Kan je foutieve facturen ontvangen via Peppol?

Ja, bij een fout in de omzetting naar XML kan een incorrecte e-factuur ontstaan. Dat is geen fraude, maar een technische vergissing. Een rechtzetting gebeurt via een creditnota. Bedrijven worden geïdentificeerd via hun btw- of KBO-nummer. Geef je een verkeerd nummer op? Dan kan een factuur bij een ander bedrijf terechtkomen. Controleer daarom altijd of een factuur effectief voor jouw onderneming bedoeld is.

Kunnen er valse facturen verstuurd worden?

In theorie wel. Dat kan gebeuren als een softwaretoepassing of Access Point onvoldoende veiligheidscontroles uitvoert bij registratie. Omdat een bedrijf zich bij meerdere Access Points kan registreren om te verzenden, zou een fraudeur via een minder streng Access Point misbruik kunnen maken van een bedrijfsidentiteit. Daarom is correcte registratiecontrole zo belangrijk.

Hoe weet ik of mijn klant al op Peppol geregistreerd is?

In de Doccle-applicatie krijg je een melding als een klant nog niet geregistreerd is op Peppol.

Wat moet ik doen bij een verdachte factuur?

Wat moet ik doen bij een verdachte factuur? Betaal niet als je twijfelt Neem contact op met de afzender Vraag indien nodig een creditnota Een e-factuur is een officiële factuur. Een correctie kan enkel via een creditnota. Denk je dat het om fraude gaat? Meld dit via het meldpunt voor ondernemingen: https://meldpunt.belgie.be/meldpunt/.

Is Peppol wel veilig?

Een gedurfde titel, misschien zelfs wat overdreven. Allereerst: Peppol is heel wat veiliger dan e-mail, maar waakzaamheid blijft belangrijk. Ook bij Peppol.

Hoe veilig is het Peppol-netwerk?

Peppol is een beveiligd netwerk voor het versturen en ontvangen van gestructureerde e-facturen.

Alle documenten worden geëncrypteerd verzonden. Dat betekent dat facturen onderweg niet kunnen worden onderschept of aangepast. In vergelijking met e-mail is Peppol dus zonder twijfel een veel veiligere manier om facturen uit te wisselen.

Maar veiligheid hangt niet alleen af van het Peppol-netwerk zelf.

De rol van Access Points

Om een factuur via Peppol te versturen, moet een bedrijf aangesloten zijn via een erkend Access Point (AP). Dat zijn toegangspoorten tot het Peppol-netwerk. In België zijn er momenteel 199 erkende Access Points. Elk AP moet een strenge toelatingsprocedure doorlopen voordat het bedrijven mag registreren.

Die toelatingsprocedure is cruciaal.

In theorie zou een kwaadwillige partij kunnen proberen een bedrijf onterecht te registreren om vervolgens valse facturen te versturen in naam van dat bedrijf. Daarom is het essentieel dat Access Points:

de identiteit van de registrerende partij grondig controleren via officiële databronnen (zoals de KBO)
daarbij veilige identificatiemethoden gebruiken (bijvoorbeeld eID of itsme)

Een registratieproces zonder degelijke identificatie is misschien gebruiksvriendelijk, maar verhoogt het risico op misbruik.

Moet je je zorgen maken?

Nee, maar je moet wel waakzaam zijn. Elke verzending via het Peppol-netwerk is volledig traceerbaar. Als er fraude plaatsvindt, kan die relatief snel worden opgespoord. Maar net zoals bij elke vorm van facturatie blijft waakzaamheid belangrijk:

Controleer of de naam en het rekeningnummer overeenkomen met wat je bankapp toont
Vergelijk het rekeningnummer met eerdere facturen
Wees extra voorzichtig bij facturen die je niet had verwacht

Peppol is veilig, maar geen enkel systeem is 100% fraudebestendig.

Wat doet Doccle om de veiligheid te verhogen?

