Leveranciersfactuur verificatie: fraude en fouten detecteren
Gids voor verificatie van leveranciersfacturen in Nederland: fraudetypen, waarschuwingssignalen, drie-weg-matching en automatisering van factuurcontrole in 2026.
Dit artikel samenvatten met
ChatGPT
Claude
Perplexity
Gemini
GrokLeveranciersfactuurverificatie is het verplichte controleproces vóór betaling dat bevestigt dat de factuur overeenkomt met een echte bestelling, dat de leverancier legitiem is en dat alle financiële gegevens kloppen. In Nederland heeft De Nederlandsche Bank (DNB) factuurbetalingsfraude aangemerkt als een van de snelst groeiende vormen van financiële criminaliteit: in 2024 registreerde de Fraudehelpdesk meer dan 4.200 meldingen van zakelijke factuurschandalen, met een gemiddeld schadebedrag van ruim € 28.000 per incident.
Een frauduleuze factuur betalen doet de schuld aan de echte leverancier niet vervallen — de onderneming betaalt twee keer. Een gestructureerd verificatieproces, bij voorkeur geautomatiseerd, is de enige betrouwbare verdediging.
Dit artikel is uitsluitend informatief bedoeld en vormt geen juridisch, financieel of regulatoir advies.
Veelvoorkomende typen leveranciersfactuurefraude
Factuurefraude maakt gebruik van vier hoofdzwaktes: overbelaste crediteurenadministraties, zwakke interne controles, handmatige processen en onvolledige leveranciersintegratie.
Spookfacturen zijn facturen van volledig fictieve leveranciers die in het betalingssysteem zijn aangemaakt, vaak met medeplichtigheid van een interne medewerker die tegelijkertijd de betalingen goedkeurt. Deze entiteiten lijken legitiem in boekhoudkundige systemen maar hebben geen werkelijke handelsactiviteit.
Dubbele facturering treedt op wanneer dezelfde factuur meerdere keren wordt ingediend met een licht gewijzigd factuurnummer, in de hoop dat de duplicering niet wordt opgemerkt tijdens een achterstand in factuurverwerking.
Business Email Compromise (BEC) houdt in dat cybercriminelen zakelijke e-mailaccounts hacken of vervalsen om betalingen om te leiden. BEC-aanvallen hebben bedrijven wereldwijd meer dan 43 miljard dollar gekost sinds 2016 (FBI IC3 Annual Report 2024).
Bankgegevensvervalsing is de meest operationeel schadelijke variant: fraudeurs onderscheppen een echte factuur en vervangen het IBAN door een frauduleuze rekening — zo subtiel dat een visuele controle het niet detecteert.
| Fraudetype | Mechanisme | Primair waarschuwingssignaal |
|---|---|---|
| Spookfactuur | Fictieve leverancier in systeem | Geen verifieerbare handelshistorie |
| Dubbele factuur | Licht gewijzigd factuurnummer | Zelfde bedrag, zelfde leverancier, nabije datums |
| BEC / identiteitsovername | Gehackt of nep zakelijk e-mail | Dringende betaalverzoek buiten normaal proces |
| IBAN-vervanging | Gewijzigd IBAN op echte factuur | Plotselinge wijziging van betaalgegevens |
Waarschuwingssignalen: hoe herken je een verdachte factuur?
Elke factuur met een of meer van de volgende indicatoren moet worden aangehouden voor grondiger verificatie vóór betalingsautorisatie.
Wijziging van IBAN of bankgegevens: elk verzoek om betaalgegevens bij te werken via e-mail, zonder onafhankelijke telefonische bevestiging via een al geregistreerd nummer, is een hoogrisicoignaal. Het Nationaal Cyber Security Centrum (NCSC-NL) adviseert expliciet om bankgegevenswijzigingen altijd te verifiëren via een bekende contactlijn — nooit via de gegevens in het inkomende verzoek.
Ongegronde spoed: een factuur vergezeld van dreigementen met dienstonderbreking, boeteclausules of eisen voor betaling op dezelfde dag wijkt af van normale handelspraktijken. Fraudeurs creëren urgentie precies om standaard goedkeuringsworkflows te omzeilen.
Documentaire inconsistenties: ongeldig KvK-nummer, adres dat afwijkt van het geregistreerde, ongebruikelijk formaat of bedrag dat niet overeenkomt met een bestaande bestelling.
Onbekende of recent opgerichte leverancier: in Nederland is elk bedrijf gratis te verifiëren via het Handelsregister van de Kamer van Koophandel (KvK). Een leverancier die minder dan zes maanden bestaat en een factuur van hoge waarde presenteert, vereist verscherpte due diligence.
Rekenfouten: een bedrag exclusief BTW plus BTW dat niet overeenkomt met het totaal inclusief BTW wijst op documentmanipulatie, en mogelijk op BTW-fraude. Onder artikel 37 van de Wet op de omzetbelasting 1968 kan een onderneming die ten onrechte BTW aftrok hoofdelijk aansprakelijk worden gesteld.
