WK 2026: Scoor de beste elektronica deals met ons advies. Scoor jouw winnende opstelling tijdens dit WK!

Meer dan honderd Nederlandse hotels zijn getroffen door datalek

Meerdere Nederlandse en Belgische hotels zijn getroffen door een datalek, zegt horecaconcern Hospecs aan onder meer de NOS. Zeker honderd Nederlandse hotels zijn getroffen, maar er komen ook meldingen uit België en Ierland binnen.

Hospecs heeft vorige week een speciale pagina online gezet om meldingen over het datalek te verzamelen. "De meldingen stromen binnen", zegt managing director Tim Vissers tegen de NOS. Hij denkt dat het datalek is veroorzaakt door een kwetsbaarheid in de software die hotels gebruiken. In welke software het lek precies zit, is nog niet bekend.

Phishing

Bij het datalek zijn onder meer klantgegevens en reserveringsgegevens buitgemaakt, schrijft de NOS. Vanochtend meldde de Belgische krant HLN dat honderden Vlaamse hotelgasten slachtoffer zijn geworden van phishing met gegevens uit het datalek. Vissers zegt tegen de NOS dat er elke dag tientallen phishingberichten worden verzonden naar hotelklanten. Dat zou nog verder kunnen oplopen, waarschuwt hij.

Hospecs exploiteert hotels en verleent diensten aan andere horecabedrijven. Aan Tweakers laat Vissers weten dat het bedrijf de meldingen verzamelt om te inventariseren hoe groot het probleem is en om mogelijk te achterhalen bij welke partij(en) het datalek ligt. Ook hoopt hij dat de hotels beter een vuist kunnen maken tegen de partij(en) die verantwoordelijk zijn voor het datalek door zich te verenigen. Uiteindelijk wil Vissers de gegevens met toestemming van de hotels overdragen aan brancheorganisatie Koninklijke Horeca Nederland (KHN).

KHN bevestigt dat het signalen heeft ontvangen van pogingen tot phishing en adviseert consumenten om alert te blijven. De organisatie zegt de signalen en ontwikkelingen in de gaten te houden en daarover af te stemmen met ondernemers, sectorpartijen en de Europese koepelorganisatie Hortec. "Waar nodig brengen we aanvullende informatie en handelingsperspectieven onder de aandacht van ondernemers, zodat zij tijdig maatregelen kunnen nemen om risico's te beperken", laat een woordvoerder weten.

Datalek stock. Bron: Getty Images
Bron: Getty Images

Door Imre Himmelbauer

Redacteur

Feedback • 02-06-2026 20:49
26 • submitter: KeizerWilmer

02-06-2026 • 20:49

26

Submitter: KeizerWilmer

Lees meer

Politie houdt 35-jarige man aan voor inbraak op computersystemen Ajax
Politie houdt 35-jarige man aan voor inbraak op computersystemen Ajax Nieuws van 26 mei 2026
OpenAI is slachtoffer van supplychainaanval, 'geen gebruikersdata gestolen'
OpenAI is slachtoffer van supplychainaanval, 'geen gebruikersdata gestolen' Nieuws van 15 mei 2026
Hackers hadden half jaar toegang tot reserveringsdata van Best Western Hotels
Hackers hadden half jaar toegang tot reserveringsdata van Best Western Hotels Nieuws van 13 mei 2026
Odido staat nog steeds achter besluit om ShinyHunters niet te betalen
Odido staat nog steeds achter besluit om ShinyHunters niet te betalen Nieuws van 12 mei 2026
Meer producten en artikelen
Internet Privacy België Datalek Nederland

Reacties (26)

-Moderatie-faq
26
26
16
1
0
10
Wijzig sortering

Sorteer op:

Weergave:
Johedi 2 juni 2026 21:49
De zoektocht naar "de" kwetsbare software wordt lastig, juist omdat er zelden één systeem is. Een reservering raakt onderweg een hele keten, en op elke hop wordt gastdata gedupliceerd en opgeslagen.

Typisch pad: een boeking komt binnen via een OTA(booking.com, Expedia), gaat via een channel manager(verzorgt distributie van beschikbaarheid en reserveringen) naar het PMS(reserveringssysteem), en wordt daar verrijkt met data uit booking engine, payment provider, CRM en vaak nog een messaging- of reputatietool. Veel van die koppelingen lopen over API's of in oudere setups via push-XML, met API-keys of credentials die soms jaren ongewijzigd blijven. Dezelfde NAW-, contact- en reserveringsgegevens staan daardoor parallel in vijf tot tien systemen, plus in de logs en exports ertussen.

