Sunweb bevestigt datalek, klanten kregen betalingsverzoeken voor hun reis

Sunweb Group bevestigt dat het slachtoffer is van een cyberaanval. Bij de aanval zijn klantengegevens gestolen. Die gegevens werden actief misbruikt door ze in phishingmails te vermelden en betalingen te eisen. Klanten zijn hierover ingelicht.

Bij de cyberaanval wisten criminelen namen, e-mailadressen, telefoonnummers en boekingsinformatie te stelen, waaronder reisdata en bestemmingen, aldus Sunweb. Er zouden geen financiële gegevens of andere persoonsgegevens buitgemaakt zijn. Het lijkt om een aanval op een Nederlands systeem van Sunweb te gaan, omdat de reisorganisatie nadrukkelijk vermeldt dat de Autoriteit Persoonsgegevens op de hoogte is gesteld.

Vanaf 30 september werden deze gegevens misbruikt door e-mails naar klanten te versturen over hun daadwerkelijke reizen. In de communicatie werd hen gevraagd om de geboekte reis te bevestigen en een betaling te doen; anders zou de reis geannuleerd worden. Het zou om e-mails vanuit een derde partij gaan, ergens buiten Nederland gevestigd. Sunweb benadrukt dat klanten nooit hun reis of betaling hoeven te bevestigen via een externe link.

Het bedrijf laat aan Tweakers weten dat klanten zijn ingelicht over de cyberaanval. Daarnaast zouden 'meerdere systemen versterkt' zijn, al is niet duidelijk welke. Over de omvang van de aanval zegt het bedrijf niets. Verschillende tweakers meldden dit weekend dat zij een mail van Sunweb hadden ontvangen. Mogelijk zijn ook klanten van het merk Eliza was Here getroffen.

Vorig nieuwsartikel Volgend nieuwsartikel

Door Yannick Spinner

Redacteur

Feedback • 06-10-2025 07:52
78 • submitter: Zen1581

06-10-2025 • 07:52

Submitter: Zen1581

Lees meer

Discord meldt diefstal ID-bewijzen bij handmatige leeftijdsverificatie

Discord meldt diefstal ID-bewijzen bij handmatige leeftijdsverificatie Nieuws van 4 oktober 2025

NIST-advies: schrap complexe wachtwoorden en verplichte regelmatige wijzigingen

NIST-advies: schrap complexe wachtwoorden en verplichte regelmatige wijzigingen Nieuws van 1 oktober 2025

Plex waarschuwt gebruikers na diefstal versleutelde wachtwoorden

Plex waarschuwt gebruikers na diefstal versleutelde wachtwoorden Nieuws van 9 september 2025

Datalek treft klanten van zorgverzekeraar CZ door probleem bij IT-dienstverlener

Datalek treft klanten van zorgverzekeraar CZ door probleem bij IT-dienstverlener Nieuws van 4 september 2025

Securitybedrijf Zscaler erkent datalek na cyberaanval op derde partij

Securitybedrijf Zscaler erkent datalek na cyberaanval op derde partij Nieuws van 2 september 2025

Clinical Diagnostics-lek is groter dan gedacht, nog 230.000 deelnemers getroffen

Clinical Diagnostics-lek is groter dan gedacht, nog 230.000 deelnemers getroffen Nieuws van 29 augustus 2025

68.000 Nederlandse vrouwen melden zich voor massaclaim na hack bij medisch lab

68.000 Nederlandse vrouwen melden zich voor massaclaim na hack bij medisch lab Nieuws van 27 augustus 2025

Hackers laboratorium in Rijswijk beloven gestolen medische data te verwijderen

Hackers laboratorium in Rijswijk beloven gestolen medische data te verwijderen Nieuws van 22 augustus 2025

Meer producten en artikelen

Beveiliging en antivirus Cybercrime Cybersecurity Datalek E-mail Reizen

Reacties (78)

78

78

70

2

0

6

Wijzig sortering

MadEgg 6 oktober 2025 08:23

Ik kreeg gisteren een dergelijke phishingmail over een camping die ik geboekt heb. Niet via Sunweb. Wel op het unieke emailadres dat ik alleen voor deze camping gebruikt heb.

Ben benieuwd of die zaken met elkaar te maken hebben. Ik zal de camping eens vragen - ze zijn er in ieder geval van op de hoogte want een uur na de phishingmail kwam een waarschuwingsmail vanaf de camping dat dit een phishingmail was.

Dit was deze tekst:

Thank you for choosing [naam van de camping] for your upcoming visit.

To protect your booking, please complete a short verification process within the next 12 hours.

If the verification is not received within this timeframe, your reservation may be cancelled automatically in line with our booking policy.

We look forward to hosting you soon and making your stay enjoyable.

Sincerely,

Reservations Department

JP1980 @MadEgg • 6 oktober 2025 10:27

ik heb nu via booking.com een reservering bij 3 hotels, en van 1 hotel heb ik al 3 phisiing whatsapp berichten gehad. Niet van die andere. Beste wat je kan doen is het bedrijf inlichten dat ze hun wachtwoord moeten veranderen. Hotels en ik denk ook campings hebben vaak maar 1 account voor de boekingen voor alle medewerkers en een zwak wachtwoord. En tweefactor authenticatie gaat nooit gebeuren bij dit soort bedrijven want dat is veel te 'onhandig'.

