Documentvervalsing detectie API: integratiegids 2026
Integreer een API voor documentfraude detectie in uw verificatieworkflows. OAuth 2.0 authenticatie, endpoints, webhooks, betrouwbaarheidsscores en AVG/Wwft-naleving.
Dit artikel samenvatten met
ChatGPT
Claude
Perplexity
Gemini
GrokEen documentvervalsing detectie API is een programmatische interface die organisaties in staat stelt om ingediende documenten — identiteitsbewijzen, loonstrookjes, bankafschriften, contracten — automatisch te analyseren op tekenen van vervalsing, manipulatie of AI-generatie. In 2026 is deze technologie geen luxe meer maar een operationele noodzaak: de combinatie van generatieve AI-tools en grensoverschrijdende onlinediensten heeft de drempel voor documentfraude drastisch verlaagd.
Instellingen die vallen onder de Wet ter voorkoming van witwassen en financieren van terrorisme (Wwft) zijn wettelijk verplicht om de identiteit van cliënten te verifiëren en ongebruikelijke transacties te melden. Het handmatig naleven van deze verplichting is niet alleen arbeidsintensief maar ook structureel onbetrouwbaar. Door een detectie-API te integreren in bestaande verificatieworkflows kunnen compliance-teams fraudesignalen programmatisch verwerken, audittrails automatisch aanmaken en menselijke capaciteit reserveren voor risicobeslissingen die genuanceerd oordeel vereisen.
Deze gids behandelt de technische architectuur, kernendpoints, responsparsering en regelgevende vereisten voor ontwikkelaars en technisch verantwoordelijken die een documentvervalsing detectie API willen integreren in productie-omgevingen.
Dit artikel is uitsluitend bedoeld voor informatieve doeleinden en vormt geen juridisch, financieel of regelgevend advies.
Waarom een documentfraude detectie API integreren?
Een documentfraude detectie API automatiseert de detectie van vervalste, gemanipuleerde of AI-gegenereerde documenten die anders onopgemerkt zouden passeren door handmatige verificatiestappen. Manuele controle bereikt slechts een detectierate van 37 procent op gemanipuleerde documenten, aldus het ACFE Report to the Nations 2024. Tegelijkertijd rapporteerde PwC's Global Economic Crime Survey 2025 dat 69 procent van de ondervraagde organisaties het afgelopen jaar slachtoffer werd van ten minste één vorm van fraude. Documentvervalsing was daarbij een van de meest voorkomende vectoren bij aanvragen voor financiële producten en bij KYC-onboarding.
Vanuit regelgevend perspectief hanteert De Nederlandsche Bank (DNB) strikte richtlijnen voor instellingen die onder de Wwft vallen. Banken, kredietverstrekkers, verzekeringsmaatschappijen en accountantskantoren zijn verplicht cliëntenonderzoek (CDD) uit te voeren, waaronder identiteitscontrole op basis van betrouwbare en onafhankelijke bronnen. De Autoriteit Financiële Markten (AFM) houdt toezicht op de naleving van antiwitwasregels bij financiële dienstverleners en kan handhavend optreden bij tekortkomingen in het klantenonderzoek.
Een API-gebaseerde aanpak biedt drie directe voordelen ten opzichte van handmatige verificatie of losstaande softwaretools. Ten eerste verwerkt de API documenten in milliseconden, waardoor onboardingprocessen niet vertragen. Ten tweede genereert elke API-aanroep automatisch een gestructureerd auditlogboek, wat essentieel is voor het aantonen van Wwft-naleving bij een toezichthoudercontrole. Ten derde schaalt de capaciteit mee met het volume van inkomende aanvragen zonder dat het personeelsbestand hoeft te worden uitgebreid.
Zie ook de volledige gids over automatisering van verificatieworkflows voor een breder overzicht van automatiseringsstrategieën binnen compliance-omgevingen.
Technische architectuur: hoe API-integratie werkt
De integratie verloopt via een REST API over HTTPS met OAuth 2.0 client credentials flow voor machine-naar-machine-authenticatie. De clienttoepassing wisselt een client_id en client_secret in voor een tijdelijk bearer-token met een standaardgeldigheid van 60 minuten. Dit token wordt meegezonden in de Authorization-header van elke API-aanroep.
