Mark JansenBooking.com heeft bevestigd dat onbevoegde derden toegang hebben gekregen tot boekingsgegevens van klanten wereldwijd — ook Nederlanders ontvingen in april 2026 een e-mail over een mogelijk datalek. Naam, e-mailadres, woonadres en telefoonnummer: al deze gegevens kunnen nu in verkeerde handen zijn.
Wat is er precies gebeurd bij Booking.com?
Het boekingsplatform meldt dat "onbevoegde derden" zijn binnengedrongen en toegang hebben gehad tot klantinformatie. Concreet gaat het om boekingsdetails, namen, e-mailadressen, fysieke adressen en telefoonnummers die zijn gedeeld met accommodaties. Booking.com stelt dat het probleem "inmiddels onder controle" is, maar weigert vragen te beantwoorden over het exacte tijdstip van de inbraak of het aantal getroffen klanten.
Dit datalek staat niet op zichzelf. In 2025 registreerde de Fraudehelpdesk maar liefst ruim 200 meldingen van Nederlanders die werden opgelicht via gehackte hotel-accounts op het platform, met een totaalschade van meer dan 65.000 euro — bijna drie keer zoveel als in 2024. De werkwijze is telkens hetzelfde: criminelen loggen in op hotelaccounts met gestolen wachtwoorden en sturen nep-betaalverzoeken via de officiële chatfunctie van Booking.com. Omdat het bericht via de échte hotelaccount komt, ziet het er volkomen legitiem uit.
Waarom zijn uw gegevens zo waardevol voor criminelen?
Een naam, e-mailadres en woonadres lijken onschuldig. Maar voor cybercriminelen zijn dit bouwstenen voor gerichte aanvallen, ook wel spear-phishing genoemd. Met uw boekingsgegevens weet een oplichter precies wanneer u op vakantie bent — en wanneer uw woning leeg staat. Met uw contactgegevens kunnen ze een overtuigende phishingmail of sms sturen die eruitziet als een betaalherinnering van uw hotel of van Booking.com zelf.
Lijsten met miljarden gelekte wachtwoorden circuleren op het darkweb. Als een hotel geen tweefactorauthenticatie gebruikt en een al eerder gelekt wachtwoord hergebruikt, kan een fraudeur relatief eenvoudig alle klantinformatie inzien. De fraudeur stuurt gasten die een kamer hebben geboekt een bericht, en dit bericht lijkt authentiek omdat reizigers vlak na het boeken vaak ook een welkomstbericht van datzelfde hotelaccount ontvangen.
"U kunt beter niet klikken," adviseert de Fraudehelpdesk — ook als het bericht afkomstig lijkt van een betrouwbaar platform. Twijfelt u? Neem dan rechtstreeks contact op met het hotel of met de klantenservice van Booking.com — nooit via een link in het bericht.
Drie stappen die een IT-expert u nu aanbeveelt
Een gecertificeerd IT-beveiligingsadviseur neemt bij een datalek als dit altijd drie directe maatregelen die u ook zelf kunt uitvoeren:
Stap 1 — Wachtwoorden direct wijzigen Verander onmiddellijk uw Booking.com-wachtwoord en gebruik een uniek, sterk wachtwoord van minimaal 14 tekens. Als u hetzelfde wachtwoord ook elders gebruikt — voor uw e-mail, bank of sociale media — wijzig die dan vandaag nog. Een wachtwoordmanager zoals Bitwarden of 1Password helpt u sterke, unieke wachtwoorden bij te houden zonder ze te hoeven onthouden.
Stap 2 — Tweefactorauthenticatie inschakelen Tweefactorauthenticatie (2FA) is de meest effectieve maatregel tegen accountovername. Zelfs als een crimineel uw wachtwoord heeft, kan hij niet inloggen zonder de tweede verificatiestap — een code via uw telefoon of een authenticator-app. Schakel 2FA in op Booking.com én op uw primaire e-mailaccount, want dat is de sleutel tot al uw andere accounts.
Stap 3 — Waakzaam blijven voor phishingberichten De komende weken zijn valse berichten in uw naam extra gevaarlijk, omdat criminelen weten dat u een boeking heeft uitstaan. Verwacht u een bericht van Booking.com, uw bank of uw hotel? Controleer altijd het exacte afzenderadres op spelfouten, klik nooit op links in e-mails maar typ de URL rechtstreeks in uw browser, en geef nooit uw bankgegevens in via een link die u heeft ontvangen.
Wat zegt de wet? Uw rechten als getroffen klant
Onder de Algemene Verordening Gegevensbescherming (AVG) is Booking.com verplicht een datalek te melden bij de Autoriteit Persoonsgegevens én getroffen gebruikers te informeren. Die meldingsplicht geldt als er een reëel risico bestaat op schade voor betrokkenen. Als u aantoonbare schade lijdt — financieel of anderszins — heeft u bovendien recht op schadevergoeding.
Bent u slachtoffer geworden van fraude via Booking.com? Doe dan aangifte bij de politie en meld het incident bij de Fraudehelpdesk. Vermoedt u identiteitsdiefstal? Informeer ook uw bank direct en vraag eventueel een kredietblokkering aan via het Centraal Meldpunt Identiteitsfraude.
Wanneer schakelt u een IT-expert in?
Veel Nederlanders wachten te lang met hulp zoeken na een datalek. Een gecertificeerde IT-beveiligingsexpert kan snel beoordelen of uw gegevens al zijn misbruikt, welke andere accounts en apparaten risico lopen, en welke technische én juridische stappen u het beste kunt nemen.
Een expert kan ook uw thuisnetwerk controleren, nagaan of uw e-mailaccount al is gecompromitteerd en u begeleiden bij het veiligstellen van uw digitale identiteit. Wacht niet tot het kwaad al is geschied.
Via Expert Zoom vindt u gecertificeerde IT-specialisten die u binnen 24 uur persoonlijk adviseren over uw digitale veiligheid na dit soort incidenten.
Een eerder datalek bij een ander bedrijf leidde eveneens tot gerichte oplichting van Nederlanders, zoals beschreven in ons artikel over het datalek bij Mall of the Netherlands en uw GDPR-rechten.
De kern: wat moet u nú doen?
Heeft u een e-mail ontvangen van Booking.com over een mogelijk datalek? Verander dan vandaag nog uw wachtwoord, schakel 2FA in en wees de komende weken extra alert op verdachte berichten. Meer informatie en het stappenplan voor slachtoffers van online oplichting via boekingsplatforms vindt u bij de Fraudehelpdesk.
Twijfelt u of uw digitale beveiliging op orde is? Een IT-beveiligingsexpert helpt u snel en gericht verder — voordat een datalek uitgroeit tot een financieel drama.