MadEgg @JP1980 • 6 oktober 2025 10:40

Ik heb een mail gestuurd naar de camping met het verzoek om een toelichting en in hoeverre dit met elkaar te maken heeft en of hier ook sprake is van een datalek. Het heeft er de schijn wel van.

sjimmie @MadEgg • 6 oktober 2025 08:53

Ja. Dat is precies de beruchte phishing mail die iedereen kreeg.

Datalek
Cybercrime
Beveiliging en antivirus

@MadEgg • 6 oktober 2025 11:06

Afgezien de camping informeren is het misschien mogelijk om uit de originele communicatie op te maken of ze aparte online-diensten gebruiken om je reservering te verwerken en met je te communiceren?

Datalek

@MadEgg • 6 oktober 2025 12:24

Is niet heel ongebruikelijk overigens. Via booking ook wel eens gehad, maar dat heb ik dan weer geverifieerd met booking zelf. Bleek om deposit te gaan. Nou best dan.

6 oktober 2025 09:20

Sinds 30 september worden de gegevens al misbruikt en pas dit weekend zijn de klanten ingelicht?

Wat dacht Sunweb? Als we niets zeggen over de datalek dan gebeurd er ook niets? Of weten ze sinds dit weekend pas welke data er gelekt is en hadden ze het voor 30 september zelf nog niet opgemerkt?

[Reactie gewijzigd door SunnieNL op 6 oktober 2025 09:24]

ex87 @SunnieNL • 6 oktober 2025 11:47

Ik heb op 1 oktober de e-mail al gehad dat er wat aan de hand was en op 3 oktober een update met meer details. Vond zelf de notificatie en communicatie juist wel netjes.

Stpan @SunnieNL • 6 oktober 2025 09:48

De hackers zullen geen briefje hebben achtergelaten hebben voor Sunweb.

Dus ze zullen eerst afhankelijk zijn geweest van meldingen, en vervolgens wat tijd nodig hebben gehad om specifieke details van het datalek te achterhalen. Of ze uiteindelijk traag of adequaat hebben gehandeld kan ik niet beoordelen, maar dat er wat tijd overheen gaat tussen de eerste phishingmail en de communicatie richting getroffen klanten lijkt me logisch.

Wellicht dat experts inmiddels een benchmark kunnen maken wat snel en adequaat reageren is voor soortgelijke situaties.

Donstil 6 oktober 2025 07:56

Mogelijk zijn ook klanten van het merk Eliza was Here getroffen

Mijn zusje heeft een reis geboekt bij Eliza was Here en heeft inderdaad ook de mail en phishing ontvangen.

Het plezier van een lekker ontspannen vakantie is helaas volledig verdwenen doordat er NAW- en reisinformatie is gelekt. Met andere woorden: ze weten precies wanneer je niet thuis bent.

[Reactie gewijzigd door Donstil op 6 oktober 2025 07:57]

TwiekertBOB @Donstil • 6 oktober 2025 08:04

Dat is inderdaad niet prettig.

Ik ben benieuwd of Sunweb naast de melding nog iets anders van plan is ter compensatie, maar ik vrees het ergste.

Het klinkt ook wel als een heel groot datalek. want als je niet enkel NAW gegevens, maar ook boekingsinformatie buit hebt gemaakt, dan lijkt het erop dat ze bij de hele database konden.

Beveiliging en antivirus

@TwiekertBOB • 6 oktober 2025 08:59

Wat noem je de hele database?

Ik weet niet wat voor data er wettelijk verplicht is voor reizen/vakanties. Je hebt onder andere te maken met toeristenbelasting en zo. (Je betaald geen toeristenbelasting als je in je eigen gemeente in een hotel gaat zitten bijvoorbeeld.)

Hoe het zit met vliegen/internationale treinreizen/enz. weet ik eigenlijk niet. Misschien verschilt het per land?

Stel dat dit allemaal verplicht is bij een boeking, dan is het dus niet gek dat bij een boeking ook de NAW-gegevens zijn opgenomen in dezelfde tabel? (Het zijn uiteindelijk ontwerpkeuzes. Ik heb geen inzicht in hoe complex de data is van een reisbureau.)

DnJealt @lenwar • 6 oktober 2025 10:08

Hangt ervan af; Als een reisbureau ook eigen hotels heeft, zul je toch een legio aan data moeten hebben (autoriteiten in bijv. Spanje en Italië vragen nogal eens om extra gegevens). Nederlandse reisbureau's kennen vaak een Hoofdboeker. Deze is verantwoordelijk voor het onderhouden van het contact met het reisbureau, alsmede het aanleveren van de juiste documenten voor de reizigers. Alleen de hoofdboeker mag namens het reisgezelschap optreden, en dit kan bij contact geverifieerd worden.

Een aantal onderdelen van de reis kunnen geboekt worden via een externe partij (denk aan excursies, taxivervoer van luchthaven naar accommodatie). Hiervoor moeten ook bij deze partijen boekingen gemaakt worden en de betreffende boekingsnummers gekoppeld aan de boeking zoals deze bekend is bij het reisbureau.

[Reactie gewijzigd door DnJealt op 6 oktober 2025 10:10]

TwiekertBOB @lenwar • 6 oktober 2025 10:56

De vraag is inderdaad hoe groot het bedrijf is en welke systemen ze dus nodig hebben. Ik ben gewend dat een CRM systeem losstaat van andere systemen. Dus de boekingen zouden los staan van de klantgegevens.

