Wapen je vereniging tegen phishing
vrijdag 19 juni 2026
Steeds meer krijgen we te horen over zogeheten Phishing-scams, die zich specifiek bij verenigingen voordoen. Hoe werkt phishing, wat zijn de unieke kwetsbaarheden van verenigingen en hoe kan je jouw vereniging van oplichters weren?
Phishing is een oplicht-techniek, waar bepaalde gevoelige gegevens door oplichters “gevist” worden. Hierbij gebruikt men valse emails, websites of telefoongesprekken om slachtoffers onder druk te zetten, en zo gegevens los te prutsen die oplichters toegang geven tot de financiën van een vereniging, vaak via online banking. Dit is u ongetwijfeld bekend; phishing is al langer een probleem voor particulieren en bedrijven.Phishing kende echter een groei (vrt), en wordt verergerd door de vlotte toegang tot beeld-, stem en code-vervalsing die kwalitatief vergemakkelijkt is door de opkomst artificiële intelligentie.
Veel organisaties werden dus al geconfronteerd met het probleem. We hoorde verhalen van bestuurders die door oplichters telefonisch werden gecontacteerd, waarbij men zich voordeed als een medewerker van een bank. Door de bestuurder onder druk te zetten, en ondertussen vertrouwen te wekken, ontfutselde de oplichters bankgegevens die hun toegang gaf tot online bankomgeving van de lokale groep. Er werd voor duizende euros overschrijvingen gemaakt. Gelukkig slaagde de bank erin alle middelen kunnen recupereren.
Maar “phishers” kunnen nog onschuldiger overkomen. Een vereniging kreeg een email met een factuur, op eerste zicht leek dit als een legitieme betaling die gevraagd werd. Het was immers een leverancier waar de vereniging effectief mee samenwerkt.
Dit zijn maar een paar voorbeelden van phishing. Zoals een medewerker van Test-Aankoop duidt: “In de praktijk gaat het om een brede waaier van methodes waarbij criminelen zich proberen voor te doen als economische of transactionele rechthebbenden op tegoeden bij banken, brokers of kredietinstellingen. Vaak gaat het om een vorm van identiteitsfraude, waarbij eerst een persoon of rechtspersoon grondig wordt geanalyseerd (“gefileerd”) om vervolgens via de structuur van een gezin, onderneming of vereniging mogelijke toegangswegen te identificeren.” Bestuurders die rekeningen beheren worden in het bijzonder getarget: “Fraudeurs maken daarbij gebruik van bestaande rollen en bevoegdheden. Zodra iemand een rol heeft op een rekening — bijvoorbeeld als vertegenwoordiger van een vereniging, houder van een volmacht of beheerder — kan een fraudeur proberen zich als die persoon voor te doen en zo de rechten uit te oefenen die met die rol verbonden zijn.” Toch lijkt de aandacht ervoor nog te weinig. Zeker de specifieke kwetsbaarheden van verenigingen, lokale groepen, vrijwilligers en bestuurders verdienen extra aandacht.
Toch wat goed nieuws?
Vroeger lag de verantwoordelijkheid voor phishing-fraude bijna volledig bij het slachtoffer. Wanneer het bestuur of de penningmeester van een vereniging in een valse mail trapte en bankgegevens invulde, weigerde de bank steevast om het verloren geld terug te betalen. De redenering was simpel: de vereniging had haar geheime codes immers zelf aan derden gegeven. Dit werd automatisch gezien als een 'grove fout'. Tegenwoordig is de wetgeving grondig veranderd in het voordeel van het slachtoffer. Nu geldt de hoofdregel dat de bank bij internetfraude verplicht is om het gestolen geld direct terug te betalen, uiterlijk de volgende werkdag. De rollen zijn omgedraaid: de vereniging hoeft haar onschuld niet te bewijzen; het is de bank die moet aantonen dat het bestuur roekeloos heeft gehandeld (vrt).In de praktijk weigerden banken nog te vaak om de gestolen middelen terug te storten. Men bleef dus wijzen op het doorsturen van gegevens als grove fout. In een spoedprocedure heeft de ondernemingsrechtbank bepaald dat banken bij phishing niet-toegestane betalingen onmiddellijk moeten terugbetalen, uiterlijk op de volgende werkdag. De bank moet zich houden aan de wet door eerst terug te betalen en pas daarna eventuele grove nalatigheid van de klant te onderzoeken. Deze beslissing is uitvoerbaar bij voorraad, wat betekent dat de bank direct moet betalen, zelfs als zij in beroep gaan (rechtbanken.be).
Hoe kan je jezelf wapenen?
Een “one-size-fits-all”-oplossing blijkt moeilijk te vinden: “Wat zogenaamde “best practices” betreft, stellen wij vast dat die moeilijk universeel te formuleren zijn. De invalshoek van fraudeurs verandert voortdurend en het probleem is zo algemeen dat wij vooral inzetten op globale bewustmaking en brede sensibilisering. […] Er bestaat helaas geen sluitende methode die met absolute zekerheid kan garanderen dat men nooit slachtoffer wordt van fraude”.
Een gewaarschuwd bestuurder is er twee waard, dus. Desondanks kan je je toch proberen voorbereiden op de vele mogelijkheden die oplichters tot hun beschikking hebben. Voor werknemers van de Vlaamse Overheid organiseert het Vlaams Centrum voor Digitale Veiligheid simulatieoefeningen, waarbij werknemers in een situatie worden geplaatst worden, en getest wordt waar kwetsbare punten in het veiligheidssysteem zich bevinden. Ook veel bedrijven bieden deze optie aan.Uiteindelijk blijft één element centraal staan: waakzaamheid, waakzaamheid en nog eens waakzaamheid. Er bestaat helaas geen sluitende methode die met absolute zekerheid kan garanderen dat men nooit slachtoffer wordt van fraude.
Een gewaarschuwd bestuurder is er twee waard, dus. Desondanks kan je je toch proberen voorbereiden op de vele mogelijkheden die oplichters tot hun beschikking hebben. Voor werknemers van de Vlaamse Overheid organiseert het Vlaams Centrum voor Digitale Veiligheid simulatieoefeningen, waarbij werknemers in een situatie worden geplaatst worden, en getest wordt waar kwetsbare punten in het veiligheidssysteem zich bevinden. Ook veel bedrijven bieden deze optie aan.Uiteindelijk blijft één element centraal staan: waakzaamheid, waakzaamheid en nog eens waakzaamheid. Er bestaat helaas geen sluitende methode die met absolute zekerheid kan garanderen dat men nooit slachtoffer wordt van fraude.
