Groot datalek bij Eurocamp en Roan: dit betekent het voor jou

Gigantisch datalek bij vakantiebedrijven Eurocamp en Roan: wat je moet weten

Boek je je vakantie graag via Eurocamp of Roan, of heb je dat de afgelopen jaren gedaan? Dan is dit datalek iets waar je echt even bij stil moet staan.

Er zijn gegevens van minimaal duizenden Nederlanders buitgemaakt. Niet je bankrekening, wel genoeg informatie om het je flink lastig te maken als criminelen ermee aan de haal gaan.

In deze gids lopen we stap voor stap door wat er is gebeurd, wat het voor jou betekent en wat je nu concreet kunt doen om jezelf te beschermen.

Wat er precies is gelekt bij Eurocamp en Roan

Eurocamp en Roan hebben bevestigd dat er een groot datalek is geweest bij hun technische dienstverlener. Het probleem zat dus niet direct in hun eigen boekingssysteem, maar bij een externe partij die de techniek achter de schermen regelt.

Bij het lek zijn persoonsgegevens buitgemaakt van in elk geval duizenden Nederlanders. Het gaat om gegevens als namen, telefoonnummers, e-mailadressen, boekingsgegevens en de bedragen die je voor je vakantie hebt betaald.

Dat is precies het soort informatie waar oplichters blij van worden. Ze kunnen er geen geld mee van je rekening halen, maar ze kunnen je wel heel geloofwaardig benaderen.

Volgens de bedrijven zelf zijn bankgegevens, wachtwoorden en adresgegevens niet gelekt. Dat scheelt, maar het haalt het risico niet weg. Met je naam, contactgegevens en details over je vakantie kunnen criminelen nog steeds heel gericht te werk gaan.

Het lek werd officieel ontdekt op 17 maart. In eerste instantie leek het om een kleine groep gasten te gaan, vooral mensen die in maart zouden vertrekken.

Later bleek dat het probleem veel groter was en een bredere groep klanten raakt. Hoe lang de gegevens al toegankelijk waren voordat het werd ontdekt, is niet duidelijk gemaakt.

Hoe groot het probleem is en wie risico loopt

Eurocamp en Roan willen niet zeggen om hoeveel mensen het precies gaat. Ze houden het op “minimaal duizenden” Nederlanders. Dat is een ruime en ook wat vage omschrijving.

Privacydeskundige Brenno de Winter waarschuwt dat het aantal slachtoffers mogelijk kan oplopen tot in de miljoenen. Dat klinkt fors, maar is niet onlogisch als je bedenkt dat boekingssystemen vaak jaren aan data bewaren.

Alle getroffen gasten zouden per e-mail zijn geïnformeerd. Heb je de afgelopen jaren bij Eurocamp of Roan geboekt en nog geen mail gekregen, dan betekent dat niet automatisch dat je veilig bent.

E-mails verdwijnen soms in de spam of worden naar een oud adres gestuurd. Zeker als je ooit een ander mailadres hebt gebruikt of via iemand anders hebt geboekt, kan er makkelijk iets misgaan.

Heb je ooit via een ander gezin, familie of vrienden meegeboekt, dan kunnen jouw gegevens ook in het systeem staan. Je hoeft zelf nooit direct met Eurocamp of Roan te hebben gemaild om toch in de database te belanden.

Het risico is dus breder dan alleen de hoofdboeker. Ook medereizigers, kinderen, partners of vrienden kunnen in de gelekte gegevens voorkomen.

Hoe criminelen jouw vakantiedata misbruiken

De gestolen gegevens worden inmiddels actief misbruikt. Criminelen sturen klanten via WhatsApp een bericht met een betaallink. Die berichten voelen vaak verrassend echt.

Ze kunnen je naam noemen, je vakantiepark, je vertrekdatum of het bedrag van je boeking. Daardoor lijkt het net alsof het bericht echt van Eurocamp of Roan komt.

Eurocamp zegt zelf dat ze nooit via WhatsApp om betalingen of gevoelige informatie vragen. Krijg je dus een appje over een openstaande betaling of een wijziging in je boeking, dan kun je er eigenlijk meteen van uitgaan dat het nep is.

Met de combinatie van naam, e-mailadres, telefoonnummer en boekingsdetails kunnen oplichters heel geloofwaardige verhalen ophangen. Denk aan teksten als “er is iets misgegaan met je aanbetaling” of “je moet toeristenbelasting nog vooraf betalen om je reservering te houden”.

Ook je e-mailadres is interessant. Daarmee kunnen criminelen phishingmails sturen die lijken te komen van Eurocamp, Roan, je bank of een pakketdienst. Hoe meer ze over je weten, hoe makkelijker het wordt om je te laten klikken op een foute link.