Neemt natuurlijk niet weg dat @Bender een punt heeft: Een medewerker zal wel bij informatie uit beide systemen kunnen. Mogelijk is het niet een breach op db niveau maar is gewoon een gebruiker gehacked dmv fishing.

sjimmie @TwiekertBOB • 6 oktober 2025 08:52

Compensatie door de lege woningen te bewaken als al die mensen op vakantie zijn?

Datalek

@sjimmie • 6 oktober 2025 12:12

Dat zou niet eens een hele gekke upsell zijn voor zulke bedrijven.

Bender @TwiekertBOB • 6 oktober 2025 09:56

Het klinkt ook wel als een heel groot datalek. want als je niet enkel NAW gegevens, maar ook boekingsinformatie buit hebt gemaakt

Het kan ook gewoon het ticketsysteem zijn, dit gebeurt helaas wel vaker.
Met een login op een ticketsysteem (van bijvoorbeeld een werknemer) kun je al bij vrijwel alle informatie als iemand ooit een keer contact heeft gehad.

Nees @Donstil • 6 oktober 2025 08:03

Ze weten dat er mensen op reis gaan, maar niet of iedereen die daar woont ook op reis is... Misschien zijn het alleen de kinderen, of de ouders

Donstil @Nees • 6 oktober 2025 08:18

Ze weten dat er mensen op reis gaan, maar niet of iedereen die daar woont ook op reis is... Misschien zijn het alleen de kinderen, of de ouders

Ja uiteraard, maar daar komen ze maar op 1 manier achter, en precies dat is geen fijne gedachten voor een vrouw alleen.

Datalek

@Donstil • 6 oktober 2025 09:10

Hmm. Ik zou me daar echt niet druk om gaan maken om eerlijk te zijn.

Beter als je niet thuis bent dan als je er wel bent dat is een stuk gevaarlijker. Materiële schade is jammer maar helaas. En zeker nu he je dus iemand die je “gewoon” aansprakelijk kunt stellen.

Het is natuurlijk helemaal ruk als de boel weggehaald wordt, maar die kans is er altijd. Je zult alleen nooit de “schadevergoeder” zo aangereikt krijgen in je mail.

sjimmie @supersnathan94 • 6 oktober 2025 09:56

Ja tuurlijk, geen probleem als er wordt ingebroken doordat jouw afwezigheid bekend is geworden door een datalek. Wat zeuren we nog.

[/sarcasme]

[Reactie gewijzigd door sjimmie op 6 oktober 2025 09:56]

Datalek

@sjimmie • 6 oktober 2025 12:10

Nou, minder een probleem dan dat er gewoon wordt ingebroken.

De kans dat er wordt ingebroken is nog steeds gewoon aanwezig ook al ben je niet onderdeel van zo'n datalek.

En laten we even heel eerlijk zijn. als dit daadwerkelijk een Nederlands hack bedrijfje is geweest wat een beetje phishing mails gaat zitten sturen dan is dat echt een heel ander verhaal dan dat het bij een boevengilde ligt.

Dit datalek is een bevestiging dat er iemand niet thuis is op een anders, maar niet of er helemaal niemand is (dogsitting is ook een ding).

Als mens is het beter als je er echt niet bent en er ook niet bij kunt komen. Materiële schade wordt wel vergoed, maar een fysieke ontmoeting is gewoon gevaarlijk en psychisch niet het meest handige.

eborn @sjimmie • 6 oktober 2025 12:47

De gemiddelde inbreker zal echt niet het dark web afstruinen op zoek naar adressen die mogelijk wel of mogelijk niet verlaten zijn in zijn (of haar werkgebied). Die hebben veel betere methodes om dat te bepalen. Bovendien, als ze zoveel technische kennis hadden dan werkten ze vermoedelijk wel tegen een mooi salaris in de IT, in plaats van het toch wel riskante beroep van inbreker te hebben.

mac1987 @supersnathan94 • 6 oktober 2025 11:55

Een aantal punten:

Een inbraak heeft doorgaans een flinke psychologische impact op het slachtoffer.
De impact als je niet thuis bent is kleiner, maar niet klein.
De kans op inbraak wordt flink groter als er bewijs is dat je niet thuis bent gedurende een lange periode.
Dat bedrijven aansprakelijk zijn voor het illegaal handelen van derden op basis van een datalek, is een juridisch zeer zwakke aanname.

Conclusie is dat ik je nonchalance niet deel.

[Reactie gewijzigd door mac1987 op 6 oktober 2025 11:55]

Datalek

@mac1987 • 6 oktober 2025 12:06

Conclusie is dat ik je nonchalance niet deel.

Dat mag.

De kans op inbraak wordt flink groter als er bewijs is dat je niet thuis bent gedurende een lange periode.

Zeker. Daarom moet je dergelijke dingen ook niet openbaar op socials media zetten bijvoorbeeld.

De impact als je niet thuis bent is kleiner, maar niet klein.

De mogelijke gevolgen zijn veel minder heftig. Dat is iets anders dan impact. Daar heb ik het niet over gehad.

Dat bedrijven aansprakelijk zijn voor het illegaal handelen van derden op basis van een datalek, is een juridisch zeer zwakke aanname.

