Veiligheid maart 2026 · 4 minuten

Peppol en phishing: zo herken je nep-mails over mislukte facturen

Nu meer bedrijven verplicht aansluiten op Peppol, ruiken fraudeurs hun kans. De afgelopen maanden duiken er meldingen op van nep-mails die beweren dat een Peppol-factuur niet is afgeleverd. De mail vraagt je op een link te klikken om de factuur alsnog te bekijken of opnieuw te versturen.

Die link klopt niet. En die mail komt niet van je serviceprovider.

Hoe Peppol écht werkt

Peppol werkt via vier partijen. Je boekhoud- of ERP-pakket (C1) stuurt de factuur naar je eigen Access Point (C2). Dat Access Point zoekt het Access Point van de ontvanger op (C3) en stuurt de factuur veilig door. C3 bezorgt hem vervolgens in het systeem van de ontvanger (C4).

Nergens in dit proces krijgt de ontvanger een e-mail met een link. Facturen gaan rechtstreeks van systeem naar systeem, zonder tussenstop in een inbox.

Jouw software (C1) Jouw Access Point (C2) Access Point ontvanger (C3) Systeem ontvanger (C4)

Facturen reizen via beveiligde verbindingen tussen Access Points. Er zijn geen e-mails of links in dit proces.

De enige reden dat een factuur niet aankomt

Een factuur kan mislopen om twee redenen. Ofwel is het Access Point van de ontvanger (C3) tijdelijk niet bereikbaar. Ofwel klopt de registratie van de ontvanger in het Peppol-netwerk niet, en is er geen geldig document-type gekoppeld aan hun ontvangstadres.

In beide gevallen krijgt jouw Access Point (C2) een foutmelding terug. Je serviceprovider ziet dat, en lost het op. De ontvanger zelf krijgt geen melding via e-mail met een link om te klikken. Dat is niet hoe het netwerk werkt, en dat is ook nooit de bedoeling geweest.

Wat fraudeurs nu doen

Nu Peppol bekender wordt, sturen criminelen mails die doen alsof ze van een Access Point of Peppol-serviceprovider komen. De onderwerpregels lijken op het eerste gezicht legitiem, zoals "U heeft een factuur ontvangen via Peppol". In de mail staat een knop zoals "Open document" die naar een onbekende website leidt.

Dat is phishing. Het doel is je inloggegevens stelen, of malware installeren op je computer.

Phishingcampagnes nemen toe op momenten waarop regelgeving verandert. De uitrol van verplichte e-facturatie is daar een goed voorbeeld van. Veel mensen kennen Peppol nog niet goed genoeg om te weten wat wel en niet normaal is. Precies dat gebrek aan bekendheid is wat fraudeurs uitbuiten.

Hoe herken je een nep-mail?

  • Een onverwachte factuurmelding die je niet verwachtte
  • De opmaak of huisstijl van de mail klopt niet helemaal
  • De tekst is vaag, generiek of slecht geschreven
  • Er staat een knop of link om een document te "openen" of "bekijken"
  • Het e-mailadres van de afzender komt niet overeen met je eigen factuurplatform

Krijg je zo'n mail? Doe dit dan:

  1. Klik niet op de link
  2. Open de mail niet opnieuw
  3. Controleer je facturen via je eigen boekhoud- of factuurplatform
  4. Meld de mail bij je IT-afdeling of IT-dienstverlener

Hoe herken je een echte melding van je serviceprovider?

Je serviceprovider communiceert via je eigen boekhoudpakket of via een dashboard waarvoor je al bent ingelogd. Een legitieme melding over een mislukte Peppol-factuur:

Twijfel je? Bel je serviceprovider op het telefoonnummer van hun website. Niet op een nummer in de mail.

Voor IT-beheerders en implementatiepartners

Als je Peppol beheert voor meerdere entiteiten of klanten: wijs gebruikers proactief op deze fraudevorm. De technische realiteit is dat C2 nooit direct naar C4 communiceert. Iedere mail die beweert van "het Peppol-netwerk" te komen en vraagt om actie van de eindgebruiker, is verdacht.

Overweeg een interne FAQ of een korte instructie voor medewerkers die facturen verwerken. Dat kost weinig tijd en voorkomt een hoop ellende.

Peppol maakt facturatie veiliger en efficiënter. Maar zolang mensen het systeem niet goed kennen, blijft er ruimte voor misbruik. De beste bescherming is simpel: weet hoe het werkt, en weet dus ook wat er niet klopt.

Meer weten over hoe Peppol werkt?

Lees onze uitleg over het vier-hoeken model.

Wat is Peppol?