Op een donderdagmiddag om 16:47 komt er een Teams-bericht binnen. De naam klopt, de toon klopt, zelfs de haast klinkt vertrouwd: ‘Kun je deze leverancier vandaag nog betalen? Ik zit in overleg, bel me niet.’ Vroeger zou je nog letten op kromme zinnen of rare afzenders. In 2026 is dat niet genoeg meer. AI-phishing schrijft beter Nederlands dan veel mensen, gebruikt context uit LinkedIn en kan met deepfake-audio zelfs een stem nadoen.
Dit artikel is voor Nederlandse ondernemers, administrateurs en kleine teams die geen security-afdeling hebben, maar wel betalingen doen, leveranciers vertrouwen en elke week onder tijdsdruk werken. De oplossing is niet om iedereen wantrouwig te maken. De oplossing is een vast betaalprotocol dat sterker is dan haast.
TL;DR: voorkom AI-betaalfraude met vaste frictie - Behandel spoedbetalingen standaard als hoog risico. - Verifieer betaalverzoeken boven een grensbedrag altijd via een tweede kanaal. - Gebruik een vier-ogen-principe voor nieuwe IBAN’s en gewijzigde betaalgegevens. - Leg uitzonderingen vast in een betaalregister, niet in losse chatberichten. - Train je team op 5 herkenbare AI-phishingpatronen en test maandelijks met echte voorbeelden.
Waarom AI-phishing anders voelt dan oude phishing De klassieke phishingmail was vaak te herkennen aan slordigheid. Een fout logo, een vreemde aanhef, een domeinnaam met één letter verschil. AI haalt die signalen grotendeels weg. Een aanvaller kan een nette mail schrijven in de stijl van je leverancier, verwijzen naar een lopend project en precies de woorden gebruiken die jouw branche normaal vindt.
Daar komt sociale druk bij. Veel mkb-bedrijven draaien op vertrouwen en korte lijnen. Een boekhouder wil de directeur helpen. Een projectleider wil een leverancier niet laten wachten. Een zzp’er wil geen gedoe met een belangrijke klant. Fraudeurs gebruiken die normale werkcultuur als ingang. AI maakt het schaalbaar en geloofwaardig.
Het gevaar zit niet alleen in techniek. Het zit in momenten waarop mensen afwijken van hun routine: vlak voor sluitingstijd, tijdens vakantie, rond btw-deadlines, bij een nieuwe leverancier of wanneer iemand zegt dat bellen ‘nu echt niet kan’. Je protocol moet juist voor die momenten ontworpen zijn.
Het betaalprotocol: 7 regels die niet afhankelijk zijn van onderbuikgevoel Een goed protocol is kort genoeg om te volgen en streng genoeg om nuttig te zijn. Begin met zeven regels die iedereen kent. Regel 1: geen betaling op basis van één kanaal. Een mail, WhatsApp of Teams-bericht kan een aanleiding zijn, nooit het volledige bewijs.
Regel 2: nieuwe of gewijzigde betaalgegevens krijgen altijd tweede controle. Als een leverancier een nieuw IBAN doorgeeft, controleer je dat via een bekend telefoonnummer of portaal, niet via het nummer in de verdachte mail. Regel 3: spoed verhoogt het risiconiveau. Hoe harder iemand duwt, hoe rustiger het proces moet worden.
Regel 4: bedragen boven een afgesproken grens krijgen vier ogen. Voor een klein team kan dat al vanaf 500 euro zijn; voor een groter bedrijf misschien vanaf 2.500 euro. Kies een grens die past bij je cashflow. Regel 5: uitzonderingen worden vastgelegd met datum, reden en verantwoordelijke.
Regel 6: betaalbestanden worden niet aangepast op basis van chat. Wijzigingen horen in je boekhoudpakket, bankomgeving of ticketproces. Regel 7: bij twijfel is vertragen toegestaan. Een echte leverancier accepteert een extra controle. Een fraudeur probeert die controle te breken.
Praktijkvoorbeeld: de bijna-betaling van 3.800 euro Stel: een installatiebedrijf met 18 medewerkers krijgt een mail van een vaste leverancier. De mail verwijst naar een openstaande factuur van 3.800 euro en meldt dat het bankrekeningnummer is gewijzigd door een fusie. De mail is netjes, de bijlage oogt professioneel en de afzender lijkt te kloppen.
Zonder protocol gaat dit naar de betaalmap. Met protocol gebeurt iets anders. De administratie markeert ‘nieuw IBAN’ en belt de leverancier via het nummer uit het eigen CRM. De leverancier weet van niets. De factuur blijkt nagemaakt op basis van een echte oude factuur. De controle kost 6 minuten en voorkomt directe schade.
Belangrijk: niemand hoefde heldhaftig phishing te herkennen. Het systeem ving de afwijking op. Dat is precies het doel. Je wilt niet afhankelijk zijn van de scherpte van één medewerker op een drukke dag.