Nee hoor. Nalatigheid is gewoon verwijtbaar. Neemt niet weg dat dit waarschijnlijk een probleem is voor je verzekeraar.

Je zou nog wel een claim kunnen indienen voor mentale schade en gevolgschade.

En laten we eerlijk zijn. Als er naar aanleiding hiervan 1 inbraak is, dan zal het niet zomaar bij jou zijn, maar zijn het er meer dan gaan er echt wel wat balletjes rollen dat het dus mogelijk verband houdt.

Daarnaast is beveiliging gewoon altijd belangrijk. Ik maak me sowieso weinig druk om een inbraak, want preventie. Of ik nou op vakantie ben of aan het werk, ik kan er niks aan veranderen.

mr_evil08 @Donstil • 6 oktober 2025 08:32

Snap je punt, daar kun je zaken tegen doen zoals vraag de buren/vrienden hun auto op de oprit te parkeren, kliko voor jouw huis zetten en andere zaken waardoor het toch bewoond uitziet.

@mr_evil08 • 6 oktober 2025 08:38

Ja, dat werkt als ze niet zeker weten dat je op vakantie bent, maar als ze het uit de sunweb database hebben, dan heeft dit natuurlijk veel minder effect.

mr_evil08 @REDSD • 6 oktober 2025 10:26

Ik begrijp je paranoia opmerking het idee is niet prettig, ik zal me niet zorgen maken want inbrekers hebben wel andere middelen, dat NAW op straat ligt is erger.
Bovendien men moet ook nog jouw gezinsamenstelling weten en/of iedereen op vakantie is.

In mijn buurt kan ik zo vertellen wie op vakantie is of niet, geen database voor nodig.

Hete zomerdag, geen zonwering uitgeschoven of savonds ramen open, iemand die airco heeft zie je zo, geen auto op de oprit, kliko,s niet aan straat etc etc, lampen op tijdschakelaar hebben ze direct door, lampen die aangaan op beweging hebben meer effect.

[Reactie gewijzigd door mr_evil08 op 6 oktober 2025 10:28]

TheVivaldi @mr_evil08 • 6 oktober 2025 10:55

Plus de vraag is natuurlijk wíe er gehackt heeft. Ik bedoel: als het een clubje uit Californië betreft dat het puur voor de lol deed, heb je geen inbrekers te vrezen. Al helpt dat voor dit moment natuurlijk niet, zolang we het niet weten.

Maar goed, thuis zijn is ook niet alles. Hoe vaak zie je wel niet dat inbrekers inbreken/zich naar binnen praten terwijl er wél mensen thuis zijn?

[Reactie gewijzigd door TheVivaldi op 6 oktober 2025 10:56]

logix147 @Donstil • 6 oktober 2025 08:48

Als man doe je ook weinig als ze met 3+ in jouw woning staan, grote goedgetrainde mechelse herder in huis halen of vooraf vol hangen met camera's.

Als jouw woning iets te goed beveiligd eruit ziet dan slaan ze die wel over, ook al lijkt het dat je niet thuis bent.

glennoo @Nees • 6 oktober 2025 09:30

Ik weet niet hoeveel info er op straat ligt maar als eruit te halen valt dat bijvoorbeeld een man van rond de 30, een vrouw eveneens van in de 30 en een kind van 3 op vakantie gaan dan is de kans klein dat er nog een kind van 17 in huis alleen zit. Uitzonderlijke stituaties zijn er altijd maar zijn ook vrij makkelijk "op te lossen" door inbrekers door een nachttje het huis in de gaten te houden.

JP1980 @glennoo • 6 oktober 2025 10:51

Nog nooit home alone gezien zeker?

TheVivaldi @glennoo • 6 oktober 2025 10:58

Waarom is die kans klein? 17 is geen gekke leeftijd om een kind alleen thuis te laten. Genoeg ouders die vinden dat een kind van 14+ niet mee hoeft als die dat niet wil.

Edit: a, wacht, je bedoelt omdat de ouders te jong zijn om een 17-jarige te hebben? Dat maakt het een ander verhaal. Al kan het natuurlijk wel dat hun 17-jarige neefje op het huis past en de huisdieren verzorgt.

[Reactie gewijzigd door TheVivaldi op 6 oktober 2025 10:59]

glennoo @TheVivaldi • 6 oktober 2025 13:43

Fijn dat je jezelf al corrigeert

En ja in theorie zouden ouders van 30 een kind van 15 kunnen hebben. Maar zoals ik al benoem is de kans klein en uitzonderingen zijn er altijd.

Wat ik uiteindelijk bedoel te zeggen is dat afhankelijk van de info die gedropped is je er mogelijk wel wat uit kunt halen mbt of er mensen mogelijk thuis aanwezig zijn of niet. Zo zal een vakantie die gepland is met een vrouw van in de 40 en een kind van rond de 17 ook een grotere kans hebben dat er toch nog iemand thuis aanwezig is. Immers beslaat 23% van de gezinnen in NL 1 ouder huishoudens dus zal 77% nog een potentiële 2e ouder hebben die thuis zou kunnen blijven.

Tozz @Donstil • 6 oktober 2025 09:22

Dat is misschien geen prettige gedachte, maar ik denk dat de kans minimaal is dat een digitale hacker persoonlijk bij woningen gaan inbreken. Hoop gedoe als je ook gewoon een betaalverzoek kunt sturen per mail.

