Bij Booking.com zijn contactgegevens op straat beland na een datalek. Het gaat om namen, telefoonnummers en e-mailadressen die misbruikt kunnen worden voor phishing. Het incident kwam deze week aan het licht en raakt gebruikers in Nederland en daarbuiten. Het Amsterdamse bedrijf staat onder druk om snel te waarschuwen en extra beveiliging te bieden.
Contactgegevens op straat
De gelekte data lijken vooral contactgegevens te zijn, zoals namen, e-mailadressen en telefoonnummers. Dit type informatie is gevoelig omdat criminelen het gebruiken om geloofwaardige nepmails of -berichten te sturen. Er zijn vooralsnog geen aanwijzingen dat betaalgegevens massaal zijn buitgemaakt, maar dat risico kan niet worden uitgesloten. Ook gegevens van partners of hotelmedewerkers kunnen geraakt zijn, wat de aanvalskans vergroot.
Booking.com heeft miljoenen gebruikers en duizenden accommodaties die via het platform communiceren. Daardoor is het bereik van een dergelijk lek groot, ook in Nederland. Zelfs beperkte datasets kunnen veel schade veroorzaken als ze worden gecombineerd met openbare informatie. Een klein lek kan zo uitgroeien tot grootschalige oplichting.
Het bedrijf zal moeten achterhalen waar de informatie precies is weggelopen: via het partnerportaal, interne systemen of derde dienstverleners. Die bron bepaalt de vervolgstappen en wie moet worden ingelicht. Als er sprake is van hoog risico voor betrokkenen, volgen ook directe waarschuwingen aan klanten. Transparantie over omvang en oorzaak is cruciaal om vertrouwen te herstellen.
Risico op phishing neemt toe
Met werkende contactgegevens kunnen aanvallers overtuigende berichten sturen die lijken te komen van Booking.com of een hotel. Vaak vragen ze om “bevestiging” van een betaling of om een nieuwe link te gebruiken. Dit heet social engineering: mensen worden verleid tot een handeling die hen schaadt. De combinatie van naam, reisdata en telefoonnummer maakt die trucs extra geloofwaardig.
Eerder zagen slachtoffers al fraude via het chatkanaal binnen het platform, nadat inloggegevens van accommodaties waren misbruikt. Ook buiten de app, via e-mail, sms of WhatsApp, circuleren nagemaakte betaalverzoeken. Een datalek met contactdetails vergroot de kans dat zulke berichten door de eerste controle komen. De schade varieert van identiteitsmisbruik tot directe financiële verliezen.
Consumenten kunnen zich deels wapenen door berichten niet via links af te handelen maar via de officiële app of website. Phishingbestendige beveiliging zoals inloggen met de app en push-bevestiging helpt ook. Voor partners en hotels is extra controle bij wachtwoordherstel en het verplichten van meervoudige verificatie belangrijk. Hoe minder data nodig is voor een transactie, hoe kleiner de schade bij een lek.
AVG eist snelle melding
Onder de Europese privacywet AVG moet een datalek met risico voor betrokkenen binnen 72 uur worden gemeld aan de Autoriteit Persoonsgegevens. Slachtoffers met een hoog risico moeten persoonlijk geïnformeerd worden met duidelijke uitleg en advies. Daarnaast moet het bedrijf de oorzaak wegnemen en herhaling voorkomen. Documentatie over het incident en de maatregelen is verplicht.
Een datalek is een inbreuk op de beveiliging die leidt tot verlies, wijziging of ongeoorloofde verstrekking van persoonsgegevens. De AVG vereist melding binnen 72 uur als er risico is voor betrokkenen.
Booking.com kreeg in 2021 een boete van 475.000 euro van de Autoriteit Persoonsgegevens vanwege te late melding van een eerder lek. Die geschiedenis vergroot de aandacht voor de huidige aanpak. Tijdige communicatie en concrete hulp aan gebruikers zijn nu essentieel. Onzekerheid bij slachtoffers leidt snel tot meer schade.