Daarnaast kunnen ze je gegevens doorverkopen aan andere criminelen. Jouw data kan dan op meerdere plekken opduiken, ook maanden later nog.

Wat je nu direct zelf kunt doen

Je kunt het datalek zelf niet terugdraaien, maar je kunt wel zorgen dat de schade beperkt blijft. Het begint met bewuster omgaan met berichten over je vakantie en betalingen.

Gebruik deze checklist om jezelf nu direct beter te beschermen:

• Check alle recente mails en apps over je vakantie bij Eurocamp of Roan en kijk kritisch naar afzender en inhoud.
• Klik niet zomaar op links in berichten over betalingen of wijzigingen in je boeking.
• Ga zelf naar de officiële website via je eigen bookmark of door het adres handmatig in te typen.
• Log in op je account om te controleren of er echt iets openstaat of gewijzigd moet worden.
• Bel het officiële nummer van Eurocamp of Roan als je twijfelt, en gebruik het nummer dat op hun website staat.
• Controleer je spamfolder op mogelijke mails van Eurocamp of Roan over het datalek.
• Houd je bankrekening extra in de gaten op onverwachte afschrijvingen of betalingen.

Twijfel je over een bericht, reageer dan niet via de link of het telefoonnummer in dat bericht. Zoek zelf de contactgegevens op en neem van daaruit contact op.

Verwijder verdachte berichten niet meteen, maar maak eerst een screenshot. Die kun je gebruiken als je melding wilt doen bij de politie of bij de Fraudehelpdesk.

Herken nepberichten over je vakantie

Nepberichten worden steeds beter, maar er zijn nog steeds signalen waar je op kunt letten. Zeker nu je weet dat jouw gegevens mogelijk in omloop zijn, is het handig om die signalen paraat te hebben.

Let bijvoorbeeld op de toon van het bericht. Oplichters zetten vaak druk: je moet “nu meteen” betalen, anders vervalt je boeking of krijg je een boete.

Ook de manier van betalen is een aanwijzing. Een betaalverzoek via WhatsApp of een vage link naar een onbekende betaalpagina is een grote rode vlag.

Let op deze punten bij elk bericht over je vakantie:

• Controleer het afzenderadres van e-mails. Een vreemde domeinnaam of rare toevoegingen zijn verdacht.
• Let op spelfouten en kromme zinnen. Niet elk nepbericht zit vol fouten, maar het komt nog vaak voor.
• Kijk naar de aanhef. Een algemene aanhef als “Beste klant” terwijl het bedrijf je naam heeft, is verdacht.
• Check de link door er met je muis op te gaan staan (niet klikken) en te kijken naar het echte webadres.
• Wees extra alert op betaalverzoeken die je niet zelf hebt aangevraagd.
• Vergelijk het bericht met eerdere officiële mails van Eurocamp of Roan. Ziet het er anders uit, dan is dat een signaal.

Word je gebeld door iemand die zegt van Eurocamp of Roan te zijn, hang dan op en bel zelf terug via het nummer op de officiële website. Zo voorkom je dat je in een telefoongesprek wordt meegesleurd.

Stuur verdachte berichten niet door naar vrienden of familie, ook niet “ter info”, zonder er duidelijk bij te zetten dat je het niet vertrouwt. Anders help je onbedoeld mee aan de verspreiding.

Waarom dit soort datalekken steeds vaker voorkomen

Eurocamp is onderdeel van European Camping Group en biedt op meer dan 400 campings in landen als Frankrijk, Spanje en Italië ruim 45.000 accommodaties aan. Dat betekent: heel veel klanten, heel veel boekingen en dus ook heel veel data.

Steeds meer bedrijven werken met externe technische dienstverleners voor hun boekingssystemen, betalingen en klantendata. Dat is handig, maar het betekent ook dat jouw gegevens langs meerdere partijen gaan.

Hoe meer schakels, hoe groter de kans dat er ergens iets misgaat. Een fout, een slecht beveiligde server of een medewerker die op een verkeerde link klikt, en er ligt ineens een enorme berg klantgegevens op straat.

We zagen het eerder al bij grote datalekken, zoals bij telecomprovider Odido. Daar werden gegevens van meer dan 6 miljoen accounts buitgemaakt, inclusief namen, adressen, rekeningnummers en identificatienummers.

Ook voetbalclub Ajax werd geraakt, waarbij gegevens van meer dan 300.000 supporters konden worden ingezien en zelfs seizoenskaarten konden worden gestolen. Het laat zien dat het probleem niet beperkt is tot webshops of banken.

Het patroon is duidelijk: bedrijven verzamelen veel data en bewaren die vaak langer dan nodig. Als er dan een lek ontstaat, is de impact meteen groot.