Steven @Tozz • 6 oktober 2025 10:01

Klopt, maar de kans dat ze deze datasets te koop zetten op plekken waar 'fysieke hackers' komen is wel realistisch.

telenut @Steven • 6 oktober 2025 12:16

Dat is uw onderbuikgevoel, of heb je info over inbraken die gepleegd zijn specifiek na lekken van afwezigheidsinfo?

Lemodile @telenut • 6 oktober 2025 12:43

Mocht het nog niet gebeurd zijn, dan is het op z'n minst plausibel. Van de meer georganiseerde criminelen is bekend dat ze zich gedegen voorbereiden. Zo'n voorbereiding gaat over waar iets te halen valt, hoe makkelijk je binnen komt en zéker ook over wanneer de bewoners weg zijn.

Dan kan zo'n dataset kopen lonen t.o.v. jezelf (te) zichtbaar maken in de wijk.

Je loopt dus wel degelijk een risico (waarvan bovendien de impact enorm is) als je gegevens in zo'n set zitten.

LuCarD @Tozz • 6 oktober 2025 10:00

Helemaal mee eens.... de digitale hacker zal deze data dan dus gewoon te koop aanbieden. Er is een behoorlijke levendige handel in data.

Yzord @Donstil • 6 oktober 2025 08:26

ik zie ook het nut niet om je adresgegevens op te moeten geven. Ik geef sltijd bogus adres op. Kon gewoon op vakantie 🤪

DonChaot @Yzord • 6 oktober 2025 09:09

Veel organisaties sturen volgens mij nog steeds reisbescheiden per post. Ik weet niet hoe Sunweb dat doet maar dat zou in ieder geval wel de reden zijn voor een juist adres.

Yzord @DonChaot • 6 oktober 2025 09:30

Nou, zover ik weet gaat alles via mail of sms tegenwoordig. Het achterlaten van je adresgegevens hoeft echt niet meer.

Datalek

@Yzord • 6 oktober 2025 12:15

ligt er aan waar je heen gaat:

nieuws: Spaanse wet die meer data van toeristen opvraagt vanaf maandag van kracht

Uit de Spaanse wettekst blijkt dat toeristen hun identiteitsgegevens, geslacht, huisadres, telefoonnummer en betaalmethodes moeten opgeven. Men moet ook de nationaliteit, het e-mailadres en het aantal reizigers meedelen. Als er minderjarigen meereizen, moet de verwantschap tussen de meerderjarige en de minderjarige toerist worden meegedeeld. De Spaanse overheid krijgt ook informatie over de data waarop toeristen een beroep doen op de accommodatie of de autoverhuurdienst en de betaalwijze die wordt gebruikt. De datum van betaling en de datum waarop de betaalkaart verloopt, moet ook worden doorgegeven aan de overheid. Bij hoteluitbaters wordt ook geregistreerd hoeveel kamers er worden verhuurd en of er een internetverbinding wordt aangevraagd. De uitbaters van hotels, campings en autoverhuurbedrijven maken hiervoor gebruik van een digitaal platform.

Yzord @supersnathan94 • 6 oktober 2025 12:39

Ow, maar die wet ken ik hoor en heb ik ook meerdere keren (dit jaar) op de proef gesteld door gewoon bogus gegevens op te geven. Kon gewoon de tourist uithangen in Spanje. Je moet je eerder afvragen wat deze wet voor nut heeft als er toch niet op gecontroleerd wordt. Want met een geldige ID en een simpel belletje naar het land waar de tourist vandaan komt, krijgt men ook alle gegevens bij calamiteiten veroorzaakt door deze tourist.

En even ter info: ik doe dit express en juist om te kijken wat het proportioneel nut hiervan is. Door bogus gegevens op te geven kom ik er meteen (of niet) achter of deze wet wel is gemaakt voor haar opgegeven doel. En dat doet het dus niet. En waarom doe ik dit? Omdat ik in het kader van het AVG mag onderzoeken wat men met mijn persoonsgegevens doet.

Datalek

@Yzord • 6 oktober 2025 12:49

Oh dat ben ik met je eens. Zet echt nul zoden aan de dijk. Ik ben het er dan ook totaal niet mee eens. Volgens mij heb ik dat daar toen ook al redelijk duidelijk gemaakt. (supersnathan94 in 'Spaanse wet die meer data van toeristen opvraagt vanaf maandag van kracht')

Maar ik gaf elders ook al aan, dit soort datalekken is allemaal vervelend en mensen vinden dat bedrijven dit beter moeten doen, maar het komt uiteindelijk doordat overheden dit soort slecht wisselbare gegevens (anders dan verhuizen) allemaal verplicht stellen om op te slaan zonder na te denken over de consequenties.

Yzord @supersnathan94 • 6 oktober 2025 13:25

Ach, het gaat maar om een ding, datavergaring, meer niet. Het moeten en willen weten wat een ander uitvreet. Zodat ze er big bucks mee kunnen maken. Ik vind het gewoon leuk om een stoorzender te zijn en wat daar de reacties op zijn.

sjimmie @Donstil • 6 oktober 2025 08:51

Precies dat. NAW is al heel vervelend, en dat ze heel gericht kunnen phishen (icm een geboekte reis) is nog vervelender, maar dat ze nu ook weten wanneer iemand voor langere tijd niet thuis is is echt dramatich ernstig!

