Cyber

Als gastvrijheid digitaal wordt, wordt cyberrisico bedrijfsrisico

Een hotel draait op vertrouwen. Een gast boekt een kamer, deelt persoonsgegevens, laat contactgegevens achter, betaalt soms vooraf en gaat ervan uit dat alles rondom het verblijf veilig is geregeld. Juist die combinatie maakt hotels aantrekkelijk voor cybercriminelen.

Auteur

Hans Veerman

29-06-2026 30-06-2026

Schoutenzekerheid - Cyber

Een hotel draait op vertrouwen. Een gast boekt een kamer, deelt persoonsgegevens, laat contactgegevens achter, betaalt soms vooraf en gaat ervan uit dat alles rondom het verblijf veilig is geregeld. Juist die combinatie maakt hotels aantrekkelijk voor cybercriminelen. Het gaat daarbij niet alleen om betaalgegevens. Ook namen, e-mailadressen, telefoonnummers, aankomst- en vertrekdata, reserveringsnummers en speciale verzoeken zijn waardevol. Met zulke informatie kan een phishingbericht ineens heel geloofwaardig worden. Een gast ontvangt dan geen willekeurige nepmail, maar een bericht dat precies lijkt te kloppen: het juiste hotel, de juiste datum en een dringend verzoek om de reservering te bevestigen of alsnog te betalen.

 

Cyberveiligheid is daarmee geen technisch onderwerp meer dat alleen bij de IT-leverancier hoort. Het is een direct ondernemersrisico. Als reserveringssystemen uitvallen, boekingen niet doorkomen of gastgegevens worden misbruikt, raakt dat aan omzet, reputatie, continuïteit en mogelijk ook aansprakelijkheid. De vraag is dus niet alleen: “Zijn onze systemen veilig?” Maar ook: “Wat kost één dag of één week stilstand?” En: “Hoe snel kunnen wij herstellen als het morgen misgaat?”

 

Cyber is geen IT-probleem

 

Een cyberincident raakt vaak de hele operatie. Als een reserveringssysteem niet beschikbaar is, kunnen boekingen vastlopen. Als betaal- of facturatiesystemen niet werken, ontstaat omzetverlies. En als gastgegevens uitlekken, kan dat leiden tot vertrouwensverlies, extra kosten, juridische vragen en reputatieschade. Voor hotels draait cyberveiligheid daarom om drie zaken: beschikbaarheid, betrouwbaarheid en vertrouwelijkheid. Systemen moeten blijven werken, gegevens moeten kloppen en gastinformatie moet beschermd zijn. Komt één van die drie onder druk te staan, dan wordt cyberrisico direct bedrijfsrisico.

 

Reserveringsgegevens maken fraude geloofwaardig

 

Voor cybercriminelen zijn reserveringsgegevens vaak al genoeg om overtuigende phishing te plegen. Een naam, e-mailadres, telefoonnummer, reserveringsnummer of verblijfsdatum maakt een nepmail geloofwaardig. Denk aan berichten als: “Bevestig uw reservering”, “Betaal via deze link” of “Uw boeking wordt geannuleerd.” Daarom is een datalek in de hotelbranche niet alleen een technisch probleem. Het raakt direct aan vertrouwen, gastcommunicatie en reputatie.

 

Voorbeeld 1: BWH Hotels

In mei 2026 werd bekend dat BWH Hotels, het moederbedrijf achter onder meer Best Western Hotels & Resorts, WorldHotels en Sure Hotels, gasten informeerde over ongeautoriseerde toegang tot een webapplicatie met reserveringsgegevens. Mogelijk zijn namen, e-mailadressen, telefoonnummers, woonadressen en reserveringsgegevens ingezien, zoals reserveringsnummers, verblijfsdata en speciale verzoeken. Betaal- of bankgegevens zouden niet in het getroffen systeem hebben gestaan. Toch kan ook zonder financiële gegevens schade ontstaan. Met echte reserveringsinformatie kan een crimineel gasten gericht benaderen. Het risico zit dus niet alleen in geld dat wordt gestolen, maar ook in vertrouwen dat wordt misbruikt.