Dit lijkt me eerlijk gezegd een mooi punt voor Tweakers om in te duiken. Want als gast weet je niet meer waar je gegevens allemaal worden verwerkt. Je vult ze één keer in en ze belanden bij partijen waarvan je het bestaan niet kent. Dat wordt een steeds groter probleem.

De kern: hoteliers zijn in de basis geen technische mensen. Ze worden ondersteund door systemen die elk, in hun eigen belang, een stukje van de gastreis oplossen. Boeken, betalen, communiceren, reviewen. Stuk voor stuk nuttig. Maar datasecurity staat in die optelsom niet altijd hoog in het vaandel, en niemand is eigenaar van de keten als geheel.

Ik kijk hier met branchekennis naar. Dit was geen kwestie van of dit zou gebeuren, maar wanneer.

Voor nu telt vooral: de gangen nalopen en isoleren. Mijn eerste best estimate is dat het in de channel-managementsoftware of een reserveringssysteem zit, gezien het feit dat de phishing kloppende boekingsdetails bevat. Dat wijst op de reserverings- of distributiekant, niet op bijvoorbeeld losse e-mailadressen uit een nieuwsbriefdatabase.
Reageer
SunnieNL
@Johedi2 juni 2026 22:05
Niemand is eigenaar van de keten als geheel? Daar ga je de mist in. Ik doe mijn boeking bij het hotel. Het hotel is datacontroller voor de gehele keten waar mijn data naar toe verstuurd wordt.

Zelfs als ik de boeking maak via booking.com is het hotel een van de data controllers als zij de data voor henzelf gaan gebruiken en weer doorzetten naar andere systemen.

Zij behoren ook die hele keten in beeld te hebben of gebruik te maken van een service die die hele keten gebruikt en als dienst aan hen levert.

Sorry het eenvoudige: ik weet ook niet waar je data allemaal heen gaat, gaat hier niet op. Dat was de reactie gisteren van het hotel dat ik berichtte, binnen een uur: ' niet ons probleem, onze systemen zijn niet gehacked'. Geen 'bedankt voor uw melding, we gaan onderzoeken waar het vandaan komt', maar gelijk ontkenning. Die kunnen nu dus voor mij de volledige keten gaan onderzoeken en hebben een AVG handhaving gekregen om te onderzoeken hoe mijn Boeking gegevens zijn gelekt en een AVG verzoek gekregen om op te leveren bij welke 3rd party mijn data allemaal staat (gezien dat ook niet in de privacy verklaring stond).

[Reactie gewijzigd door SunnieNL op 2 juni 2026 22:10]

Reageer
theredspecial @SunnieNL2 juni 2026 22:09
Nou... Vaak boekt men juist weer bij een site als boeking die juist al die diensten verzorgd als het platform. Dus, boek je wel bij dat hotel?
Reageer
SunnieNL
@theredspecial2 juni 2026 22:21
Ja, het hotel verwerkt de data en gebruikt die data vervolgens voor henzelf. Het is niet dat het hotel uit naam van booking.com mijn gegevens verwerkt.

Het is eerder andersom. Booking.com verwerkt de gegevens in opdracht van het hotel (zij nemen de dienst af bij booking.com).

Daarmee is het hotel primair data controller van mijn data. Booking.com is dat ook, maar alleen voor hun systemen omdat die de data ook zelf gebruiken om mij een dienst te leveren.

Het hotel zet de data weer door naar andere systemen die het voor het hotel gaan verwerken (die verwerken dat niet voor booking.com). Als die andere diensten die data alleen voor het hotel verwerken en zelf niet gebruiken om mij te gaan targetten voor marketing etc, dan is het hotel volledig verantwoordelijk voor de verwerking en veiligheid van mijn gegevens in die systemen.
Reageer
Johedi @SunnieNL2 juni 2026 22:20
Je hebt gelijk: een hotel is aansprakelijk voor de dataverwerking. Dat staat.

Maar er zit een caveat in die het complex maakt. Partijen als Booking.com zien iemand die via hun platform boekt als hún gast, niet als die van het hotel. Pas bij check-in wordt het een hotelgast. Tot dat moment houdt de OTA de relatie en een deel van de data bewust bij zich: gemaskeerde mailadressen, soms geen telefoonnummer.

En dan zit er vaak nog een channel manager tussen die de boekingsstroom verdeelt. Plus een wisselend betaalmoment: de ene keer reken je direct af via Booking.com, de andere keer pas bij check-in. Zelfs de betaaldata staat dus niet altijd op dezelfde plek.