De 30-minuten implementatie voor kleine teams Begin niet met een dik securityhandboek. Plan 30 minuten met iedereen die betalingen aanvraagt, goedkeurt of uitvoert. Schrijf op welke kanalen nu gebruikt worden: mail, WhatsApp, Teams, telefoon, boekhoudpakket, bank. Markeer waar betaalgegevens kunnen wijzigen. Dat zijn je risicopunten.
Kies daarna drie grensbedragen: normaal, verhoogd en kritiek. Bijvoorbeeld: tot 500 euro normale controle, 500 tot 2.500 euro tweede check, boven 2.500 euro twee goedkeuringen plus IBAN-verificatie. Voor sommige bedrijven moet dit lager. Het bedrag is minder belangrijk dan de consequentie.
Maak vervolgens één betaalchecklist van maximaal 10 regels. Zet die in je boekhoudproces, niet alleen in een document. Gebruik bijvoorbeeld een vaste notitie bij leverancierswijzigingen: ‘IBAN gecontroleerd via bekend nummer op datum X door persoon Y.’ Zo bouw je bewijs op zonder bureaucratie.
Train op scenario’s, niet op angst Securitytraining mislukt vaak omdat het voelt als een examen waarin mensen dom kunnen lijken. Draai het om. Gebruik scenario’s uit je eigen praktijk. Een spoedmail van de directeur. Een leverancier met nieuw IBAN. Een voicemail met nagemaakte stem. Een WhatsApp van een collega die zogenaamd in het buitenland zit.
Laat het team per scenario antwoorden op drie vragen: wat is de afwijking, welke tweede controle gebruiken we, en waar leggen we de uitkomst vast? Na 20 minuten weet iedereen meer dan na een generieke presentatie van 90 minuten. Herhaal dit maandelijks met één nieuw voorbeeld.
Besteed ook aandacht aan deepfake-audio. Spreek af dat een stem nooit genoeg bewijs is voor een betaling of datatranfer. Gebruik een terugbelregel: bel terug via een bekend nummer of vraag om bevestiging in het formele systeem. Een codewoord klinkt stoer, maar veroudert snel en lekt makkelijk. Proces wint van geheimtaal.
Tools die helpen, maar het proces niet vervangen MFA, e-mailfiltering, banklimieten en boekhoudrechten zijn waardevol. Zet multifactorauthenticatie aan op mail, bank, boekhouding en Microsoft 365 of Google Workspace. Beperk wie leveranciersgegevens mag aanpassen. Gebruik banklimieten zodat één fout niet direct maximale schade geeft.
Maar koop geen tool om een ontbrekend proces te verbergen. Als je team niet weet wat een gewijzigde IBAN betekent, helpt een dashboard weinig. Begin bij gedrag, voeg daarna techniek toe. De goedkoopste winst zit vaak in rechten opschonen en vaste goedkeuringsregels.
Checklist: je AI-phishing betaalprotocol - Eén overzicht van betaalrollen en goedkeuringsgrenzen - Tweede kanaal bij nieuwe IBAN’s, spoed en bedragen boven de grens - Vier-ogen-principe voor leverancierswijzigingen - MFA op mail, boekhouding en bank - Vast log voor uitzonderingen en controles - Maandelijkse scenario-oefening van 15 minuten - Jaarlijkse review van banklimieten en gebruikersrechten
FAQ ### Moet een zzp’er ook een betaalprotocol hebben? Ja, maar eenvoudiger. Gebruik minimaal de regel dat nieuwe betaalgegevens nooit op basis van één bericht worden overgenomen en dat bedragen boven je comfortgrens een wachttijd of tweede controle krijgen. ### Is bellen nog veilig bij deepfakes? Bellen blijft nuttig als je zelf terugbelt via een bekend nummer. Vertrouw niet op een inkomend telefoontje of voicemail als enige bewijs. ### Hoe voorkom je dat dit werk vertraagt? Maak de regels voorspelbaar. Als iedereen weet wanneer extra controle nodig is, kost het minder discussie en juist minder tijd.
Conclusie AI-phishing wint niet omdat ondernemers dom zijn. Het wint omdat normale werkdruk, vertrouwen en haast worden misbruikt. Een goed betaalprotocol haalt de emotie uit het moment. Niet elke medewerker hoeft fraude-expert te zijn; het proces moet de afwijking zichtbaar maken.
Begin vandaag met drie afspraken: geen betaling op één kanaal, altijd tweede controle bij nieuwe IBAN’s, en vier ogen boven je grensbedrag. Dat is geen paranoia. Dat is professioneel ondernemen in een tijd waarin nep steeds echter klinkt.
Direct toepasbare prompt
"Geef me een praktische aanpak voor [probleem] voor een Nederlands mkb-bedrijf. Houd het kort, met concrete stappen en voorbeeldtekst."