Datalek

@sjimmie • 6 oktober 2025 12:18

Hoezo? Als je beveiliging thuis valt of staat met het feit of je thuis bent of niet, dan is er iets anders aan de hand.

Weet niet of je regelmatige uren hebt op het werk, maar dat is makkelijker te voorspellen dan met vakanties enzo.

Beveiliging en antivirus

@Donstil • 6 oktober 2025 08:26

Inderdaad. Zeker nu het zo in het nieuws komt, zullen ook ‘gewone inbrekers’ deze dataset willen kopen (afhankelijk van wat de kosten zijn van dit soort datasets. Iemand enig idee??), en niet alleen de professionele ‘phishers’.

michielonline @Donstil • 6 oktober 2025 11:13

Je hebt verschillende soorten criminelen, feit dat er al phishing mails verstuurd zijn om openstaande boekingen te voldoen geeft aan dat deze set met criminelen op zoek was naar geld. Kans dat ze niet eens in Nederland wonen is erg groot.

Inbrekers zijn meer van het "hands-on" criminele werk en overwegend gelegenheidscriminelen. De kans dat deze groep ergens op het dark-web een lijstje gaat zoeken wanneer mensen mogelijk niet thuis zijn (en daar vervolgens ook nog voor moet betalen, want bovenstaande criminelen willen natuurlijk wel geld zien) is mijn inziens nagenoeg 0.

Senaxx 6 oktober 2025 08:52

Ik snap nog steeds niet dat er geen wetgeving hiervoor is die de (nederlandse) consument beter beschermt of verplicht recht op een vergoeding geeft, want alleen een melding bij de AP is gewoon te weinig.

Zelf ook een keer het slachtoffer geweest van een lek van email + NAW + mobiele gegevens. En dat is inmiddels een jaar geleden, maar ik krijg nog steeds veel spam (dat was daarvoor stuk minder) en scam / physing telefoontjes die ik daarvoor ook niet had.

Zolang een bedrijf er geen financiele compensatie aan de klanten moet bieden zal er nooit iets veranderen.

Datalek
Beveiliging en antivirus

@Senaxx • 6 oktober 2025 09:04

En wat ga je compenseren? Hoeveel ga je compenseren? En wat denk je dat bedrijven gaan doen als zulke wetgeving er is? Die nemen een verzekering en de kost van die verzekering verhalen ze gewoon weer op hun klanten.

Daarom ook dat de wetgever net met regelgeving afkomt die bedrijven net verplicht van veiliger om te springen met data en risico's beter in te schatten.

StormRider @Senaxx • 6 oktober 2025 09:05

Moeilijk hoor, compensatie. Waar een computer onderdelen winkel soms 10,- verdient per klant en dus bij 50,- compensatie voor 10.000 klanten een half miljoen kwijt is tegen een advocatenkantoor die 1/5 kwijt is doordat deze minder klanten heeft ( aannames) Terwijl de data van een advocatenkantoor gevoeliger is.

[Reactie gewijzigd door StormRider op 6 oktober 2025 09:07]

Geim @Senaxx • 6 oktober 2025 09:08

of verplicht recht op een vergoeding geeft,

Als jij aantoonbaar hierdoor schade hebt geleden kun je dit (desnoods via de rechter) verhalen op Sunweb. Standaard een vergoeding voor niet geleden schade zit ik niet op te wachten. Geen Amerikaanse toestanden hier aub. Dit werkt alleen maar prijsopdrijvend.

Martinez- @Senaxx • 6 oktober 2025 09:08

Moet je voorstellen: ondanks dat je je huis enorm goed beveiligd, is er alsnog een inbreker binnengekomen. Die heeft heel je hebben en houden meegenomen.

De politie komt, bekijkt alles en geeft je een boete omdat er, ondanks alle maatregelen (die al veel geld hebben gekost) alsnog ingebroken is. De verzekering betaalt ook niets omdat je toch weet dat er nooit ingebroken zou mogen worden.

Dat is toch nogal oneerlijk, toch? Daarnaast wordt de meldingsbereidheid ook een stuk lager. Of het moet zo evident zijn dat het bedrijf gefaald heeft (bewust onbekwaam)... bedrijven mogen van mij wel geaudit worden op welke gegevens ze nodig hebben om een dienst te leveren. Door dataminimalisatie voorkom je ook al veel problemen...

YopY @Senaxx • 6 oktober 2025 09:46

Die wetgeving is er al wel, maar het is een civiele zaak, je of alle gedupeerden zullen zelf een zaak aan moeten spannen en daarbij hun schade aangeven / bewijzen.

Lisadr @Senaxx • 6 oktober 2025 10:23

Compensatie is erg moeilijk omdat de schade aangetoond moet worden. Een haalbare prikkel zijn boetes. Met een omzet van 1150 miljoen in 2024, kan Sunweb een boete krijgen 46 miljoen. Maar praktijk is dat AP bescheiden is met boetes en zolang de boetes langer zijn dan de investering in databescherming zullen bedrijven risico's nemen en zijn consumenten het slachtoffer.

Datalek

@Senaxx • 6 oktober 2025 12:21

Ik snap nog steeds niet dat er geen wetgeving hiervoor is die de (nederlandse) consument beter beschermt

Het is juist allerlei anti terrorisme wetgeving die er voor zorgt dat deze gegevens überhaupt worden opgeslagen. De AVG zegt namelijk al dat het je de gegevens niet mag verwerken als het niet nodig is, en NAW is dat niet per se.

