Er was een tijd waarin phishing te herkennen was aan krom Nederlands, rare logo’s en een afzender die net niet klopte. Die tijd is voorbij. In 2026 schrijft AI een betaalverzoek in de toon van je leverancier, vat het eerdere mailverkeer samen en kan zelfs een stem nabootsen die klinkt als je directeur, klant of projectleider. Voor Nederlandse ondernemers is dat geen sciencefiction meer, maar een nieuw bedrijfsrisico aan het einde van een gewone werkdag.
Dit artikel is voor mkb-eigenaren, office managers, boekhouders en teamleiders die geen security-afdeling hebben, maar wel betalingen, klantdata en leveranciersrelaties moeten beschermen. De oplossing is niet om iedereen wantrouwig te maken. De oplossing is een vast protocol dat zo simpel is dat mensen het gebruiken wanneer de druk hoog is.
TL;DR: het betaalprotocol in 7 regels - Elk nieuw bankrekeningnummer wordt via een tweede kanaal gecontroleerd. - Spoedbetalingen boven 500 euro krijgen altijd een menselijke tweede check. - Stem- of videoberichten tellen niet als bewijs zonder terugbelactie. - Terugbellen gebeurt via een bekend nummer uit je eigen administratie, niet via het bericht. - Afwijkingen in bedrag, timing of begunstigde gaan naar een wachtrij. - Medewerkers mogen een betaling pauzeren zonder schuldgevoel. - Elke verdachte poging wordt gelogd, ook als er niets is betaald.
Waarom AI-phishing juist het mkb raakt Grote bedrijven hebben vaak functiescheiding, detectiesoftware en vaste betaalstraten. Kleine bedrijven hebben snelheid, vertrouwen en korte lijntjes. Precies dat maakt ze wendbaar, maar ook kwetsbaar. Een leverancier appt de eigenaar. Een projectleider stuurt een betaalverzoek. Een klant vraagt om een gewijzigde factuur. In een klein team voelt dat normaal, omdat iedereen elkaar kent.
AI maakt misbruik van die normaliteit. Een aanvaller hoeft geen perfecte hacker te zijn. Hij hoeft alleen openbare informatie te verzamelen: LinkedIn-profielen, recente projecten, websites, reviews, vacatures en soms gelekte e-mailadressen. Daarna kan een taalmodel een bericht schrijven dat past bij de sector, de relatie en de druk van het moment. De oude reflex “dit klinkt nep” werkt daardoor minder goed.
De nieuwe rode vlag is niet taalfout, maar contextbreuk Leer je team niet alleen zoeken naar spelfouten. Zoek naar contextbreuken. Waarom moet deze betaling vandaag? Waarom verandert het rekeningnummer net nu? Waarom komt het verzoek via WhatsApp terwijl de leverancier normaal mailt? Waarom vraagt iemand om geheimhouding? Waarom is er ineens haast terwijl het project al weken loopt?
Een contextbreuk is elk element dat afwijkt van het normale patroon. Dat kan klein zijn: een ander tijdstip, een andere toon, een onbekend bestandstype of een betaalverzoek net onder de interne autorisatiegrens. Zet die signalen op één A4. Hang ze niet op als angstposter, maar verwerk ze in het betaalproces.
Het terugbelprotocol: saai, kort en ijzersterk De kernregel is eenvoudig: bij twijfel bel je terug via een nummer dat je al kende vóór het verzoek binnenkwam. Niet via de handtekening in de mail. Niet via het nummer in WhatsApp. Niet via een link in een portaal. Je opent je CRM, boekhoudpakket, leverancierskaart of eerder gevalideerde contactlijst en gebruikt dat nummer.
Het gesprek hoeft geen verhoor te zijn. Zeg: “We hebben een wijziging ontvangen voor betaling of bankrekening. Volgens ons protocol controleren we dat even via dit nummer.” Echte leveranciers vinden dat meestal professioneel. Fraudeurs verliezen juist hun voordeel, omdat ze de controle over het kanaal kwijt zijn.
Maak bedragen en situaties concreet Een protocol zonder drempels wordt willekeurig toegepast. Kies daarom duidelijke grenzen. Bijvoorbeeld: boven 500 euro altijd tweede check bij nieuwe begunstigde, boven 2.500 euro altijd eigenaar of financieel verantwoordelijke erbij, en bij elk bankrekeningnummer dat voor het eerst wordt gebruikt altijd terugbellen. Pas de bedragen aan je bedrijf aan, maar schrijf ze op.
Maak daarnaast risicosituaties concreet. Nieuwe leverancier, gewijzigde IBAN, buitenlandse rekening, spoed, vooruitbetaling, crypto, cadeaubonnen, verzoek buiten kantooruren en betaling vlak voor weekend of vakantie. Juist die lijst voorkomt discussie op het moment dat iemand druk voelt.
