accédé aux données de la carte de crédit de 283 personnes et ont réussi à accéder au code de sécurité de la carte de crédit dans 97 cas. En outre, ils ont tenté d'obtenir les détails de la carte de crédit d'autres victimes en se faisant passer pour des employés de Booking.com par e-mail ou par téléphone. Booking.com a été informée de la violation de données le 13 janvier 2019, mais ne l'a signalée à la DPA que le 7 février 2019. Le responsable du traitement avait donc 22 jours de retard pour signaler la violation de données, car il est tenu de signaler une donnée. violation de la DPA dans les 72 heures.