Behalve dan als je naar een land als Spanje gaat, waar dat wel wettelijk verplicht is sinds 2023.

Het komt juist door overheden dat je dit soort gegevens steeds vaker op moet geven voor nul netto effect anders dan meer datalekkage.

Datalek
Beveiliging en antivirus

6 oktober 2025 08:21

Als iemand die nog nooit via zo een organisatie op vakantie is geweest, wat is da de gebruikelijke manier van betalen voor je vakantie? Gebeurt dat niet op het moment van de boeking? Sowieso zou het afwijken van de gemaakte betalingsafspraken voor vele mensen hopelijk een rode vlag zijn, al kan ik me perfect inbeelden dat een klein deel wel degelijk betaald.

Veendammer @Blokker_1999 • 6 oktober 2025 08:55

Bij Sunweb kan je betalen via de app of door in te loggen in de website. Dat lijkt me veiliger, vooral via de app.

Rmaxx @Veendammer • 6 oktober 2025 10:55

Dat klopt, en ik zou dit ook altijd via die weg doen, maar dat neemt niet weg dat er legio mensen gewoon op de betrouwbaar lijkende link gaan klikken. En wie gaat dat nu vergoeden asl iemand erin trapt?

Datalek

@Rmaxx • 6 oktober 2025 12:23

En wie gaat dat nu vergoeden asl iemand erin trapt?

mogelijk je bank, maar er valt wat voor te zeggen dat je dit echt niet had kunnen zien aankomen dus dat Sunweb zelf aansprakelijk is.

Rmaxx @supersnathan94 • 6 oktober 2025 12:37

Denk niet dat je bank zich hiervoor gaat opofferen. Dit doe je in feite zelf, de bank heeft hier geen verwijtbaar deel in.

Datalek

@Rmaxx • 6 oktober 2025 12:45

Zeker wel. Ligt een beetje aan de algemene voorwaarden, maar dit is precies zo'n geval waar jouw bank eerst de schade vergoed en dan zelf gaat kijken waar het dit geld eventueel terug kan halen.

https://www.boskampwillems.nl/blogs/slachtoffer-van-internetfraude-welke-schade-wordt-vergoed-/

Indien u uw geld bent kwijtgeraakt als gevolg van phishing, vergoeden banken meestal de schade als zij dit zo hebben bepaald in hun algemene voorwaarden. Banken gaan alleen niet tot vergoeding van de schade over als er sprake is van fraude, opzettelijk handelen of grove nalatigheid aan de zijde van de klant.

In het geval van spoofing ligt dit anders. Banken stellen namelijk dat zij waarschuwen voor de gevaren en de klant er zelf voor heeft gekozen om het geld over te maken. Inmiddels zijn gelukkig wel meerdere banken bereid om uit coulance toch de schade als gevolg van spoofing te vergoeden.

En anders kun je soms ook terecht bij je inboedelverzekeraar:

https://www.eigenhuis.nl/financien-regelen/verzekeringen-huis/schade/cyber

Heb je een inboedelverzekering via Eigen Huis Verzekeringen? Dan krijg je ondersteuning via de Cyberservice. Die biedt onder andere hulp bij phishing en vergoeding van schade tot €5.000 per jaar.

xleeuwx @Blokker_1999 • 6 oktober 2025 08:29

Nee, vaak moet je de betaling in twee doen, aanbetaling en rest bedrag x dagen voor de reis, doorgaans is dat een maand.

SprockerJock @Blokker_1999 • 6 oktober 2025 08:37

Er zijn verschillende mogelijkheden.

Volledig bij boeking. Gedeeltelijk bij boeking en dan x-aantal weken op voorhand, x-aantal dagen op voorhand, bij aankomst, bij vertrek.

Geen idee welke Sunweb hanteert, maar ik vermoed toch wel gedeeltelijk tussen boeking en vertrek. Waardoor phishing mails wel degelijk geloofwaardig zullen overkomen.

Beveiliging en antivirus

@Blokker_1999 • 6 oktober 2025 08:38

Vaak betaal je in termijnen (of zijn er verschillende vervaldata). Een deel bij boeking. Een deel 6 maanden vantevoren, en een deel een maand van te voren.

De exacte periodes verschillen uiteraard per reis en organisatie.

Deze manier ervaar ik als prettig. Dus dat je de bulk van de reis betaald wanneer je je vakantiegeld hebt ontvangen (dan hoef je het niet helemaal van je spaarrekening af te halen.)

Het is voor de criminelen dus wel een uitzonderlijk mooie dataset, want je kunt een heel geloofwaardig verhaal maken. (In elk geval logischer dan dat je bij een bank je gegevens moet verifiëren)

Lisadr 6 oktober 2025 09:43

Het gaat al langer niet goed met de gegevensbescherming van Sunweb! Dat weten ze, maar ze waren niet bereid te investeren in veiligheid. Ben benieuwd wat voor boete ze van de AP gaan krijgen en of dat hen gaat motiveren om het voortaan serieuzer te nemen. Met een omzet van 1150 miljoen in 2024, kan AP ze een boete geven van maximaal 46 miljoen.