POST /oauth/token HTTP/1.1
Host: api.checkfile.ai
Content-Type: application/x-www-form-urlencoded
grant_type=client_credentials
&client_id=YOUR_CLIENT_ID
&client_secret=YOUR_CLIENT_SECRET
&scope=documents:analyze
Het platform ondersteunt twee verwerkingsmodi. Bij synchrone verwerking wordt het analyseresultaat direct in de HTTP-respons teruggegeven, geschikt voor documenten tot 10 MB met een verwachte responstijd onder de drie seconden. Bij asynchrone verwerking retourneert de API direct een job_id. De clienttoepassing pollt vervolgens het statusendpoint of ontvangt het resultaat via een webhook-callback zodra de analyse is voltooid.
Webhookconfiguratie gebeurt via een registratie-endpoint waarbij de clienttoepassing een HTTPS-callback-URL opgeeft. Het systeem stuurt een HTTP POST met een JSON-payload naar deze URL inclusief een HMAC-SHA256-handtekening in de X-CheckFile-Signature-header, die de ontvangende applicatie moet valideren om de authenticiteit van de melding te bevestigen. Webhooks zijn bij uitstek geschikt voor workflows waarbij hoog documentvolume wordt verwerkt en onmiddellijke terugkoppeling niet vereist is.
Alle data-overdracht is versleuteld met TLS 1.3 en opgeslagen documenten worden versleuteld met AES-256, conform artikel 32 van de AVG (Verordening (EU) 2016/679) over passende technische en organisatorische beveiligingsmaatregelen. Persoonlijke gegevens worden na verwerking automatisch uit logbestanden verwijderd.
Raadpleeg de technische integratiegids voor ontwikkelaars voor gedetailleerde codevoorbeelden per programmeertaal en SDK-documentatie.
Kernendpoints en aanvraagformaat
Het primaire endpoint voor documentindiening is POST /v1/documents/analyze. Voor asynchrone statusopvraging wordt GET /v1/results/{id} gebruikt. De onderstaande tabel geeft een overzicht van de kernendpoints.
| Endpoint | HTTP-methode | Beschrijving | Typische responstijd |
|---|---|---|---|
/v1/documents/analyze |
POST | Document indienen voor fraudeanalyse | 800 ms – 3 s (synchroon) |
/v1/results/{id} |
GET | Resultaat ophalen van asynchrone aanvraag | < 100 ms |
/v1/webhooks |
POST | Webhook-callback-URL registreren | < 200 ms |
/v1/webhooks/{id} |
DELETE | Webhook-registratie verwijderen | < 100 ms |
/oauth/token |
POST | Bearer-token ophalen via client credentials | < 300 ms |
Een documentindiening vereist minimaal het bestandsformaat als Base64-gecodeerde string of als multipart/form-data upload, het documenttype (passport, id_card, bank_statement, payslip, enzovoort) en de taal-ISO-code. Optioneel kan een reference_id worden meegegeven voor koppeling aan interne dossiers.
{
"document": "<base64_encoded_content>",
"document_type": "id_card",
"language": "nl",
"reference_id": "applicant-2026-00842",
"options": {
"detect_deepfake": true,
"extract_fields": true,
"check_bsn_format": true
}
}
De API retourneert een gestructureerde JSON-respons met een betrouwbaarheidsscore, gedetecteerde fraudesignalen en geëxtraheerde documentvelden:
{
"job_id": "doc_7f3a9c12e4b8",
"status": "completed",
"confidence_score": 23,
"risk_level": "high",
"signals": [
{
"type": "metadata_inconsistency",
"description": "Aanmaakdatum metadata wijkt 14 maanden af van documentdatum",
"severity": "high"
},
{
"type": "font_anomaly",
"description": "Lettertypeafwijking gedetecteerd in adresveld",
"severity": "medium"
}
],
"extracted_fields": {
"full_name": "Jan de Vries",
"date_of_birth": "1988-04-15",
"document_number": "SPECI2014",
"expiry_date": "2028-03-31"
},
"processing_time_ms": 1247
}
Klaar om uw controles te automatiseren?
Gratis proefproject met uw eigen documenten. Resultaten binnen 48u.
