Booking.com is getroffen door een hack waarbij onbevoegden boekingsinformatie van klanten hebben ingezien. Het incident kwam recent aan het licht en wordt onderzocht vanuit het hoofdkantoor in Amsterdam. Het gaat om gegevens rond reserveringen; de exacte omvang is op het moment van schrijven nog niet bekend. Het bedrijf heeft extra beveiligingsmaatregelen genomen en informeert betrokken klanten.
Ongeautoriseerde toegang tot data
Bij de aanval is toegang verkregen tot systemen waarin boekingsinformatie wordt verwerkt. Dat zijn bijvoorbeeld namen, contactgegevens, verblijfdata, het hotel en het reserveringsnummer. Dergelijke gegevens zijn aantrekkelijk voor criminelen, omdat ze misbruik mogelijk maken via gerichte oplichting. De technische oorzaak van de toegang wordt nog geanalyseerd.
Booking.com heeft onderdelen van zijn platform gemonitord en waar nodig tijdelijk afgeschermd. Zulke stappen horen bij een zogeheten incident response, het noodplan bij IT-incidenten. Ook wordt bekeken of er sporen zijn achtergebleven die wijzen op verdere risico’s. Het doel is om herhaling te voorkomen en de impact te beperken.
Het bedrijf werkt doorgaans met logging en auditing, waarmee acties van gebruikers en systemen worden vastgelegd. Die logbestanden helpen om precies te reconstrueren wat er is gebeurd. Wanneer duidelijk is welke accounts of databases zijn geraakt, kunnen gerichte meldingen naar klanten en partners worden gestuurd. Dat proces loopt op het moment van schrijven.
Impact voor Europese klanten
Booking.com bedient miljoenen reizigers in Europa. Als boekingsinformatie is ingezien, kan dat leiden tot gerichte phishing: een oplichter die de reisdata kent, komt geloofwaardig over. Reizigers hoeven hun boekingen niet te annuleren; reserveringen blijven gewoon staan. De praktische zorg zit vooral in misleidende berichten die om aanvullende betalingen vragen.
Ook accommodaties kunnen doelwit worden, bijvoorbeeld via valse verzoeken die lijken te komen van het platform. Daarom is het raadzaam dat hotels en B&B’s hun interne procedures nalopen. Denk aan het verifiëren van betalingsverzoeken in het eigen dashboard in plaats van via e-mail. Zo wordt het risico op misbruik kleiner aan beide kanten van het platform.
Voor Nederlandse en Europese klanten geldt dat zij rechten hebben onder de privacywetgeving. Denk aan inzage in de verwerkte gegevens en het recht op informatie bij een datalek. Klanten kunnen bovendien verdachte activiteiten melden bij het platform en zo nodig bij hun nationale toezichthouder. Dat vergroot de kans op snelle signalering van misbruik.
Meldplicht en AVG-regels
Onder de Algemene verordening gegevensbescherming (AVG) moet een datalek met risico voor personen binnen 72 uur worden gemeld bij de Autoriteit Persoonsgegevens (AP) of de bevoegde toezichthouder in de EU. Als het risico hoog is, moeten ook betrokkenen rechtstreeks worden geïnformeerd. De maximale boete kan oplopen tot 20 miljoen euro of 4% van de wereldwijde jaaromzet, afhankelijk van welk bedrag hoger is. Tijdig melden en transparant handelen verkleint juridische en reputatierisico’s.
Een datalek is ongeoorloofde toegang tot of verlies van persoonsgegevens, bijvoorbeeld door een hack, menselijke fout of misbruik van inloggegevens.
Versleuteling en dataminimalisatie spelen hierbij een grote rol. Als gevoelige velden goed zijn versleuteld, kan dat de impact voor klanten verlagen. Ook kan het de meldplicht richting betrokkenen beïnvloeden, omdat het risico op misbruik dan kleiner is. Bedrijven moeten die afweging zorgvuldig vastleggen.
Booking.com kreeg in 2021 al een boete vanwege te late melding van een eerder incident. Dat onderstreept hoe strikt de Europese regels worden gehandhaafd. Voor grote digitale platforms weegt bovendien mee dat incidenten vaak grensoverschrijdend zijn. Dat vraagt om afstemming tussen meerdere Europese autoriteiten.
Waak voor gerichte phishing
Criminelen gebruiken bij voorkeur echte reisdetails om vertrouwen te winnen. Een bekend patroon is een bericht dat lijkt te komen van het hotel of Booking.com, met het verzoek om de betaling te “verifiëren” via een link. Soms wordt gedreigd met annulering om druk te zetten. Neem bij twijfel altijd contact op via het officiële kanaal van het platform of de app.
Let op signalen van fraude, zoals spelfouten, vreemde afzenderadressen of verzoeken om directe bankoverschrijvingen. Controleer betalingen in het eigen account en niet via meegestuurde links. Gebruik waar mogelijk tweestapsverificatie voor extra bescherming. En wijzig wachtwoorden die u ook elders gebruikt.
- Klik niet op betaalverzoeken buiten de officiële app of website.
- Controleer reserveringen en betalingen in uw accountdashboard.
- Meld verdachte berichten direct bij Booking.com en uw bank.
- Activeer tweestapsverificatie en gebruik unieke wachtwoorden.
Onderzoek en volgende stappen
Het forensisch onderzoek moet duidelijk maken welke systemen zijn geraakt en via welke route toegang is verkregen. Op basis daarvan volgt herstel en eventuele aanvullende beveiliging, zoals strengere toegangscontroles en extra monitoring. Grote online platforms toetsen daarna vaak hun procedures via een externe audit. Dat helpt om aantoonbaar te voldoen aan Europese beveiligingsnormen.
In de EU gelden naast de AVG ook netwerk- en informatiebeveiligingsregels die incidentrespons en rapportage aanscherpen. Bedrijven in de digitale keten worden geacht risico’s bij leveranciers beter te beheersen. Denk aan strengere eisen voor inlogbeveiliging, zoals multifactor-authenticatie, en aan segmentatie van systemen. Zulke maatregelen beperken de schade als een aanvaller toch binnenkomt.
Transparantie naar gebruikers blijft cruciaal zolang het onderzoek loopt. Duidelijke meldingen, een FAQ en updates in de app verminderen onrust en voorkomen misleiding. Voor het bredere bedrijfsleven in Europa laat dit incident zien wat Europese digitalisering gevolgen bedrijfsleven concreet betekenen: investeren in weerbaarheid, oefenen met crisisscenario’s en snel informeren bij een lek. Dat is niet alleen wettelijk vereist, maar beschermt ook klanten.