Het gevolg: het hotel is juridisch verantwoordelijk voor de hele keten, maar krijgt van de OTA juist steeds minder grip en minder data. En precies daarom is dit lek veelzeggend. Phishing met kloppende boekingsdetails, terwijl het hotel die volledige data vaak niet eens in handen heeft, wijst naar de distributiekant. Niet per se naar het hotel zelf.
Reageer
SunnieNL
@Johedi2 juni 2026 22:35
Booking.com heeft het als data controller van hun data, dan ook wel goed opgepakt. Die hadden dezelfde info gekregen als het hotel. Vanochtend communicatie met hun security mensen gehad na mijn melding gisteravond en doorgegeven wat ik had. Dat was een betere reactie dan die van het hotel en zo hoort het ook bij zo'n melding.

Het hotel had dit ook kunnen oppakken en de melding door kunnen zetten naar hun verwerkers. Die gaan namelijk niet in aktie komen als ze niet gewaarschuwd worden.

[Reactie gewijzigd door SunnieNL op 2 juni 2026 22:37]

Reageer
theredspecial @Johedi2 juni 2026 22:10
Zo'n keten is niet uniek voor de hotelbusiness. Helaas. Vliegreizen worden zo ook vaak geboekt en al datgene dag je via aggregatorplatformen (mijn term) boekt.
Reageer
Ollannach 2 juni 2026 20:52
Hoe is hier uitgesloten dat het niet de eerder verkregen gegevens uit de Booking.com hack is die nu (een poosje later) voor deze gerichte phishing wordt gebruikt?
Reageer
xtrme @Ollannach2 juni 2026 20:54
Zoals in het artikel. Probeert het team van dhr vissers te achterhalen waar het datalek zit. Dit kan dus ook extern zijn bij dus jou aangereikte booking hack. Maar dat duurt even anders is het jumping to conclusions
Reageer
Ollannach @xtrme2 juni 2026 21:36
Snap ik, als ik posts hierna lees is de conclusie ook dat er gegevens zijn gedeeld van boekingen die later hebben plaatsgevonden. In mijn geval (ik heb ook phishing pogingen gehad) was het moment van boeken wel ruim geleden waardoor ik zelf het verband had gelegd zoals ik hiervoor beschreef.
Reageer
Nyarlathotep @Ollannach2 juni 2026 21:11
Dat staat in het artikel, dat je niet hebt gelezen (fipo binnen 3 minuten plaatsen bericht).
Reageer
Ollannach @Nyarlathotep2 juni 2026 21:32
Het klopt dat ik dit artikel niet tot in detail heb gelezen. Het artikel waarnaar verwezen wordt echter wel (en eerder dan dit bericht hier op tweakers). Mijn reden voor deze post was zeker niet fpo. Ook ik heb de app rond 10 mei gehad (en later ook mails) waar juist de booking.com gegevens leken te zijn gebruikt. Ik was zelf benieuwd of er wel of geen verband is tussen beide hacks en las dit niet expliciet terug in zowel het NOS bericht als die van tweakers.
Hij denkt dat het datalek is veroorzaakt door een kwetsbaarheid in de software die hotels gebruiken. In welke software het lek precies zit, is nog niet bekend.
In het artikel van tweakers wordt ook de booking.com hack niet uitgesloten en slechts verwezen naar een vermoeden van een kwetsbaarheid in de software van de hotels.

[Reactie gewijzigd door Ollannach op 2 juni 2026 21:40]

Reageer
cricque @Ollannach2 juni 2026 21:22
Dat kan ik je wel zeggen, ik heb geen account bij booking.com (nooit gehad). Wel in 2019 een boeking gedaan in een hotel (rechtstreeks) en daar heb ik daarstraks toevallig een mail van gehad. Het kan zijn dat je via whatsapp links van ons krijgt etc, maar dit komt niet van ons en is omdat dit via een lek uit de software is die we gebruiken .
Reageer
SunnieNL
@cricque2 juni 2026 21:35
Dat is beter dan het hotel dat ik gister heb gewaarschuwd. Die stuurden binnen een uur een standaard mail terug met 'onze systemen zijn veilig en we communiceren hierover alleen via de publieke kanalen en niet via email'.