[Reactie gewijzigd door Lisadr op 6 oktober 2025 09:49]

klonic @Lisadr • 6 oktober 2025 10:43

Eigenlijk zou er een standaard schadevergoeding moeten komen (net als bij vertraagde vluchten). Met daarbovenop een optie om bij aanvullende schade (zoals het doen van een betaling) gebaseerd op de gestolen info, ook vergoed moet worden.

Nu gaat de boete naar de overheid, maar beter zou zijn als het naar de "slachtoffers" gaat.

Lisadr @klonic • 6 oktober 2025 10:50

Een vlucht is een simpel product. Ticketprijs is bekend en op basis daarvan kan een schade worden berekend. Het is veel lastiger om te berekenen hoeveel data waard is en wat de schade is.

Hogere boetes, bestuur verantwoordelijk stellen en hogere pakkansen zijn makkelijker te realiseren. Nu is de pakkans vrij laag en zijn de boetes veel lager dan de investering in databescherming.

klonic @Lisadr • 6 oktober 2025 12:26

Ik bedoel dat er een standaard ongemakkenvergoeding komt. Daarnaast kan je een schadevergoeding eisen via de rechter (wat nu mogelijk ook al kan). Zon standaardvergoeding kan gewoon bedacht worden (net zoals een hoop andere bedragen ook niet een heel duidelijke grond hebben):

Naam: 200 euro
Adress: 200 euro
E-mail: 100 euro
Telefoonnummer 200 euro
Paspoortnummber: 500 euro
BSN: 1.000 euro -> eigenlijk moet je een nieuw BSN kunnen krijgen
Kenteken: 1.000 euro -> eigenlijk moet je een nieuw kenteken kunnen krijgen
Geboortedatum: 1.000 euro

Een van de doelen van een straf is ook genoegdoening. Dit gevoel van genoegdoening zal veel sterker zijn als je als slachtoffer ook een "doekje voor het bloeden" krijgt dan als er enkel sancties zijn waar je als slachtoffer niets van ziet. Ken je bijvoorbeeld het datalek bij de RIVM nog rond COVID-19 tijd bij een onderzoek naar Covid-19, of bij de GGD voor COVID-19 testen? Bij die laatste zie je dus dat je wel echt moet aantonen dat je data gestolen is.

Dit zal bedrijven ook stimuleren om je data zo snel mogelijk weer te verwijderen. Waarom zou een bedrijf dit langer bewaren dan nodig is voor de geleverde dienst? Als dat voor reclame is (wat je soms verplicht moet accepteren) dan moet een bedrijf accepteren dat daar een finaniceel risico aan hangt als het gestolen wordt.

Vaak begrijp ik uberhaupt niet waarom ik bijvoorbeeld mijn NAW gegevens moeten opgeven bij een of ander forum?

[Reactie gewijzigd door klonic op 6 oktober 2025 12:35]

Datalek

@Lisadr • 6 oktober 2025 12:51

Het is veel lastiger om te berekenen hoeveel data waard is en wat de schade is.

Met een thuiskopieheffing en Wet mulder kunnen we dat ook (compleet verkeerd dat wel, maar dat maakt niet uit). Beetje standaard bedragen opstellen moet een bureautje toch wel kunnen doen in een jaar?

neonite 6 oktober 2025 09:04

Gezien het feit dat de implementatie van een basismaatregel als multifactor-authenticatie al te moeilijk blijkt voor Sunweb, vrees ik dat ook de beveiliging van de rest van de website te wensen overlaat.

Draconian 6 oktober 2025 09:12

Maar wordt de schade vergoedt van klanten die wel betaald hebben? Aangezien er klantgegevens gelekt zijn door een datalek bij Sunweb. Wie is er dan aansprakelijk? Ik kan mij voorstellen dat er mensen zijn die erin trappen aangezien de gegevens kloppen door de datalek. Dus boeking nummers etc zullen dan kloppen. Niet iedereen gaat dan controleren of ook de afzender legitiem is.

Ik lees dit:
Bij een datalek moet de organisatie die verantwoordelijk is voor de gegevens de schade vergoeden, niet de klant zelf. Om een schadevergoeding te krijgen, moeten klanten aantonen dat zij daadwerkelijk schade hebben geleden door het lek en dat de organisatie in strijd heeft gehandeld met de AVG. De vergoeding, die een "billijke vergoeding" wordt genoemd, wordt vastgesteld door een rechter en hangt af van de omstandigheden van het geval.

[Reactie gewijzigd door Draconian op 6 oktober 2025 09:14]

TheDiver 6 oktober 2025 09:57

Net terug van een vakantie via Sunweb (afgelopen donderdag). Afgelopen dinsdag kregen 2 personen ( welke ook in de accomodatie waren) een error bij het inloggen via een externe mogelijkheid, via de app, om in te checken bij Transavia. Ik heb die melding niet gehad. Ook heb ik geen email gehad dat er gegevens zijn ontvreemd. Ik weet dus niet of mijn gegevens ook zijn ontvreemd. Ga Sunweb wel even contacten hierover.

Rmaxx 6 oktober 2025 10:49

Let the downplaying begin... Ik zie overigens bij veel aanbieders dat de inlog methodes verre van veilig zijn, gewoon een email adres en je boekingsnummer. 2fa? Ben je gek, niet eens beschikbaar. Maar wel je hele reishistorie zichtbaar. Wordt tijd dat reisbranche ook eens aan de databeveiligingscertificering moet.

Om te kunnen reageren moet je ingelogd zijn