duidelijke waarschuwing voor hotelgasten na groot datalek
Utrecht, woensdag, 3 juni 2026.
Koninklijke Horeca Nederland meldt een breed opgezet datalek bij hotels. Criminelen hebben toegang gekregen tot reserveringssystemen. Daaruit zijn gevoelige persoonsgegevens van gasten weggehaald. Meerdere hotels zijn getroffen. Klanten ontvangen nu doelgerichte phishingberichten. Die zien er geloofwaardig uit. Ze bevatten juiste data zoals hotelnaam, verblijfsdatum en reserveringsnummer. Dit maakt de frauduleuze oproepen moeilijk te herkennen. De kans op identiteitsfraude neemt toe. Kleinere hotels blijken extra kwetsbaar. Veel bedrijven delen gegevens met externe systemen, maar weten niet altijd wie er toegang toe heeft. De Autoriteit Persoonsgegevens is ingeschakeld. KHN roept hoteliers op hun cybersecurity te versterken. Gasten worden aangeraden argwanend te blijven bij onverwachte betaalaanvragen. Een enkel foutje kan grote gevolgen hebben. Het incident wijst op broze dataketens in de horeca.
grootschalig datalek treft Nederlandse hotels
Koninklijke Horeca Nederland (KHN) meldt een breed opgezet datalek bij hotels in Nederland. Criminelen hebben toegang gekregen tot de reserveringssystemen van ten minste honderd hotels [3]. Hierdoor zijn gevoelige persoonsgegevens van gasten buitgemaakt, inclusief hotelnamen, verblijfsdatums en reserveringsnummers [4]. De aanval vond vermoedelijk plaats via een kwetsbaarheid in gezamenlijk gebruikte software, zoals channel-managers of Property Management Systemen (PMS) [4]. KHN heeft een stijgende stroom meldingen ontvangen van getroffen bedrijven en consumenten [1].
doelgerichte phishingcampagne met hoge geloofwaardigheid
Na het datalek ontvangen ex-gasten doelgerichte phishingberichten die er zeer geloofwaardig uitzien [4]. De berichten maken gebruik van de werkelijke reserveringsgegevens, zoals de hotelnaam, verblijfsdatum en soms zelfs het kamernummer, wat de kans op succes verhoogt [4]. De berichten suggereren vaak dat een betaling nog openstaat of moet worden bevestigd, en vragen om directe betaling via een link [5]. Deze tactiek maakt de frauduleuze e-mails moeilijk te onderscheiden van echte communicatie van het hotel [5].
kwetsbaarheid van kleine en middelgrote ondernemingen
Volgens KHN-voorzitter Marijke Vuik zijn vooral kleinere hotelbedrijven steeds vaker slachtoffer van dergelijke cyberaanvallen [5]. Hoewel deze ondernemingen juridisch verantwoordelijk zijn als datacontrollers, beschikken ze vaak niet over de technische expertise of middelen om de complexe dataketen volledig te beveiligen [4]. Experts wijzen erop dat de verantwoordelijkheid voor gegevensverspreiding verspreid ligt over meerdere partijen, zoals online travel agencies (OTAs), channel managers en CRM-systemen, waardoor niemand de gehele keten volledig controleert [4].
officiële reactie en oproep tot actie
De Autoriteit Persoonsgegevens is inmiddels op de hoogte gesteld van het incident en onderzoekt de omvang en impact [3]. KHN roept alle aangesloten hotels op om hun cybersecuritymaatregelen dringend te herzien en contact op te nemen met hun softwaresystemen [1]. Organisaties zoals Hospecs en Hotrec coördineren een inventarisatie om de precieze bron van het lek te traceren en de betrokken systemen te identificeren [3][5]. Gasten worden aangeraden extreem voorzichtig te zijn bij onverwachte betalingsverzoeken en rechtstreeks contact op te nemen met het hotel via officiële kanalen [5].