Meerdere vakantiewebsites in Nederland zijn getroffen door een datalek van klantgegevens. Het incident kwam recent aan het licht na een intern onderzoek. De bedrijven hebben maatregelen genomen en melden het lek bij de Autoriteit Persoonsgegevens. Europese regels zoals de AVG en de AI‑verordening sturen nu de vervolgstappen van de betrokken organisaties.
Gelekte data vergroot risico’s
Het gaat om klantdata die via de websites van reisaanbieders en boekingsplatforms is verwerkt. Vaak bevatten die gegevens namen, contactgegevens en boekingsnummers. Of betaalgegevens zijn geraakt, is op het moment van schrijven niet bevestigd.
Met deze data kunnen criminelen zeer gerichte phishing sturen. Ook kan informatie over vertrek- en terugkomstdatum leiden tot risico’s rond woninginbraak. Het risico op identiteitsmisbruik neemt toe als ook oude wachtwoorden zijn hergebruikt.
De betrokken bedrijven hebben getroffen systemen geïsoleerd en toegang vergrendeld. Externe forensische experts onderzoeken de herkomst en omvang van het lek. Diensten blijven vaak online, maar met extra beveiliging en monitoring.
Snelle meldplicht onder de AVG
De Algemene verordening gegevensbescherming (AVG) eist snelle actie bij een datalek. Organisaties moeten het incident binnen 72 uur melden bij de Autoriteit Persoonsgegevens (AP). Ook moeten zij betrokken klanten informeren in duidelijke taal.
Een datalek moet in principe binnen 72 uur na ontdekking worden gemeld bij de AP.
Bij overtreding kan de AP boetes opleggen die kunnen oplopen tot 20 miljoen euro of 4 procent van de wereldwijde jaaromzet. De hoogte hangt af van nalatigheid, bestaande bescherming en de impact op klanten. Daarnaast kan de toezichthouder bindende verbetermaatregelen eisen.
Sinds NIS2 geldt voor veel middelgrote en grote digitale dienstverleners extra zorgplicht rond cyberbeveiliging. Zij moeten ernstige incidenten snel melden bij het nationale CSIRT, in Nederland gecoördineerd via het NCSC. Of een specifiek bedrijf onder NIS2 valt, hangt af van sector en omvang op het moment van schrijven.
Wat reizigers nu kunnen doen
Wees de komende weken extra alert op e‑mails en sms‑berichten over boekingen of betalingen. Controleer altijd de afzender en webadressen voordat u klikt. Twijfelt u? Bel het klantenservicenummer dat op de officiële website staat.
Wijzig uw wachtwoord voor de getroffen accounts en hergebruik het nergens anders. Kies een uniek, lang wachtwoord of gebruik een wachtwoordmanager. Zet waar mogelijk twee‑staps‑verificatie aan.
Houd uw bank- en creditcardafschriften in de gaten en activeer meldingen voor betalingen. U kunt bij het bedrijf een kopie van uw persoonsgegevens opvragen en vragen om verwijdering als dat kan. Wie in de toekomst een paspoortkopie moet opsturen, kan de app KopieID van de Rijksoverheid gebruiken om gevoelige gegevens af te schermen.
Ketenrisico vraagt streng toezicht
Vakantiewebsites werken vaak met externe verwerkers, zoals boekingssystemen, e‑maildiensten en betaalproviders. Een fout bij zo’n leverancier kan direct gevolgen hebben voor klanten van het platform. Dat heet ketenrisico.
Een verwerkersovereenkomst volgens de AVG is daarom onmisbaar. Die moet duidelijke eisen stellen aan versleuteling, toegangsbeheer en incidentmelding. Regel ook periodieke audits en pentests, en maak resultaten inzichtelijk voor het bestuur.
Technisch helpt het om gevoelige data te minimaliseren en te pseudonimiseren. Bewaar wachtwoorden uitsluitend gehasht en gesalt, roteer sleutels en beperk rechten tot wat nodig is. Continue logging en detectie versnelt reactie bij misbruik.
AI‑verordening vraagt transparantie
Reisplatforms gebruiken steeds vaker algoritmen voor aanbevelingen en dynamische prijzen. Dat zijn systemen die eerdere zoek- en boekingsgegevens analyseren om keuzes te tonen. Deze toepassingen vallen meestal niet in de hoge‑risicoklasse van de Europese AI‑verordening (AI Act).
Toch gelden er plichten rond transparantie en gegevensbescherming. Bedrijven moeten duidelijk maken dat profielen en aanbevelingen door een systeem worden aangestuurd. De AVG vereist daarbij dataverwerking met een doel, dataminimalisatie en privacy by design.
Wie AI‑modellen traint op klantdata, hoort vooraf een Data Protection Impact Assessment (DPIA) te doen. Benoem een Functionaris Gegevensbescherming waar dat verplicht is en leg keuzes uit in begrijpelijke taal. Dat vergroot vertrouwen en beperkt juridische risico’s.