Gratis proefproject aanvragenAfhandeling van reacties en betrouwbaarheidsscores
De betrouwbaarheidsscore loopt van 0 tot 100, waarbij een hogere score een grotere kans op authenticiteit aangeeft. Het veld risk_level combineert de betrouwbaarheidsscore met de ernst van gedetecteerde signalen tot een gestandaardiseerde risicocategorie die direct bruikbaar is in workflowlogica.
| Score | Risiconiveau | Aanbevolen actie |
|---|---|---|
| 85 – 100 | Laag | Automatisch goedkeuren, opnemen in auditlogboek |
| 65 – 84 | Gemiddeld | Aanvullende documentatie opvragen of lichte handmatige review |
| 40 – 64 | Hoog | Verplichte handmatige review door compliance-medewerker |
| 0 – 39 | Kritiek | Transactie blokkeren, incident registreren, overweeg Wwft-melding |
Applicaties dienen de risk_level-waarde te gebruiken als primaire beslissingsvariabele in plaats van de ruwe score, omdat het platform de scoredrempels periodiek herkalibireert op basis van nieuwe fraudepatronen. Door de risicocategorie als trigger te gebruiken blijft de workflowlogica stabiel bij modelupdates.
Foutsituaties worden teruggegeven als HTTP-statuscodes met een gestructureerde foutpayload. Een HTTP 422 geeft aan dat het document niet kon worden geparseerd vanwege een onondersteund formaat of corrupte bestandsdata. Een HTTP 429 geeft aan dat de rate limit is bereikt. Het is aan te raden exponentieel backoff te implementeren bij 429-responses, met een maximale wachttijd van 32 seconden.
Toepassingen per sector
De API is breed inzetbaar in sectoren waar documentverificatie onderdeel is van het klant- of leveranciersacceptatieproces.
| Sector | Documenttype | Detecteerbaar fraudesignaal |
|---|---|---|
| Kredietverlening | Loonstrookje, bankafschrift | Gecorrigeerde salarisbedragen, vervalste rekeningnummers |
| Verzekeringen | Medische rapporten, politierapporten | Digitaal ingevoegde tekstvelden, inconsistente metadata |
| KYC / onboarding | Paspoort, rijbewijs, BSN-document | Deepfake-foto, ongeldig documentnummer, verlopen document |
| Vastgoed | Huurcontract, eigendomsakte | Nabewerkte handtekeningen, gewijzigde bedragen |
| Vermogensbeheer | Vermogensoverzichten, belastingaangiften | Gemanipuleerde totaalbedragen, afwijkende lettertypen |
In de financiële dienstverlening is BSN-verificatie een bijzonder gevoelig onderdeel. De API controleert automatisch of het BSN-formaat voldoet aan de elfproef, maar slaat het BSN-nummer zelf niet op in logbestanden conform de AVG-vereisten voor bijzondere persoonsgegevens.
Het platform ondersteunt meer dan 3.200 documenttypen in 32 jurisdicties en dekt 24 OCR-talen, waardoor meertalige onboardingworkflows voor Europese markten zonder aanvullende taalverwerking kunnen worden opgezet. Bekijk de detectiemethoden en onderliggende AI-technieken voor meer informatie over hoe het model fraude herkent op pixelniveau.
Naleving: AVG, Wwft, DNB en regelgevende vereisten
De EU AI Act (Verordening (EU) 2024/1689), artikel 6 en bijlage III classificeert AI-systemen die worden gebruikt voor de verificatie van identiteitsdocumenten in de context van financiële dienstverlening als hoog-risico AI-systemen. Dit heeft directe gevolgen voor organisaties die dergelijke systemen integreren: zij zijn mede verantwoordelijk voor het waarborgen van technische documentatie, een risicobeheersysteem en aantoonbaar menselijk toezicht bij kritieke beslissingen.
Aanbieders van hoog-risico AI-systemen moeten vóór marktintroductie een conformiteitsbeoordeling uitvoeren en hun systeem registreren in de EU-databank. Voor afnemers betekent dit dat zij bij de selectie van een API-leverancier moeten controleren of de aanbieder over actuele technische documentatie en een conformiteitsverklaring beschikt.
Vanuit de AVG (art. 32) zijn verwerkingsverantwoordelijken verplicht passende technische maatregelen te treffen om persoonsgegevens te beveiligen. De API dient te zijn geconfigureerd met een minimale bewaartermijn voor documentdata, bij voorkeur niet langer dan strikt noodzakelijk voor de verificatie. Organisaties die de API inzetten voor identiteitscontrole van EU-burgers moeten controleren of de verwerking van persoonsgegevens plaatsvindt binnen de EER of onder een adequaatheidsbesluit.