 

Voorbeeld 2: Nederlandse hotels in de boekingsketen

Begin juni 2026 berichtte NOS over een datalek bij verschillende Nederlandse hotels. Daarbij zijn klantgegevens en reserveringsgegevens buitgemaakt. Gasten kregen berichten waarin zij werden gevraagd hun reservering te bevestigen en te betalen. Volgens Hospecs waren in Nederland minstens honderd hotels getroffen, met ook meldingen uit België en Ierland. De exacte oorzaak was toen nog niet duidelijk, maar vermoedelijk speelde software in de boekingsketen een rol. Dat laat zien hoe kwetsbaar de digitale hotelketen is. Achter één boeking zitten vaak meerdere schakels: reserveringssystemen, prijssoftware, channel managers, boekingsmodules, platforms, betaalproviders en externe koppelingen. Een gast ziet vooral het hotel waar hij heeft geboekt, maar achter de schermen wisselen meerdere partijen gegevens uit. Als ergens in die keten gegevens worden onderschept of misbruikt, krijgt het hotel vaak wel de vragen. Gasten willen weten of hun boeking veilig is, of hun gegevens zijn gelekt en of zij een betaalverzoek kunnen vertrouwen.

 

Voorbeeld 3: Booking.com

Cyberrisico begint niet altijd binnen het hotel zelf. In mei 2026 waarschuwde KHN ondernemers naar aanleiding van een datalek bij Booking.com. Daarbij zouden boekingsgegevens, namen, e-mailadressen, telefoonnummers en informatie die gasten met accommodaties hadden gedeeld, zijn ingezien. Creditcardgegevens zouden niet zijn buitgemaakt. Voor hotels is dit belangrijk. Ook als een incident bij een platform of leverancier ligt, kan de impact terechtkomen aan de balie, in de mailbox of aan de telefoon. Gasten verwachten duidelijkheid van het hotel, ook wanneer het probleem elders in de keten is ontstaan. Dat maakt cyberrisico ook een communicatievraagstuk. Medewerkers moeten weten welke berichten betrouwbaar zijn, wat zij tegen gasten kunnen zeggen en wanneer zij intern moeten opschalen.

 

De zwakste schakel zit vaak in de keten

 

Een hotel kan de eigen beveiliging op orde hebben en toch geraakt worden via een leverancier, softwarepartij, boekingsplatform, betaalprovider of externe beheerder. Bij een ketenaanval misbruikt een aanvaller het vertrouwen dat al tussen partijen bestaat. De aanval begint bijvoorbeeld bij een leverancier, waarna toegang, klantdata of beheerrechten worden misbruikt richting klanten. Voor hotels betekent dit dat cybersecurity niet stopt bij de eigen systemen. Ook leveranciers en digitale koppelingen moeten worden beoordeeld. Belangrijke vragen zijn: wie heeft toegang tot welke systemen, wordt multi-factor authentication gebruikt, hoe snel worden kwetsbaarheden gepatcht, hoe worden incidenten gemeld en wat gebeurt er als een koppeling tijdelijk moet worden afgesloten?

 

 

Wat een cyberverzekering kan betekenen

 

Een cyberverzekering voorkomt geen aanval. De grootste waarde zit vaak in snelle hulp op het moment dat het misgaat. Denk aan 24/7 incident response, forensisch onderzoek, herstel van IT-systemen, juridische ondersteuning, hulp bij privacyclaims, crisiscommunicatie en vergoeding van bedrijfsschade door uitval. Tegelijk is een cyberverzekering geen vervanging van basisbeveiliging. Verzekeraars kijken steeds vaker naar maatregelen zoals multi-factor authentication, back-ups, patchmanagement, encryptie, bewustwording en beveiligingssoftware.

Voor hotels is dat logisch. Een polis helpt vooral als de basis op orde is én duidelijk is wie wat doet bij een incident.

 

 

Wat hotels nu kunnen doen

  • Wie te maken krijgt met een cyberincident of vermoedelijk datalek, moet snel en gestructureerd handelen.

