Je opent je laptop aan de keukentafel, neemt een slok koffie en werkt snel je mailbox bij. Een vaste leverancier stuurt een herziene factuur met een nieuw rekeningnummer. Zonder er verder bij stil te staan, voer je de betaling uit via je bankieren-app. Pas dagen later ontdek je dat je honderdduizenden euro’s hebt overgemaakt naar een criminele bende. Dit overkwam recent een mediabedrijf dat ruim vier ton verloor, waarna een bittere juridische strijd met de bank begon. Wij duiken in de uitspraak van de rechter en leggen uit wat dit betekent voor jou als thuiswerkende professional of ondernemer.
Wanneer je vanuit huis werkt, ben je zelf verantwoordelijk voor de digitale veiligheid van je onderneming of werkplek. Er is geen IT-afdeling die over je schouder meekijkt en geen collega aan het bureau naast je om even snel een afwijkend rekeningnummer mee te dubbelchecken. De vraag die veel thuiswerkers ons stellen is dan ook simpel. Als ik erin tuip, dekt de bank dan mijn schade? Het eerlijke en harde antwoord luidt vrijwel altijd nee. Wij leggen je uit hoe de wetgeving in elkaar zit en, nog belangrijker, hoe je jouw geld veiligstelt.
Waarom de bank vrijwel nooit aansprakelijk is voor jouw verkeerde overboeking
In een spraakmakende rechtszaak bij de rechtbank Amsterdam eiste een gedupeerd bedrijf dat ING de schade van bijna 419.000 euro zou vergoeden. De oplichters hadden via een vervalste e-mail het geld naar een Nederlandse ING-rekening laten sturen, waarna het razendsnel werd doorgesluisd naar het buitenland. De gedupeerde partij stelde dat de bank haar zorgplicht had geschonden. Een bedrag van deze omvang, afkomstig uit het buitenland en direct weer doorgeboekt, had toch alarmbellen moeten laten rinkelen bij de fraudesystemen van de bank?
De rechter oordeelde echter in het voordeel van de bank. Het juridische sleutelwoord hier is subjectieve wetenschap. Dit betekent dat de bank pas hoeft in te grijpen op het moment dat er bij een echte medewerker concrete kennis is van fraude. Pas toen het slachtoffer zelf de bank belde om aan de bel te trekken, ontstond die wetenschap. Dat automatische systemen voor transactiemonitoring wellicht een risicoscore afgaven, is voor de wet niet voldoende om de bank aansprakelijk te stellen voor jouw fout.
De grens van de bijzondere zorgplicht
Banken hebben absoluut een maatschappelijke taak en een bijzondere zorgplicht. Ze moeten witwassen voorkomen (volgens de Wwft) en verdachte transacties monitoren. Maar deze wetgeving is er primair om het financiële systeem te beschermen, niet om te fungeren als een gratis verzekering voor ondernemers of werknemers die een factuur niet goed controleren. Je kunt niet blind vertrouwen op de algoritmes van je bank om een betaling naar een oplichter te blokkeren.
Zonder IT-afdeling ben jij de kritische poortwachter. Check, dubbelcheck: jouw waakzaamheid beschermt tegen fraude.
— Jordy de Wolde
Hoe criminelen inspelen op de kwetsbaarheid van de thuiswerker
Factuurfraude en social engineering werken zo goed omdat criminelen inspelen op menselijke automatismen. Zeker in een thuiswerk-setting zijn we kwetsbaar. Je wordt afgeleid door de deurbel, je beantwoordt tussendoor een appje en je wilt je administratie het liefst zo snel mogelijk afronden zodat je verder kunt met je echte werk. Criminelen weten dit. Ze hacken mailboxen van leveranciers, wachten het juiste moment af en sturen een factuur die er tot op de pixel nauwkeurig uitziet als het origineel, inclusief de juiste handtekening en tone-of-voice.
Daarnaast maken we thuis vaker gebruik van privé-apparatuur of netwerken die minder streng beveiligd zijn dan kantoornetwerken. Dit maakt het onderscheppen van data eenvoudiger. Het loont daarom altijd om kritisch te kijken naar je netwerkbeveiliging en het gebruik van een betrouwbare VPN verbinding te overwegen wanneer je met gevoelige financiële data werkt.
