Booking.com onderzoekt een nieuw datalek bij het bedrijf in Amsterdam. Het bedrijf deelt op het moment van schrijven geen cijfers over de omvang of welke klanten zijn geraakt. Het incident kwam deze week aan het licht en er loopt onderzoek naar de oorzaak. In Europa gelden de AVG en straks de Europese AI-verordening, met gevolgen voor overheid en bedrijven.
Omvang nog onbekend
Booking.com bevestigt dat er een datalek is, maar geeft geen details over hoeveel personen of welke gegevens zijn betrokken. Het bedrijf zegt eerst de feiten te willen vaststellen voordat het meer deelt. Er wordt forensisch onderzoek gedaan en de bevindingen worden stap voor stap verzameld.
Het platform verwerkt doorgaans namen, contactgegevens, boekingsdata en betaalinformatie van reizigers en accommodaties. Als zulke gegevens uitlekken, kan dat leiden tot misbruik zoals phishing of identiteitsfraude. Welke gegevens hier precies zijn geraakt, is op het moment van schrijven niet bekend.
In dit soort situaties zetten bedrijven vaak extra controles aan, zoals strengere toegangsrechten en log-analyse. Ook wordt de toegang tot mogelijk kwetsbare systemen tijdelijk beperkt. Booking.com geeft aan de beveiliging te hebben aangescherpt tijdens het onderzoek.
Mogelijke risico’s voor klanten
Criminelen gebruiken bij dit soort incidenten vaak gerichte nepmails of telefoontjes. Ze doen zich dan voor als het hotel of als Booking.com om betaalgegevens of codes te vragen. Klanten moeten daarom alert zijn op onverwachte verzoeken en links.
“Een datalek is een inbreuk op de beveiliging die leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van, dan wel de ongeoorloofde toegang tot, doorgezonden, opgeslagen of anderszins verwerkte gegevens.” — Autoriteit Persoonsgegevens
Praktisch advies blijft: wijzig uw wachtwoord, zet waar mogelijk tweestapsverificatie aan en controleer recente boekingen en afschrijvingen. Deel nooit verificatiecodes of pincodegegevens via telefoon, sms of chat. Neem bij twijfel direct contact op met de klantenservice via de officiële app of website.
Voor nu is onduidelijk of betaalgegevens of alleen contactinformatie zijn geraakt. Zolang dat onduidelijk is, is voorzichtigheid verstandig. Bewaar verdachte berichten en meld pogingen tot fraude bij Booking.com en, indien nodig, bij de politie.
Meldplicht en boetes AVG
Onder de Europese privacywet AVG moeten organisaties een datalek binnen 72 uur melden bij de Autoriteit Persoonsgegevens (AP), tenzij het onwaarschijnlijk is dat er risico’s zijn. Als er een hoog risico is voor betrokkenen, moeten zij ook persoonlijk worden geïnformeerd. Die melding moet duidelijk maken wat er is gebeurd en welke stappen mensen kunnen nemen.
De AP houdt toezicht en kan om aanvullende informatie vragen zolang het onderzoek loopt. Transparantie over de oorzaak, de getroffen gegevens en de maatregelen weegt zwaar mee. Ook moeten organisaties kunnen laten zien dat zij passende beveiliging toepassen, zoals versleuteling en dataminimalisatie.
Boetes bij gebrekkige beveiliging of te late melding kunnen fors zijn. In 2021 kreeg Booking.com een boete van 475.000 euro van de AP wegens het te laat melden van een eerder datalek. Dat besluit onderstreept hoe strikt de meldplichten worden gehandhaafd in Nederland.
Herstel en communicatie
Effectief incidentbeheer bestaat uit drie stappen: insluiten, onderzoeken en herstellen. Snel communiceren met duidelijke updates helpt om onrust te beperken. Het bedrijf zegt nader te informeren zodra er meer feiten vaststaan.
Europese klanten hebben recht op uitleg en inzage in hun persoonsgegevens. Zij kunnen vragen welke data zijn geraakt en hoe lang die worden bewaard. Ook mogen zij verzoeken om verwijdering waar dat wettelijk kan.
Omdat Booking.com samenwerkt met hotels en andere partners, is ketenbeveiliging belangrijk. Partners moeten weten of hun systemen geraakt kunnen zijn en welke controles nodig zijn. Goede afstemming voorkomt dat aanvallers zwakke schakels opnieuw misbruiken.
NIS2 en AI-verordening
De nieuwe Europese NIS2-richtlijn legt vanaf 2024/2025 strengere eisen op aan essentiële en belangrijke bedrijven, waaronder veel online platforms. Dat betekent zwaardere beveiligingsnormen, snellere incidentmelding en toezicht op de hele toeleveringsketen. Deze regels komen bovenop de AVG en vullen die aan.
Voor platforms als Booking.com stijgt zo de druk op detectie, responstijd en rapportage. Loggen, monitoring en kwetsbaarheidsbeheer worden nog belangrijker, net als testen van noodplannen. NIS2 vraagt ook om duidelijke verantwoordelijkheid van bestuurders voor cybersecurity.
De Europese AI-verordening treedt gefaseerd in werking vanaf 2025 en richt zich op risico’s van algoritmen. De wet gaat niet direct over datalekken, maar verplicht wel tot beter risicobeheer bij systemen die persoonsgegevens verwerken. Dat raakt ook overheden en bedrijven: de Europese AI-verordening gevolgen overheid en bedrijfsleven worden de komende jaren zichtbaar in audits en documentatieplichten.