Onder de Wwft zijn meldingsplichtige instellingen verplicht ongebruikelijke transacties te melden bij de Financial Intelligence Unit Nederland (FIU-Nederland). Een kritiek risiconiveau in de API-respons is op zichzelf geen juridisch voldoende grond voor een FIU-melding, maar vormt wel een relevant signaal dat moet worden beoordeeld door een compliance-functionaris. Het is essentieel dat de API-integratie een menselijke reviewstap bevat voor documenten met een hoog of kritiek risiconiveau, zodat de instelling haar meldplicht kan nakomen op basis van een volledige beoordeling.
DNB verwacht van onder toezicht staande instellingen dat zij hun technologische infrastructuur voor cliëntenonderzoek kunnen verantwoorden bij een onderzoek. Automatisch gegenereerde audittrails uit API-aanroepen — inclusief tijdstempel, documenttype, betrouwbaarheidsscore en genomen actie — vormen een directe bijdrage aan dit verantwoordingsdossier.
Voor een overzicht van deepfake-detectie in documentworkflows en de technische aanpak van AI-gegenereerde documenten, raadpleeg de CheckFile deepfake-detectiepagina.
Dit artikel is uitsluitend bedoeld voor informatieve doeleinden en vormt geen juridisch, financieel of regelgevend advies. Neem voor specifieke compliance-vraagstukken contact op met een gekwalificeerde juridisch of compliance-adviseur.
Voor waar dit risico in het CheckFile-aanbod past, zie onze AI- en deepfake-detectieaanpak.
Veelgestelde vragen
Wat is een API voor documentvervalsing detectie?
Een API voor documentvervalsing detectie is een cloudgebaseerde dienst die documenten analyseert op tekenen van vervalsing, manipulatie of AI-generatie via een gestandaardiseerde programmatische interface. De clienttoepassing stuurt een document naar een endpoint, de API analyseert het met behulp van computervisie, metadatacontroles en patroonherkenning, en retourneert een betrouwbaarheidsscore met gedetailleerde fraudesignalen. Dit stelt organisaties in staat om verificatie te automatiseren zonder zelf modellen te trainen of forensische expertise in huis te halen.
Hoe verschilt documentfraude detectie van standaard OCR?
Standaard OCR-technologie extraheert tekst uit documenten maar beoordeelt niet of het document authentiek is. Een documentfraude detectie API combineert tekstextractie met forensische analyse: metadatacontrole, detectie van pixelmanipulatie, consistentiecontroles tussen velden, deepfake-detectie op pasfoto's en vergelijking met de documentstandaarden van de uitgevende instantie. OCR ziet wat er in een document staat, terwijl fraudedetectie beoordeelt of het document daadwerkelijk echt is.
Is de API compliant met de AVG en de EU AI Act?
De API is ontworpen om te voldoen aan de vereisten van AVG artikel 32 inzake technische beveiliging, met TLS 1.3-transport, AES-256-opslag en automatische verwijdering van persoonsgegevens uit logbestanden. Onder de EU AI Act valt documentverificatie-AI in de hoog-risico categorie, wat betekent dat zowel de aanbieder als de afnemer verplichtingen hebben op het gebied van technische documentatie en menselijk toezicht. Organisaties zijn verantwoordelijk voor het borgen van een menselijke reviewstap bij kritieke beslissingen en het bijhouden van een audittrail.
Hoe lang duurt de integratie van een documentfraude detectie API?
Een basale integratie — authenticatie, documentindiening en responsparsering — is doorgaans binnen één tot drie werkdagen realiseerbaar voor een ervaren backend-ontwikkelaar. Een volledige productie-integratie inclusief webhookconfiguratie, foutafhandeling, auditlogging en integratie met een bestaand cliëntdossiersysteem neemt gemiddeld één tot twee weken in beslag. De exacte doorlooptijd is afhankelijk van de complexiteit van de bestaande infrastructuur en de vereisten van het interne reviewproces.
Welke bestandsformaten accepteert een documentvervalsing detectie API?
De API accepteert JPEG, PNG, PDF (enkelvoudige en meerdere pagina's) en TIFF. De maximale bestandsgrootte voor synchrone verwerking bedraagt 10 MB; grotere bestanden worden automatisch doorgestuurd naar asynchrone verwerking met webhooknotificatie. Gescande documenten worden het beste ingediend met een minimumresolutie van 300 DPI voor optimale analyseresultaten. Versleutelde of met wachtwoord beveiligde PDF-bestanden worden niet ondersteund en moeten vooraf worden ontsleuteld door de clienttoepassing.
Blijf op de hoogte
Ontvang onze compliance-analyses en praktische gidsen rechtstreeks in uw inbox.