Aanbevolen producten
Concrete stappen om factuurfraude vanuit je thuiskantoor te voorkomen
Omdat je de bank niet aansprakelijk kunt stellen, ligt de bal volledig bij jou. Wij adviseren elke thuiswerker en ondernemer om een keihard protocol voor zichzelf op te stellen als het gaat om uitgaande betalingen. Dit bespaart je niet alleen een hoop stress, maar beschermt ook de liquiditeit van je onderneming of de bankrekening van je werkgever.
- Bel altijd de leverancier bij wijzigingen: Krijg je een e-mail dat het rekeningnummer is gewijzigd? Geloof de e-mail nooit blind. Bel de leverancier op een telefoonnummer dat je al in je administratie had staan (gebruik nooit het nummer uit de verdachte e-mail) en verifieer de wijziging mondeling.
- Voer het vierogenprincipe in: Zit je alleen thuis? Spreek met een collega of zakenpartner af dat betalingen boven een bepaald bedrag altijd door twee personen digitaal moeten worden goedgekeurd in de bankomgeving.
- Verander je communicatiekanalen: E-mail is een van de meest onveilige manieren om financiële gegevens te delen. Overweeg over te stappen op gesloten portalen om veilig te communiceren zonder eindeloos mailen en facturen direct in je boekhoudpakket in te laden.
- Controleer de afzender grondig: Kijk verder dan de weergavenaam in je mailprogramma. Klik op de naam van de afzender en controleer of het e-mailadres exact klopt. Een kleine afwijking (bijvoorbeeld @leverancier-nl.com in plaats van @leverancier.nl) is een directe rode vlag.
Wat je moet doen als je toch in de val bent getrapt
Zelfs de meest alerte thuiswerker kan een moment van onoplettendheid hebben. Als je erachter komt dat je geld hebt overgemaakt naar een fraudeur, telt werkelijk elke seconde. De reden dat de bank in de eerder genoemde rechtszaak de rekening kon blokkeren, was omdat er snel aan de bel werd getrokken. Volg direct dit stappenplan:
Neem onmiddellijk telefonisch contact op met de fraudeafdeling van je eigen bank. Doe dit niet via een chat of e-mail, maar zorg dat je direct een medewerker spreekt. Vraag hen om een spoedmelding (een Swift-bericht in internationale termen) te sturen naar de ontvangende bank om de fondsen te bevriezen. Hoe sneller dit gebeurt, hoe groter de kans dat het geld nog niet is doorgeboekt naar een ontraceerbare buitenlandse rekening. Doe daarnaast direct online of telefonisch aangifte bij de politie en verzamel alle e-mails en bewijsstukken in een apart dossier.
De impact van nieuwe wetgeving op jouw administratie
De overheid en de Europese Unie zitten gelukkig ook niet stil. Om dit soort fraude structureel tegen te gaan, verschuift de markt steeds meer van losse PDF-facturen naar gestructureerde data. Voor veel zelfstandigen en bedrijven wordt het binnenkort standaard om facturen digitaal via beveiligde netwerken (zoals Peppol) uit te wisselen. Dit systeem controleert de identiteit van de afzender en het ontvangende rekeningnummer vooraf.
Het is verstandig om je administratieve processen nu alvast hierop in te richten. Niet alleen voorkom je hiermee spookfacturen en frauduleuze PDF-bestanden, maar je bespaart ook aanzienlijk veel tijd met overtypen en handmatige controles. Wil je precies weten wat dit voor jouw thuiskantoor betekent? Lees dan alles over de naderende regels rondom verplichte e-facturatie voor ondernemers en hoe je jouw software hierop voorbereidt.
De keiharde les uit de rechtszaal is duidelijk. De rechtspraak beschermt banken zolang zij niet expliciet op de hoogte zijn gesteld van een misdrijf. Als thuiswerker, zzp'er of financieel medewerker op afstand ben jij de enige echte firewall tussen het geld en de oplichter. Blijf scherp, controleer wijzigingen altijd via een tweede kanaal en automatiseer je veiligheid waar mogelijk. Zo houd je jouw focus op je werk en geef je factuurfraude geen enkele kans.