Het drietrapsvericatieproces
Effectieve leveranciersfactuurverificatie volgt drie opeenvolgende controles: formeel, materieel en financieel.
Formele controle: verplichte factuurelementen
Elke Nederlandse BTW-factuur moet de elementen bevatten die zijn vereist onder artikel 35a van de Wet OB 1968 (wetten.overheid.nl — Wet OB): naam en adres van leverancier en afnemer, BTW-identificatienummer, uniek factuurnummer, factuurdatum, omschrijving van goederen of diensten, maatstaf van heffing, BTW-tarief en BTW-bedrag, en totaalbedrag inclusief BTW. Het ontbreken van een verplicht element rechtvaardigt het weigeren van betaling.
Drie-weg-matching
Drie-weg-matching vergelijkt systematisch:
- De inkooporder (PO) — wat is besteld
- De pakbon of ontvangstbevestiging — wat is ontvangen
- De factuur — wat in rekening wordt gebracht
Elke afwijking tussen deze drie documenten blokkeert betaling totdat het is opgelost. Standaard ERP-systemen (SAP, Oracle, AFAS, Exact) automatiseren deze vergelijking en detecteren duplicaten, hoeveelheidsverschillen en facturen zonder bijbehorende bestelling.
Onafhankelijke bankgegevensverificatie
Vóór elke eerste betaling of na een verzoek om bankgegevenswijziging: verifieer het IBAN rechtstreeks bij de leverancier via een telefoonnummer dat al in uw systeem is opgeslagen — nooit het nummer dat in het verzoek staat. Deze maatregel, aanbevolen door de AFM — Autoriteit Financiële Markten, elimineert het overgrote deel van IBAN-substitutie-fraude.
CheckFile's geautomatiseerde documentverificatie integreert deze controle in het betalingsworkflow, waarbij elk nieuw IBAN in realtime wordt gecheckt tegen SEPA-registers en leveranciersmasterdata.
Leveranciersfactuurverificatie automatiseren
Automatisering elimineert het menselijke knelpunt: de voornaamste reden dat frauduleuze facturen doorheen komen, is overbelasting van medewerkers, niet het ontbreken van formele controleprocedures.
Moderne documentvericatieplatforms passen meerdere gelijktijdige controles toe:
- OCR-extractie en structurering: factuurgegevens (bedragen, IBAN, KvK-nummer, BTW-nummer) worden automatisch geëxtraheerd en vergeleken met leveranciersmasterdata.
- AI-gestuurde anomaliedetectie: algoritmen identificeren ongebruikelijke patronen — onbekende leverancier, bedragen buiten normaal bereik, PDF-metadata die wijziging na de vermelde uitgiftedatum aangeeft.
- Geautomatiseerde kruisvalidatie: elke factuur wordt in realtime vergeleken met openstaande inkooporders en ontvangstbevestigingen in het ERP vóórdat deze de goedkeuringswachtrij bereikt.
- Realtime-meldingen: elke afwijking activeert een blokkering en escalatie vóór betaling, met een handmatig validatieverzoek voor hoogrisico-gevallen.
CheckFile integreert documentverificatie direct in uw bestaande goedkeuringsworkflow, zonder uw ERP te vervangen. Voor een compleet overzicht van verificatieautomatisering, raadpleeg de complete gids voor verificatieautomatisering. Voor de details van factuurverwerking, zie de gids over automatisering van factuurverwerking.
Sancties bij niet-gedetecteerde fraude
In Nederland kan het gebruik van valse facturen leiden tot strafrechtelijke vervolging op grond van artikel 225 van het Wetboek van Strafrecht (wetten.overheid.nl — Sr) (valsheid in geschrifte): gevangenisstraf tot zes jaar of een geldboete van de vierde categorie (maximaal € 22.500 per feit). Financiële instellingen en andere Wwft-plichtige entiteiten zijn bovendien verplicht ongebruikelijke transacties te melden bij de Financial Intelligence Unit Nederland (FIU-NL) onder de Wet ter voorkoming van witwassen en financieren van terrorisme (Wwft).
Een cultuur van documentaire waakzaamheid opbouwen
Gebruikers op Nederlandse boekhoud- en compliance-fora (AccountancyVandaag, ControllersMagazine) wijzen op twee terugkerende praktische problemen: druk om facturen snel te accorderen en het ontbreken van geformaliseerde procedures voor bankgegevenswijzigingen. Beide zijn de meest geëxploiteerde kwetsbaarheden.
Effectieve mitigatie vereist drie organisatorische controles:
Schriftelijke, bindende procedures: elke wijziging van bankgegevens moet een geformaliseerd proces doorlopen — schriftelijke bevestiging plus telefonische verificatie via een historisch nummer plus goedkeuring door een andere verantwoordelijke dan degene die het verzoek ontvangt.
Functiescheiding: degene die een leverancier in het systeem aanmaakt mag niet dezelfde zijn die diens facturen goedkeurt. Dit basisprincipe van interne beheersing is auditeerbaar onder de Richtlijnen voor de jaarverslaggeving van de Raad voor de Jaarverslaggeving (RJ).