Had echt ff een Wtf. Screenshot meegestuurd, aangegeven dat het niet de eerdere booking.com hack is geweest en dan binnen een uur zo'n bericht terug naar mij terugsturen. Dus die hebben vanochtend een mail gekregen dat ik dat ik niet tevreden ben over hun antwoord en dat het lijkt dat ze mijn melding niet serieus nemen en of ze geheel volgens AVG richtlijnen een onderzoek willen starten en dat ik graag de uitkomst verneem. Tegelijk aangegeven dat de privacy verklaring op hun website niet AVG voldoet en ik een volledig lijst verwacht van alle 3rd parties waar mijn persoonsgegevens zijn beland.
Reageer
pietervanhuizen @Ollannach2 juni 2026 20:55
Op basis van een recente boeking kwam er hier een phishingmail binnen, met daarin de gegevens van de boeking. Dat toont het wel aan.
Reageer
SunnieNL
@Ollannach2 juni 2026 21:04
De eerdere hack bij Booking.com kan ik uitsluiten, omdat ik de phishing whatsapp gekregen heb op de boeking die ik pas 10 mei heb gemaakt.

Alles klopte in de whatsapp (naam, data, hotelnaam) , behalve het boekingsnummer. Vermoed dat die uit een ander systeem komt.

De link leidde wel naar een fake booking.com site met een chat die activeerde na paar minuten wachten. Die url heb ik direct gerapporteerd waarna cloudflare hem enkele minuten later blokkeerde. Security Booking.com vroeg vanochtend meer info bij mij op incl. Screenshot van het WhatsApp bericht.

[Reactie gewijzigd door SunnieNL op 2 juni 2026 21:16]

Reageer
Burns @Ollannach2 juni 2026 21:10
Hier ook phising mail ontvangen, met gegevens van de hotelboeking zelf.
En deze reservering was niet bij Booking gemaakt.
De phising mail verwijst naar hotel-room23142891.com/nummer, binnen 11 uur en 13 minuten moesten wij onze reservering herbevestigen...
Reageer
Ies Korpershoek 2 juni 2026 21:11
Al twee berichten ontvangen over een reservering in september 2026 bij een hotel in Luxemburg, gemaakt via hun eigen website. Mijn vrouw van morgen m.b.t. een hotel in Groningen, ook eigen website. Berichten komen binnen via whatsapp. Nummers uit Argentinië en England. Betreft reservering in de toekomst, alle data zijn correct.

[Reactie gewijzigd door Ies Korpershoek op 2 juni 2026 21:14]

Reageer
SunnieNL
@Ies Korpershoek2 juni 2026 21:38
Ah, ik had een nummer uit NL die de afgelopen maand een bedrijfsaccount was gestart.

Zeer slecht bericht trouwens. De header van het account meldt 'Community Health Systems Inc.'.

Dat was wel teleurstellend dat ze zo slecht hun best doen.
Reageer
CLB 2 juni 2026 21:09
Topic op GoT: Spam n.a.v (nieuw?) datalek Hotel Kapellerput-Heeze

[Reactie gewijzigd door CLB op 2 juni 2026 21:10]

Reageer
Mr4000 2 juni 2026 21:10
Ik krijg er ook veel binnen via whatsapp. Het is nog niet altijd even slim gezien sommige dreigen mijn verblijf uit het recente verleden te annuleren, maar het is wel erg irritant en vervelend dat criminelen weten wanneer je van huis bent. Tegelijk is het heel lastig om booking of anderen verantwoordelijk te houden omdat het lastig aantoonbaar is waar het lek vandaan komt en welke schade je lijdt.
Reageer
Koninkje 2 juni 2026 21:17
Dit lek komt waarschijnlijk uit de channel manager. Als ik zo de reacties online zie, is dat de gemene deler. Niet de hotelsoftware en ook niet de OTAs.
Reageer
Commendatore @Koninkje2 juni 2026 21:55
Wat is een channel manager?
Reageer
Johedi @Commendatore2 juni 2026 21:59
Een Channel Manager distribueert beschikbare kamers en prijzen van het reserveringssysteem van een hotel naar Online Travel Agents zoals booking.com.

Daarnaast distribueert een Channel Manager, op OTA gemaakte reserveringen naar het reserveringssysteem. Hier zijn gast en betaaldata in verwerkt.
Reageer
Koninkje @Johedi2 juni 2026 22:27
Exact. Soms nog gekoppeld aan revenue management software om de dynamic rates en restricties te stroomlijnen.
Reageer
eKKiM @Koninkje2 juni 2026 22:00
Sommige bronnen benoemen de vermoedelijke software waaruit het lek zou voortkomen ondertussen specifiek: https://luxtoday.lu/en/in...uxembourg-can-be-risky-en
Reageer

Om te kunnen reageren moet je ingelogd zijn