Voor jou als klant voelt het alsof je geen controle hebt, terwijl het wel om jouw gegevens gaat. En dat gevoel is eerlijk gezegd terecht.

Hoe je jezelf in de toekomst beter kunt beschermen

Je kunt niet voorkomen dat een bedrijf wordt gehackt, maar je kunt wel slimmer omgaan met je eigen gegevens. Hoe minder je deelt, hoe minder er kan lekken.

Vul bij boekingen alleen in wat echt nodig is. Vraagt een formulier om extra info die niet logisch voelt, dan kun je je afvragen of je dat wel wilt delen.

Je kunt ook bewuster omgaan met welke gegevens je waar gebruikt. Veel mensen gebruiken overal hetzelfde e-mailadres en hetzelfde telefoonnummer, maar je kunt dat slimmer aanpakken.

Een paar praktische stappen die je kunt nemen:

1. Gebruik een apart e-mailadres voor webshops, boekingen en nieuwsbrieven, naast je privéadres.
2. Geef alleen je mobiele nummer als dat echt nodig is, en sla vaste nummers over als het kan.
3. Laat optionele velden leeg als er niet duidelijk bij staat waarom die informatie nodig is.
4. Verwijder oude accounts bij diensten die je niet meer gebruikt, zodat daar minder data blijft hangen.
5. Vraag om verwijdering van je gegevens bij bedrijven waar je nooit meer iets boekt of koopt.

Let ook op met het hergebruiken van wachtwoorden, ook al zijn die in dit geval niet gelekt. Als ergens anders een wachtwoord uitlekt, kunnen criminelen dat alsnog koppelen aan het e-mailadres dat bij dit soort lekken op straat komt te liggen.

Stel waar mogelijk extra beveiliging in, zoals tweestapsverificatie bij je e-mail, cloudopslag en bank. Als iemand dan toch probeert in te loggen met gegevens die via een datalek zijn buitgemaakt, lopen ze vast op die extra stap.

Wat je mag verwachten van Eurocamp, Roan en andere bedrijven

Eurocamp heeft in een informatiemail aan slachtoffers excuses aangeboden en zegt dat de bron van het incident bij de partner is gevonden en geblokkeerd. Dat klinkt netjes, maar jij zit nog steeds met het risico dat jouw gegevens rondzwerven.

Je mag van bedrijven verwachten dat ze snel en duidelijk communiceren bij een datalek. Dus: wat is er precies gelekt, in welke periode, wat doen ze eraan en wat raden ze jou concreet aan om te doen.

Vage termen als “een incident” of “een beperkte groep klanten” helpen je niet verder. Je wilt weten of jij erbij zit, welke gegevens het zijn en wat het risico is.

Ook mag je verwachten dat bedrijven kritisch kijken naar hun externe partners. Als jouw gegevens via een technische dienstverlener lekken, is dat voor jou niet minder vervelend dan een lek in het eigen systeem.

De verantwoordelijkheid voor jouw data blijft in de basis bij het bedrijf waar je boekt. Het is niet jouw taak om uit te zoeken welke onderaannemer er precies is gebruikt.

Zie je dat een bedrijf weinig informatie deelt, of vooral bezig is met reputatieschade beperken, dan is dat een signaal. Je kunt er dan voor kiezen om de volgende keer ergens anders te boeken of minder gegevens te delen.

Je stemt uiteindelijk met je portemonnee én met je data. Bedrijven die zorgvuldig met je gegevens omgaan en open zijn als het misgaat, verdienen op de lange termijn meer vertrouwen dan partijen die alles wegmoffelen.

Wat je kunt doen als je gegevens zijn misbruikt

Merk je dat je ondanks je oplettendheid toch in een nepbericht bent getrapt, dan is het belangrijk om snel te handelen. Hoe eerder je erbij bent, hoe groter de kans dat je de schade beperkt.

Heb je op een foute link geklikt en gegevens ingevuld, verander dan direct je wachtwoorden op de betrokken diensten. Begin bij je e-mail en bank, en daarna bij andere belangrijke accounts.

Heb je geld overgemaakt naar een rekening uit een nepbericht, neem dan meteen contact op met je bank. Leg uit wat er is gebeurd en vraag of de betaling nog kan worden teruggedraaid of geblokkeerd.

Daarnaast kun je melding doen bij de politie en bij de Fraudehelpdesk. Hoe meer meldingen er binnenkomen, hoe beter duidelijk wordt hoe criminelen te werk gaan.

Bewaar mails, screenshots en betaalbewijzen. Die kunnen later helpen als er een onderzoek komt of als je schade wilt verhalen.

Vertel ook mensen in je omgeving wat er is gebeurd. Niet om jezelf te veroordelen, maar zodat zij alerter zijn als ze zelf een vergelijkbaar bericht krijgen.