Stemklonen: vertrouw niet op herkenning alleen Stemklonen verandert het spel, omdat mensen sterk reageren op herkenning. Als je denkt dat je je directeur hoort zeggen “maak dit snel over”, wil je helpen. Maar een stemfragment bewijst in 2026 minder dan vroeger. Dat betekent niet dat je iedere opname moet wantrouwen. Het betekent dat audio geen vrijstelling krijgt van het protocol.
Spreek intern af dat stem- en videoberichten bij betaalverzoeken nooit zelfstandig genoeg zijn. Gebruik een controlevraag die niet uit openbare informatie te halen is, of beter: bel terug via een bekend nummer. Maak het sociaal normaal om te zeggen: “Ik bel je even terug volgens afspraak.” Dan voelt controle niet als wantrouwen, maar als teamdiscipline.
Bouw een betaalpauze in zonder gezichtsverlies Fraude werkt vaak met schaamte en urgentie. Medewerkers zijn bang om lastig te zijn, dom over te komen of een directeur tegen te spreken. Daarom moet je expliciet toestemming geven om te pauzeren. Een goede zin is: “Iedereen mag een betaling stoppen of uitstellen als het verzoek afwijkt. Liever 30 minuten vertraging dan één dure fout.”
Zet dit in je onboarding en herhaal het maandelijks kort. Niet als lange securitytraining, maar als werkafspraak. Een team dat weet dat pauzeren wordt beloond, zal eerder aan de bel trekken. Dat is precies wat je wilt.
Praktijkvoorbeeld: de bijna-fout op vrijdagmiddag Een technisch mkb-bedrijf kreeg op vrijdag om 16:42 een mail die leek te komen van een vaste leverancier. De factuur was logisch, het projectnummer klopte en de toon was vriendelijk. Alleen het rekeningnummer was gewijzigd en er stond bij dat betaling vandaag nog nodig was om levering op maandag veilig te stellen. Vroeger was dit waarschijnlijk doorgezet.
Met het nieuwe protocol viel de mail in twee rode vlaggen: nieuw IBAN en spoed voor weekend. De office manager belde het bekende nummer uit de leverancierskaart. De echte leverancier wist van niets. De betaling werd niet gedaan, de mail ging naar de accountant en de leverancier waarschuwde andere klanten. De tijdsinvestering was 8 minuten. De besparing had makkelijk 9.000 euro kunnen zijn.
Gebruik AI defensief, maar vertrouw niet blind op tools AI kan ook helpen. Moderne mailbeveiliging herkent patronen, verdachte links en afwijkende afzenders beter dan klassieke filters. Boekhoudsoftware kan dubbele facturen, vreemde rekeningnummers en afwijkende bedragen signaleren. Maar tools zijn geen vervanging voor afspraken. Een slimme aanvaller mikt juist op het stukje proces waar software niet beslist: het menselijke akkoord.
Gebruik technologie daarom als vangnet, niet als excuus. Zet multifactor-authenticatie aan, beperk rechten in boekhoudsoftware, test back-ups en geef niet iedereen betaalrechten. Maar hou het terugbelprotocol als laatste menselijke rem. Die combinatie is sterk: techniek filtert veel, mensen stoppen de rest.
De 30-minuten implementatie Begin vandaag met één document. Schrijf bovenaan: “Betaalverzoeken en rekeningwijzigingen controleren we altijd buiten het aangeleverde kanaal om.” Voeg drempelbedragen toe, noem wie tweede controle mag doen en zet er drie voorbeeldzinnen bij voor terugbellen. Deel het in Teams, Slack, WhatsApp of op papier bij de administratie.
Plan daarna één oefening. Stuur een fictief verzoek naar het team en vraag: wat doe je? Niet om mensen te testen, maar om te zien of de afspraak duidelijk is. Verbeter het document op basis van echte vragen. Na 30 dagen kijk je hoeveel betaalverzoeken zijn gepauzeerd, hoeveel rekeningwijzigingen zijn gecontroleerd en of iedereen het bekende leveranciersnummer kan vinden.
Conclusie AI-phishing en stemklonen maken fraude geloofwaardiger, maar ze maken ondernemers niet machteloos. De beste verdediging is een vaste routine die sterker is dan haast: terugbellen via een bekend nummer, tweede check bij afwijkingen, duidelijke drempels en toestemming om te pauzeren. Maak het protocol saai genoeg om dagelijks te gebruiken. Precies daardoor wordt het krachtig.
Direct toepasbare prompt
"Geef me een praktische aanpak voor [probleem] voor een Nederlands mkb-bedrijf. Houd het kort, met concrete stappen en voorbeeldtekst."