Versleuteling en dataminimalisatie zijn basisvereisten onder de AVG. Als contactgegevens buiten het systeem terechtkomen, speelt vaak een menselijke fout of een zwakke plek bij een leverancier mee. Daarom hoort ook leveranciersbeheer bij de evaluatie: wie heeft toegang, en waarom? Het principe ‘zo min mogelijk toegang’ verlaagt het risico op nieuwe incidenten.
Nederlandse en EU-toezicht scherper
De Autoriteit Persoonsgegevens kan handhavend optreden als meldplichten of beveiligingsnormen worden geschonden. In Nederland werkt de AP samen met sectorpartijen zoals de Fraudehelpdesk om burgers te waarschuwen. Voor grote platforms geldt daarnaast de Europese NIS2-richtlijn, die strengere eisen stelt aan beveiliging en incidentrespons. Online marktplaatsen en digitale dienstverleners vallen hieronder.
NIS2 vraagt om aantoonbaar risicobeheer, monitoring en doeltreffende responsplannen. Bestuurders kunnen bij ernstige tekortkomingen persoonlijk aansprakelijk worden gesteld. Dit zet extra druk op directies om beveiliging en training blijvend te verbeteren. Voor gebruikers betekent dit meer kans op snelle waarschuwingen en herstel bij storingen of datalekken.
Ook de Digital Services Act verplicht grote platforms tot betere rapportage en misbruikbestrijding. Hoewel die wet primair gaat over online veiligheid en transparantie, raakt zij ook aan meldprocessen. De combinatie van AVG, NIS2 en DSA verhoogt de lat voor platformbeveiliging in Europa. Bedrijven moeten processen op elkaar afstemmen om dubbel werk en gaten te voorkomen.
Wat klanten nu kunnen doen
Ga alleen via de officiële Booking.com-app of website naar je boekingen en betalingen. Klik niet op links in e-mails of berichten die om een nieuwe betaling of verificatie vragen. Controleer afzenderdomeinen en let op spelfouten of ongebruikelijke urgentie. Twijfel je, neem direct contact op via de app-chat of de officiële klantenservicepagina.
- Wijzig je wachtwoord en zet meervoudige verificatie aan.
- Controleer recente boekingen en betaaloverzichten op onbekende transacties.
- Meld verdachte berichten bij Booking.com en de Fraudehelpdesk.
- Overweeg een tijdelijke fraudewaarschuwing bij je bank bij twijfelgevallen.
Wie al heeft betaald via een verdachte link, moet direct de bank bellen en aangifte doen. Bewaar berichten en betaalbewijzen als bewijs. Dit helpt ook bij het blokkeren van verdere schade. Snelle actie vergroot de kans op terugboeking.
Lessen voor Booking.com
De zwakste schakel is vaak het partnerkanaal waar hotels en hosts inloggen. Phishingbestendige authenticatie, zoals hardware-sleutels of passkeys, verkleint het risico op overname. Daarnaast helpt realtime detectie van afwijkend gedrag, bijvoorbeeld massaberichten of onverwachte betaalverzoeken. Duidelijke waarschuwingen in de app kunnen klanten extra beschermen.
Beveilig e-mailstromen met SPF, DKIM en DMARC zodat kwaadwillenden minder makkelijk afzenders kunnen namaken. Signalen uit support- en betalingssysteem moeten worden samengebracht voor snellere alarmering. Least privilege en segmentatie beperken de impact als toch iets misgaat. Regelmatige audits bij leveranciers voorkomen blinde vlekken.
Transparantie naar gebruikers is minstens zo belangrijk als techniek. Heldere meldingen, een publiek incidentrapport en concrete herstelstappen bouwen vertrouwen op. Met een goed getraind responsteam en geoefende draaiboeken kan communicatie binnen uren starten. Dat voorkomt onnodige paniek en beperkt de schade.
