Het begon met een medewerker die op een link klikte. Een phishingmail, opgemaakt als interne inlogpagina na het overstappen op een nieuw PMS. Binnen enkele uren hadden hackers toegang tot het reserveringssysteem van meerdere hotels van een Nederlandse hotelketen. Namen, adressen, boekingsgegevens - alles inzichtelijk. De gestolen data werden direct ingezet om gasten op te lichten via valse betalingsverzoeken.
Ondertussen raakte een grote telecomprovider verwikkeld in wat inmiddels één van de grootste datalekken in de Nederlandse geschiedenis heet. Ruim 6,2 miljoen klantgegevens waaronder namen, IBAN-nummers, paspoortnummers, buitgemaakt door hackersgroep ShinyHunters. Geen losgeld betaald, dus publicatie op het dark web. De volledige database staat online.
Twee incidenten, twee sectoren, één boodschap: wie denkt dat dit ‘bij grote bedrijven’ gebeurt, vergist zich.
Waarom hotels structureel kwetsbaar zijn
Hotels combineren alles wat een cybercrimineel graag ziet: rijke gastdata, betaalsystemen, snel wisselend personeel onder operationele druk. Een PMS praat met een channel manager, die praat met OTA's, die praten met betalingsproviders, elk koppelpunt is een potentiële ingang. Hoe meer systemen verbonden zijn, hoe groter het aanvalsoppervlak. En dat aanvalsoppervlak groeit alleen maar.
De ingang bij de Nederlandse hotelketen was geen geavanceerd technisch lek. Het was een medewerker die op de verkeerde link klikte. Hospitality-data is niet alleen gevoelig, het is direct bruikbaar voor fraude. Dat maakt de sector aantrekkelijk, en dat weten hackers.
“Eén op de vijf Nederlandse bedrijven leed in 2024 schade door een cyberaanval. Bij grotere ondernemingen loopt dat op naar drie op de tien.”
De schade gaat verder dan de hack zelf
De hotelketen koos er eerst voor gasten niet te waarschuwen om onrust te voorkomen. Dat is juridisch riskant: de AVG verplicht bij hoog risico op misbruik tot melding bij de Autoriteit Persoonsgegevens binnen 72 uur én directe communicatie richting betrokkenen. Het gebrek aan transparantie kostte uiteindelijk meer vertrouwen dan het bewaarde.
Bij de telecomprovider: geen losgeld betaald, principieel, maar de consequentie was de publicatie van de volledige database. Paspoortnummers, IBAN-nummers, klantenservice-aantekeningen. De AP legt steeds hogere boetes op: in 2024 steeg het totaal van 180.000 euro naar 338,6 miljoen euro. Geen bedragen meer die alleen voor grote corporates gelden.
Wat kun je vandaag doen?
Geen enkele maatregel garandeert volledige bescherming. Maar dit verlaagt het risico significant:
- Train je team op phishing — structureel, niet eenmalig. De aanval begint bijna altijd bij een mens, niet een systeem.
- Beperk toegang op basis van rol. Een baliemedewerker heeft geen toegang nodig tot 6 miljoen klantprofielen - de telecomprovider leerde dat op de harde manier.
- Activeer MFA op alle systemen, zonder uitzondering. Elk account is een potentiële ingang.
- Maak een incident response plan vóórdat je het nodig hebt: wie belt wie, hoe informeer je gasten, wanneer schakel je de AP in?
- Controleer je leveranciers. Meer dan een kwart van alle Nederlandse cyberincidenten in 2024 was toe te schrijven aan derden.
Cybersecurity is geen IT-vraagstuk - het is een directievraagstuk
De grootste misvatting: cybersecurity is iets wat je uitbesteedt aan je IT-leverancier. Dat is het niet. De vraag is niet óf je een firewall hebt. De vraag is: wat gebeurt er morgenochtend als een medewerker op de verkeerde e-mail klikt? Wie belt wie? Hoe informeer je gasten? En ben je 72 uur later compliant?
Hotels investeren terecht in gastbeleving, revenue en duurzaamheid. Cybersecurity verdient een plek in datzelfde gesprek — niet als kostenpost, maar als voorwaarde om te blijven opereren.
“Wie wacht tot het misgaat, betaalt twee keer: één keer de schade, één keer de les.”
Patrick van der Wardt houdt zich als ‘The Hotel IT Guy’ bezig met technologiestrategieën voor hotels. Voor Hospitality Management schrijft hij de Hotel Tech Update.
Blijf op de hoogte!
Twee keer per week het actuele en relevante hotelnieuws in uw mailbox? Registreer hier voor onze gratis digitale nieuwsbrief en blijf op de hoogte.