Doorlopende training: fraude-technieken evolueren snel. Halfjaarlijkse training van crediteurenadministratie-teams over BEC, AI-gegenereerde facturen en synthetische identiteitsfraude is tegenwoordig onmisbaar.
Bekijk ook de best practices voor antifraude in documentverwerking voor implementatiesjablonen in uw organisatie.
Leveranciers onboarden met de juiste documentaire controles
Een robuust verificatieproces begint vóór de eerste factuur — bij het onboarden van nieuwe leveranciers. Elke nieuwe leverancier moet worden onderworpen aan een gestandaardiseerde documentaire beoordeling voordat hij wordt opgenomen in het betalingssysteem.
Documentaire vereisten bij leveranciersonboarding:
| Document | Doel | Verificatiebron |
|---|---|---|
| KvK-uittreksel | Rechtspersoon en bedrijfsstatus | Handelsregister KvK |
| BTW-identificatienummer | Fiscale status en geldigheid | EU VIES-portaal |
| Bankafschrift of IBAN-bevestiging | Rekeninghouder en IBAN | Directe verificatie bij leverancier |
| Ingevuld leveranciersformulier | Contactgegevens en betalingsvoorwaarden | Intern goedgekeurd formulier |
| Uittreksel UBO-register | Uiteindelijk begunstigde eigenaar | KvK UBO-register |
Verificatie van het UBO-register is verplicht voor leveranciers die onder de Wet ter voorkoming van witwassen en financieren van terrorisme (Wwft) vallen. Organisaties die Wwft-plichtig zijn — waaronder trustkantoren, banken en bepaalde belastingadviseurs — moeten de uiteindelijk begunstigden van hun zakenrelaties kennen en vastleggen. Onder artikel 3 van de Wwft zijn Wwft-instellingen verplicht cliëntenonderzoek te verrichten op alle zakenrelaties, inclusief leveranciers die een verhoogd witwasrisico vertegenwoordigen.
De invoering van de vierde en vijfde EU-anti-witwasrichtlijn (omgezet via de Implementatiewet wijziging vierde anti-witwasrichtlijn, in werking per 2020) heeft de Wwft-verplichtingen uitgebreid naar een bredere kring van entiteiten en verplicht deze om risico-gebaseerde CDD-procedures te hanteren bij leveranciersselectie.
CheckFile automatiseert leveranciersverificatie door KvK-gegevens, BTW-nummers en UBO-registervermeldingen in realtime te controleren bij het aanmaken van elke nieuwe leverancier in uw systeem.
Veelgestelde vragen
Hoe verifieer ik of een leveranciersfactuur echt is?
Vergelijk de factuur met de inkooporder en de ontvangstbevestiging (drie-weg-matching). Verifieer het KvK-nummer op het Handelsregister en het BTW-nummer via het VIES-portaal van de Europese Commissie. Als de bankgegevens zijn gewijzigd, bel de leverancier op het nummer dat al in uw systeem staat — nooit het nummer uit het verzoek.
Wat zijn de verplichte velden op een Nederlandse BTW-factuur?
Op grond van artikel 35a Wet OB 1968: naam en adres van leverancier en afnemer, BTW-identificatienummer van de leverancier, uniek factuurnummer, factuurdatum, omschrijving van goederen of diensten, maatstaf van heffing, BTW-tarief en BTW-bedrag, en totaalbedrag inclusief BTW. Het ontbreken van een verplicht veld geeft grond om betaling te weigeren en een gecorrigeerde factuur te verzoeken.
Wat is drie-weg-matching en waarom is het belangrijk?
Drie-weg-matching vergelijkt de inkooporder (wat is besteld), de pakbon (wat is ontvangen) en de factuur (wat in rekening wordt gebracht) vóór betalingsautorisatie. Elke afwijking blokkeert de factuur. Het is de meest betrouwbare operationele controle tegen dubbele facturen, spookleveranciers en overbijrekening — en meest effectief wanneer geautomatiseerd in het ERP.
Wat moet ik doen als een leverancier zijn IBAN wil wijzigen?
Werk bankgegevens nooit bij op basis van een enkel e-mailbericht of telefoontje. Bel de leverancier op het nummer dat al in uw leveranciersmasterdata staat. Documenteer de mondelinge bevestiging en vraag schriftelijke validatie van een tweede bevoegde persoon. Meld verdachte verzoeken aan de Fraudehelpdesk (0800 6778).
Verplicht de e-factureringsregelgeving in Nederland betere factuurcontroles?
Nederland heeft de EU-richtlijn 2014/55/EU geïmplementeerd die e-facturering verplicht stelt voor B2G-transacties (overheid als klant) via het PEPPOL-netwerk. Voor B2B-transacties gelden vooralsnog geen verplichte e-factureringsformaten, maar de trend naar gestructureerde digitale facturen — waarbij gegevens niet meer handmatig worden ingetypt maar direct uit XML-bestanden worden geïmporteerd — verlaagt het risico op handmatige manipulatie aanzienlijk.