Best Western Hotels & Resorts meldt een datalek bij zijn reserveringssysteem. Aanvallers hadden naar schatting een half jaar ongeoorloofde toegang tot reserveringsdata. Het gaat om gasten wereldwijd, ook in Europa en Nederland. De oorzaak wordt onderzocht en het concern zegt extra beveiligingsmaatregelen te nemen.
Half jaar toegang bevestigd
Het hotelconcern bevestigt dat er langere tijd inbraak is geweest in een systeem voor reserveringen. De toegang werd onlangs ontdekt en daarna afgesloten. Forensische experts onderzoeken hoe de aanvallers binnenkwamen. Ook wordt nagegaan welke onderdelen van het netwerk zijn geraakt.
Het beschikbare beeld is nog onvolledig. Het bedrijf zegt te werken aan een nauwkeurige lijst van betrokken databestanden. Daarbij kijkt het naar logbestanden, die registreren wie wanneer in een systeem komt. Zulke logs helpen bepalen hoe lang en hoe diep de toegang was.
De communicatie naar gasten verloopt gefaseerd. Zodra helder is welke personen zijn geraakt, volgen gerichte meldingen. Dat is nodig om misbruik te beperken en om aan wettelijke plichten te voldoen. Best Western zegt in de tussentijd extra monitoring in te zetten.
Reserveringsdata en risico’s
Reserveringsdata kunnen gevoelige persoonsgegevens bevatten. Denk aan naam, e-mailadres, telefoonnummer en verblijfsdata. Soms staan er ook betalingskenmerken in, zoals een kaarttype of de laatste vier cijfers. Dat maakt gerichte phishing of oplichting geloofwaardiger.
De verblijfsgeschiedenis kan bovendien patronen prijsgeven. Daaruit valt af te leiden wanneer iemand niet thuis is of vaak reist. Zulke informatie vergroot veiligheidsrisico’s buiten het digitale domein. Daarom geldt dit soort data als hoogwaardig doelwit voor criminelen.
Betaalgegevens vallen onder strenge normen zoals PCI-DSS, die versleuteling en segmentatie eisen. Als sleutels of tokens zijn buitgemaakt, kan toch risico ontstaan. Het bedrijf moet daarom aantonen welke data precies zijn versleuteld en met welke methode. Pas dan is de feitelijke impact goed vast te stellen.
AVG en AI-verordening gevolgen
Voor Europese gasten is de Algemene verordening gegevensbescherming (AVG) leidend. Organisaties moeten een ernstig datalek binnen 72 uur melden bij de toezichthouder. Bij hoog risico voor betrokkenen moeten zij ook de personen zelf informeren. In Nederland is de Autoriteit Persoonsgegevens de toezichthouder.
De maximale boete onder de AVG is op het moment van schrijven 20 miljoen euro of 4 procent van de wereldwijde omzet. Daarnaast kunnen toezichthouders bindende maatregelen opleggen. Denk aan audits, extra beveiligingsvereisten en beperkingen op gegevensverwerking. Voor een internationale keten geldt ook het mechanisme van de leidende toezichthouder in de EU.
Hotels gebruiken steeds vaker algoritmen voor prijszetting en fraude-detectie. De Europese AI-verordening (AI Act) verplicht dan tot risicobeheer, logging en transparantie bij bepaalde toepassingen. Dat raakt ook securitytools die met machine learning afwijkingen opsporen. De combinatie van AVG en AI Act vraagt dus om strak databeheer, vooral bij incidenten.
Leveranciers als zwakke schakel
Hotel-IT is sterk verknoopt met externe leveranciers. Denk aan property management-systemen, channel managers en centrale reserveringsplatformen. Elke schakel vergroot het aanvalsoppervlak. Een fout of lek bij een partner kan de hele keten raken.
De AVG eist daarom duidelijke verwerkersovereenkomsten. Daarin staat welke data worden verwerkt, hoe lang en met welke beveiliging. Ook is vastgelegd hoe partijen incidenten melden en afhandelen. Dataminimalisatie helpt: verwerk niet méér gegevens dan nodig is voor het doel.
“Onder de AVG geldt: verwerk niet meer persoonsgegevens dan nodig, en bescherm ze met passende technische en organisatorische maatregelen.”
Versleuteling en pseudonimisering beperken de schade bij een inbraak. Netwerksegmentatie voorkomt dat aanvallers makkelijk zijwaarts bewegen. Continu toezicht met loganalyse maakt snelle detectie mogelijk. Zulke basismaatregelen zijn cruciaal in toeleveringsketens.
Wat gasten nu kunnen doen
Wees alert op gerichte phishing die verwijst naar echte of geplande hotelverblijven. Controleer afzenderadressen en klik niet op links in onverwachte e-mails. Gebruik unieke wachtwoorden voor elk account en vervang hergebruikte wachtwoorden. Zet waar mogelijk multifactor-authenticatie aan.
Gasten kunnen bij Best Western inzage vragen in hun gegevens. Dat recht op inzage en rectificatie volgt uit de AVG. Wie schade lijdt, kan dit melden bij de Autoriteit Persoonsgegevens of een civiele procedure overwegen. Bewaar relevante e-mails en bankafschriften als bewijs.
Let op ongebruikelijke transacties en stel limieten of alerts in bij de bank. Overweeg een fraudewaarschuwing bij kredietbureaus als er betalingsdata zijn geraakt. Gebruik een wachtwoordmanager om sterke, unieke wachtwoorden te genereren. Zo verkleint u de kans op kettingreacties na één incident.
Volgende stappen voor bedrijf
Het concern moet het forensisch onderzoek afronden en de bevindingen delen. Transparantie over geïmpacteerde systemen en datavelden is essentieel. Dat omvat ook duidelijkheid over versleuteling en sleutelbeheer. Zonder die details blijft de werkelijke risico-inschatting onzeker.
Verder horen hercertificering en penetratietests bij het herstelplan. Onafhankelijke audits toetsen of maatregelen echt werken. Continu loggen en anomaliedetectie, ook met eenvoudige algoritmen, versnellen toekomstige detectie. Maar menselijk toezicht blijft nodig om valse meldingen te filteren.
Tot slot zijn heldere notificaties aan gasten en partners noodzakelijk. Communiceer in begrijpelijke taal en geef concrete handelingsopties. Werk samen met Europese toezichthouders voor consistente afhandeling. Dat verkleint juridische risico’s en herstelt vertrouwen bij reizigers.