  • Breng eerst in kaart wat er is gebeurd: wanneer is het ontdekt, welke systemen zijn geraakt, welke leveranciers zijn betrokken en welke gegevens kunnen zijn ingezien? Verzamel ook bewijs, zoals screenshots van phishingberichten.

  • Beperk daarna de technische schade. Trek verdachte sessies in, wijzig wachtwoorden, dwing multi-factor authentication af, controleer API-toegang, sluit verdachte koppelingen tijdelijk af en bewaar logs.

  • Schakel vervolgens hulp in. Neem contact op met de IT-leverancier, adviseur of cyberverzekeraar. Bij een cyberverzekering kan vaak snel een incident response team worden ingeschakeld.

  • Beoordeel ook of sprake is van een meldplichtig datalek. Documenteer welke gegevens mogelijk zijn geraakt, hoeveel personen betrokken zijn en welke risico’s gasten lopen.

  • Informeer gasten helder en praktisch. Zorg dat receptie- en reserveringsteams dezelfde boodschap gebruiken. Waarschuw gasten dat zij verdachte betaalverzoeken altijd via officiële kanalen moeten controleren.

  • Kijk tot slot naar de hele boekingsketen. Controleer niet alleen het eigen systeem, maar ook PMS-systemen, channel managers, boekingsmodules, betaalproviders, platforms en externe beheerders.

 

 

Cyberrisico raakt de voorkant van het hotel

Voor horecaondernemers is de vraag niet meer: “Zijn wij interessant genoeg voor hackers?” De praktijk laat zien dat cybercriminelen juist zoeken naar bruikbare gegevens. Een naam, e-mailadres, telefoonnummer, reserveringsdatum of betaalmoment kan al genoeg zijn om een gast overtuigend te benaderen. Daarmee wordt een datalek geen technisch probleem achter de schermen, maar een probleem aan de voorkant van het bedrijf: bij de gast, aan de balie, in de mailbox en uiteindelijk in het vertrouwen in het hotel. Digitale gastvrijheid vraagt dus om digitale weerbaarheid. Wie gasten online laat boeken, communiceren en betalen, moet ook kunnen laten zien dat veiligheid, vertrouwen en voorbereiding onderdeel zijn van de bedrijfsvoering.

 

 

Onze experts plannen graag een vrijblijvend advies gesprek

Hans Veerman

Specialist Brand, Transport & Aansprakelijkheid

Nieuws & inspiratie

Ontdek onze blogs voor inzichten, evenementen, whitepapers en succesverhalen

Success
Risicomanagement

Cybersecurity is geen project: zo voorkom je de eenmalige investeringskuil

Veel organisaties investeren serieus in cybersecurity. Er wordt multifactor-authenticatie ingevoerd, nieuwe beveiligingssoftware aangeschaft of een awarenesscampagne uitgerold. Dat zijn belangrijke stappen die bijdragen aan een veiligere organisatie.

Meer info
Risicomanagement

Werkgeversaansprakelijkheid is breder dan je denkt

Het begint vaak met een telefoontje. Een medewerker is gevallen. Er is iets misgegaan met een machine. Of er is een ongeluk gebeurd onderweg.

Meer info
Risicomanagement

Teken jij voor risico’s die je niet kunt dragen?

Contracten horen bij ondernemen. Offertes, inkoopvoorwaarden, algemene voorwaarden het zijn vaak documenten die je snel wilt afronden, zodat je door kunt met waar het écht om draait: je werk. Maar juist daar schuilt een risico. Want een handtekening lijkt misschien een formaliteit, terwijl je in werkelijkheid tekent voor verplichtingen die grote impact kunnen hebben op je organisatie.

Meer info
Risicomanagement

De eerste 72 uur na een cyberincident: waarom voorbereiding een strategische keuze is

Het begint vaak klein. Een medewerker die niet kan inloggen. Een systeem dat plotseling traag wordt. Of een melding die nét even anders voelt dan normaal. Wat in eerste instantie een technisch probleem lijkt, blijkt al snel iets anders te zijn. Serieuzer. Urgenter.

Meer info