Veiligheid is fundamenteel voor Doccle. Onze teams werken continu aan het versterken van beveiliging en controles.

Veilige Peppol-registratie via itsme

Wanneer een bedrijf zich via Doccle registreert voor Peppol:

wordt de identiteit bevestigd via itsme
worden de itsme-gegevens vergeleken met de officiële gegevens in de KBO

Komen die overeen? Dan wordt de registratie geactiveerd. Zo zorgen we ervoor dat enkel de rechtmatige vertegenwoordiger het bedrijf kan registreren. In uitzonderlijke gevallen waarin itsme niet mogelijk is, voeren onze teams een manuele controle uit op basis van officiële documenten van de wettelijke vertegenwoordiger. Meer info over de manuele registratie.

Sterke beveiliging van je account

Minstens even belangrijk: je eigen accountbeveiliging. Een sterk wachtwoord is het minimum. Beter nog:

Inloggen via itsme of eID
Tweefactorauthenticatie (2FA) activeren
Biometrische beveiliging gebruiken in de mobiele app (vingerafdruk of gezichtsherkenning)

Heb je twee aparte accounts (privé en zakelijk)? Dan kan itsme maar aan één account gekoppeld worden. Activeer in dat geval zeker 2FA voor je tweede account via Profiel > Beveiliging. Inloggen op je account.

Wat kan je zelf doen om je te beschermen?

Zeker in de beginfase van e-facturatie is extra controle verstandig. Controleer bij inkomende facturen zowel:

de PDF-versie
de XML-versie

Waarom?

Een fout in de automatische omzetting van PDF naar XML kan leiden tot afwijkingen in bedragen of gegevens. Dat is meestal geen fraude, maar een technische fout. In Doccle kan je beide versies downloaden en eenvoudig vergelijken.

Doe dat zeker bij:

nieuwe leveranciers
onverwachte facturen
twijfelgevallen

Samengevat

Peppol is een veilig en sterk beveiligd netwerk voor e-facturatie. Dankzij encryptie en volledige traceerbaarheid ligt het veiligheidsniveau veel hoger dan bij klassieke e-mailfacturen.

Maar veiligheid is een gedeelde verantwoordelijkheid:

Access Points moeten voldoen aan de door de overheid opgelegde regels van het Peppol-netwerk
Softwareleveranciers moeten veilige processen hanteren
Gebruikers moeten facturen kritisch blijven controleren

Doccle investeert dagelijks in bijkomende veiligheidsmaatregelen om zowel gebruiksgemak als bescherming verder te versterken.

Veelgestelde vragen

Ja, bij een fout in de omzetting naar XML kan een incorrecte e-factuur ontstaan. Dat is geen fraude, maar een technische vergissing. Een rechtzetting gebeurt via een creditnota.

Bedrijven worden geïdentificeerd via hun btw- of KBO-nummer. Geef je een verkeerd nummer op? Dan kan een factuur bij een ander bedrijf terechtkomen. Controleer daarom altijd of een factuur effectief voor jouw onderneming bedoeld is.
In theorie wel. Dat kan gebeuren als een softwaretoepassing of Access Point onvoldoende veiligheidscontroles uitvoert bij registratie.

Omdat een bedrijf zich bij meerdere Access Points kan registreren om te verzenden, zou een fraudeur via een minder streng Access Point misbruik kunnen maken van een bedrijfsidentiteit. Daarom is correcte registratiecontrole zo belangrijk.
In de Doccle-applicatie krijg je een melding als een klant nog niet geregistreerd is op Peppol.
Wat moet ik doen bij een verdachte factuur?
- Betaal niet als je twijfelt
- Neem contact op met de afzender
- Vraag indien nodig een creditnota
- Een e-factuur is een officiële factuur. Een correctie kan enkel via een creditnota.
Denk je dat het om fraude gaat? Meld dit via het meldpunt voor ondernemingen: https://meldpunt.belgie.be/meldpunt/.