Booking.com onderzoekt op het moment van schrijven een cyberaanval met een mogelijk datalek. Het reisplatform uit Amsterdam meldt dat ongeautoriseerde toegang is vastgesteld. Het lek kan alle boekingsgegevens raken, zoals namen, contactgegevens en reisdata. Het incident treft ook Nederlandse en Europese reizigers, omdat het platform hier breed wordt gebruikt.
Onderzoek naar datalek loopt
Booking.com zegt dat de aard en omvang van het incident nog worden onderzocht. Het bedrijf heeft extra beveiligingsmaatregelen geactiveerd en werkt met forensische specialisten. Ook worden toezichthouders geïnformeerd, zoals wettelijk verplicht onder de Algemene verordening gegevensbescherming (AVG).
Het is nog onduidelijk via welk toegangspunt de aanval is gepleegd. Bij dit soort incidenten gaat het vaak om gestolen inloggegevens of misbruik van partneraccounts van hotels. De kernsystemen lijken bereikbaar te blijven, maar dat zegt niets over welke data zijn ingezien.
Het platform verwerkt dagelijks miljoenen reserveringen uit de hele wereld. Daardoor kan de potentiële impact groot zijn, ook in Nederland. Het bedrijf zegt prioriteit te geven aan afscherming van gegevens en het informeren van betrokkenen.
Gevoelige boekingsdata in beeld
Een boeking bevat veel persoonsgegevens. Denk aan naam, e-mailadres, telefoonnummer, verblijfslocatie, reisdata en speciale wensen. Soms zijn ook adresgegevens en laatste vier cijfers van een betaalkaart aanwezig, afhankelijk van het hotel en de betaalmethode.
Deze combinatie maakt misbruik aantrekkelijk voor criminelen. Zij kunnen geloofwaardige phishing sturen, omdat zij echte reisdetails kennen. Zo vragen ze bijvoorbeeld om “bevestiging van betaling” of “aanvullende verificatie”.
Volledige betaalkaartnummers worden bij grote platforms meestal niet bewaard of zijn versleuteld. Het directe financiële risico ligt daarom vaak bij misleiding, niet bij technisch kopiëren van kaartgegevens. De grootste schade ontstaat dan door identiteitsfraude en ongeoorloofde betalingen na social engineering.
Een datalek is een inbreuk op de beveiliging waarbij persoonsgegevens verloren raken, worden gewijzigd of door onbevoegden worden ingezien.
Hotels als zwakke schakel
Booking.com werkt met honderdduizenden accommodaties en tussenleveranciers. Aanvallen richten zich vaak op die keten: een zwakker hotelaccount kan toegang geven tot reserveringsgegevens. Dit heet een keten- of supply-chainrisico.
Een veelgebruikte methode is phishing: een poging om wachtwoorden of codes te stelen via misleidende berichten. Criminelen doen zich dan voor als de klantenservice of als een gast met een dringende vraag. Ook malware in systemen van accommodaties kan toegang geven tot boekingsdata.
De Nederlandse Autoriteit Persoonsgegevens (AP) beboette Booking.com in 2021 voor het te laat melden van een eerder incident. Dat onderstreept hoe strikt de meldplichten zijn en hoe snel bedrijven moeten handelen. De huidige zaak staat daar los van, maar toont dat de sector kwetsbaar blijft.
AVG-plichten en toezicht
De AVG verplicht organisaties om ernstige datalekken binnen 72 uur te melden bij de toezichthouder. In Nederland is dat de Autoriteit Persoonsgegevens. Als het lek waarschijnlijk een hoog risico inhoudt, moeten ook de betrokken personen duidelijk en tijdig worden geïnformeerd.
Toezichthouders kunnen handhavend optreden en boetes opleggen tot 20 miljoen euro of 4% van de wereldwijde jaaromzet, afhankelijk van wat hoger is. Bij grensoverschrijdende zaken werken Europese autoriteiten samen in het EDPB. Transparantie over de oorzaak en getroffen gegevens is dan cruciaal.
Voor Nederlandse reizigers betekent dit dat zij mogelijk een melding ontvangen met uitleg over welke gegevens zijn geraakt. Zo’n bericht hoort ook advies te geven over bescherming en een contactpunt voor vragen. Op het moment van schrijven is nog niet bekend hoeveel mensen worden geïnformeerd.
Risico’s en wat te doen
Let op berichten die verwijzen naar uw bestaande reservering en om betaling of verificatie vragen. Criminelen gebruiken echte reisdata om vertrouwen te wekken. Controleer daarom altijd het webadres en gebruik bij voorkeur de app of website van Booking.com om te reageren.
Wijzig uw wachtwoord als u hetzelfde wachtwoord ook elders gebruikt. Schakel waar mogelijk twee-factor-authenticatie in, zodat inloggen een extra stap vereist. Controleer uw toekomstige boekingen en bankafschriften op afwijkingen.
Als u persoonlijk bent geïnformeerd over betrokkenheid bij het lek, bewaar die melding dan goed. U hebt onder de AVG recht op uitleg, een contactpunt en, waar passend, een melding van getroffen gegevenscategorieën. Neem bij misbruik direct contact op met uw bank en doe melding bij de politie via Fraudehelpdesk.
Gevolgen voor sector en beleid
Deze zaak toont opnieuw de kwetsbaarheid van reisplatforms met veel partners en datastromen. Strengere toegangsbeveiliging, zoals hardware-sleutels voor hotelaccounts, kan het risico verlagen. Ook periodieke audits bij tussenleveranciers worden belangrijker.
In Europa dwingen de AVG en aanstaande NIS2-regels zwaardere beveiligingsnormen af. NIS2 richt zich op netwerk- en informatiesystemen van essentiële en belangrijke organisaties. Grote online platforms vallen daar naar verwachting onder, met strengere zorgplichten en meldregels.
Voor Nederlandse bedrijven betekent dit meer nadruk op dataminimalisatie en versleuteling. Dataminimalisatie is het beperken van verzamelde data tot wat echt nodig is. Zo verklein je de impact als er toch iets misgaat.
