Interrail, het Europese treinpas-merk van het Nederlandse bedrijf Eurail B.V., meldt een datalek dat meer dan 300.000 reizigers raakt. Persoonlijke gegevens van klanten zijn mogelijk ingezien na ongeautoriseerde toegang tot een klantsysteem. Het incident treft reizigers in meerdere Europese landen, waaronder Nederland. Het bedrijf onderzoekt de oorzaak en waarschuwt betrokkenen.
Interrail bevestigt omvang lek
Eurail B.V. in Utrecht, de organisatie achter Interrail, bevestigt een grootschalig datalek. Op het moment van schrijven gaat het om meer dan 300.000 getroffen reizigers. Het bedrijf zegt het lek te hebben ingedamd en nader onderzoek te doen. Diensten voor reizigers blijven beschikbaar.
De gelekte gegevens hebben betrekking op klantinformatie. Het kan gaan om namen, contactgegevens en boekings- of pasgegevens. Niet alle accounts zijn in gelijke mate geraakt. De exacte set gegevens verschilt per persoon en wordt in meldingen aan betrokkenen toegelicht.
Wanneer de eerste ongeautoriseerde toegang plaatsvond, is nog niet publiek gemaakt. Het interne en externe forensisch onderzoek loopt. Resultaten daarvan bepalen de vervolgstappen richting toezichthouders en klanten. Interrail geeft aan dat beveiligingsmaatregelen worden aangescherpt.
Meer dan 300.000 reizigers zijn geraakt door het Interrail-datalek.
Gevoelige data mogelijk bekeken
De grootste zorg is misbruik van contact- en reisgegevens. Met die informatie kunnen kwaadwillenden gerichte phishing sturen, bijvoorbeeld over “reserveringen” of “vertragingen”. Zulke berichten lijken echt, zeker als zij boekingsdetails bevatten. Reizigers lopen zo risico op oplichting en accountovername.
Onzeker is of betaalgegevens onderdeel waren van de dataset. Totdat meer duidelijk is, blijft voorzichtigheid geboden. Reizigers doen er goed aan bank- en kaartafschriften extra te controleren. Bij verdachte transacties moet direct de bank worden ingelicht.
Phishingcampagnes worden steeds overtuigender door inzet van kunstmatige intelligentie. AI-gestuurde tekstgeneratoren maken foutloze, gepersonaliseerde e-mails. Daardoor valt de klassieke “taalfoutjes-check” minder vaak op. Extra alertheid en verificatie via het officiële Interrail-portaal zijn nodig.
Impact voor Nederlandse reizigers
Eurail B.V. is een Nederlands bedrijf en valt onder de Algemene verordening gegevensbescherming (AVG). Bij een datalek met risico voor betrokkenen geldt de AVG-meldplicht datalek richting Autoriteit Persoonsgegevens en gebruikers. Betrokkenen in Nederland moeten een duidelijke kennisgeving krijgen. Daarin staat welke gegevens zijn geraakt en welke stappen zij kunnen nemen.
Voor reizigers betekent dit vooral: let op onverwachte e-mails of sms’jes over je Interrail-pas. Gebruik alleen directe inloglinks via interrail.eu of de officiële app. Deel geen codes of betalingsgegevens via e-mail. Vraag bij twijfel om bevestiging via de klantenservice.
Ook voor jongeren die vaak met Interrail reizen is dit relevant. Zij gebruiken soms één e-mailadres voor meerdere diensten. Hergebruik van wachtwoorden vergroot het risico. Unieke wachtwoorden verkleinen de kans op kettingreacties bij lekken.
Juridische plicht onder AVG
De AVG eist dat organisaties dataminimalisatie toepassen: niet meer data verzamelen dan nodig. Ook passende beveiliging, zoals versleuteling en toegangsbeperking, is verplicht. Bij een hoog risico voor betrokkenen moeten organisaties dit snel melden. Overtredingen kunnen leiden tot boetes.
De meldplicht richting toezichthouder is in principe 72 uur na ontdekking. Informatie kan in fasen volgen als het onderzoek nog loopt. Belangrijk is dat betrokkenen bruikbare adviezen krijgen. Denk aan wachtwoordreset en het herkennen van phishing.
Naast de AVG wordt de NIS2-richtlijn dit jaar in Nederland ingevoerd. Die stelt strengere eisen aan cybersecurity en incidentmelding voor “belangrijke” en “essentiële” entiteiten. Vervoersketens en digitale platformen in het openbaar vervoer krijgen daardoor zwaardere plichten. Het doel is weerbaarheid verhogen en ketenrisico’s beperken.
Beveiliging en ketenrisico’s
Grote consumentendiensten werken vaak met meerdere leveranciers. Een zwak punt bij een toeleverancier kan leiden tot een groter ketenrisico. NIS2 vraagt daarom om aantoonbaar leveranciersbeheer en periodieke audits. Zero-trust-toegang en strengere logging helpen misbruik sneller te zien.
Technisch zijn er bekende maatregelen die helpen. Multifactor-authenticatie voorkomt veel accountkraak. Segmentatie en versleuteling beperken de schade als er toch toegang wordt verkregen. Snelle detectie en isolatie verminderen de impact.
Ook dataminimalisatie en kortere bewaartermijnen maken het verschil. Minder data op één plek betekent minder risico bij een incident. Pseudonimisering kan nuttig zijn voor analyses zonder direct identificeerbare gegevens. Zo blijft dienstverlening mogelijk met minder privacyrisico’s.
Wat reizigers nu kunnen doen
Verander direct het wachtwoord van je Interrail-account. Gebruik een uniek en sterk wachtwoord en zet, als beschikbaar, multifactor-authenticatie aan. Hergebruik je hetzelfde wachtwoord elders, wijzig dat daar ook. Overweeg een wachtwoordmanager voor overzicht en veiligheid.
Wees alert op e-mails en sms’jes die vragen om betaling of inlog. Controleer de afzender en ga niet in op links in berichten. Log in via de officiële website of app om claims te verifiëren. Meld verdachte communicatie bij Interrail.
Maak gebruik van je AVG-rechten als dat nodig is. Je kunt inzage vragen in de verwerkte gegevens en vragen om correctie of verwijdering. De Autoriteit Persoonsgegevens biedt praktische tips bij datalekken. Dit helpt om gevolgen te beperken en toekomstige risico’s te verkleinen.
