Deepfakes en je bedrijf: het risico dat je misschien onderschat
Een verzoek van je CEO om 180.000 euro over te maken. Zijn stem, zijn gezicht, zijn urgentie. Alleen: hij zit op dat moment in een vliegtuig. Wat doe je dan?
Frank Duindam
Je krijgt een videocall van je directeur. Je herkent zijn gezicht, zijn stem, zelfs die typische manier waarop hij zijn bril rechtduwt. Hij zegt dat er een dringende betaling moet gebeuren voor een overname die nog geheim is. Vertrouwelijk, dus niet via de normale kanalen. Wat doe je?
Voor steeds meer bedrijven is dit geen hypothetisch scenario meer. Deepfake-technologie — AI-gegenereerde nepvideo's en stemmen die nauwelijks van echt te onderscheiden zijn — is van internetgrap naar bedrijfsrisico geëvolueerd. En de kans is groot dat je organisatie hier nog niet op voorbereid is.
Hoe realistisch is dit gevaar eigenlijk?
Laten we eerlijk zijn: een paar jaar geleden klonken deepfakes nog belachelijk onecht. Maar de technologie heeft een sprint gemaakt. Met moderne AI-tools kun je iemands stem overtuigend nabootsen met soms nog geen minuut audiomateriaal. Voor een video heb je wat meer nodig, maar ook dat wordt makkelijker.
Het verontrustende: je hoeft geen hackerscollectief meer te zijn om dit te doen. De tools zijn toegankelijk, soms gratis of voor een paar tientjes per maand. En het bronmateriaal? Dat haalt een crimineel zo van LinkedIn, YouTube-interviews of de bedrijfswebsite waar je directeur vorig jaar nog een welkomstvideo opnam.
Wat we vooral zien in de praktijk zijn CEO-fraude en identity theft. Bij CEO-fraude doet iemand zich voor als een leidinggevende en instrueert medewerkers om geld over te maken of gevoelige informatie te delen. Deepfakes maken dat overtuigender — je herkent niet alleen de naam in een e-mail, maar ook letterlijk de stem of het gezicht.
Wat maakt jouw organisatie kwetsbaar?
Het probleem zit 'm vaak in de procedures — of het gebrek daaraan. Veel bedrijven hebben wel een controle op grote betalingen, maar die controle gebeurt vaak via... precies, diezelfde communicatiekanalen die een aanvaller kan naspelen.
Denk aan deze scenario's:
De urgente videocall: je CFO belt via Teams of Zoom met een dringende vraag. Je hebt geen reden om te twijfelen — het is z'n gezicht, z'n achtergrond, z'n manier van praten.
De stem aan de telefoon: je krijgt een telefoontje van een leidinggevende die zogenaamd onderweg is naar een belangrijke afspraak. Kort, urgent, geloofwaardig.
De interne Slack of WhatsApp: een berichtje van je manager met een verzoek dat net buiten het normale protocol valt, maar niet zo vreemd dat je meteen alarmbellen hoort.
Wat deze aanvallen effectief maakt, is dat ze inspelen op vertrouwen én tijdsdruk. Niemand wil de persoon die z'n salaris betaalt tegenspreken, zeker niet als het om een vertrouwelijke kwestie gaat.
Welke verdedigingen kun je opzetten?
Het goede nieuws: je kunt je hier redelijk goed tegen wapenen. Het vereist wel dat je processen aanpast en je team bewust maakt. Hier zijn concrete stappen die je kunt nemen:
1. Verificatieprotocollen die niet te omzeilen zijn
Maak harde regels voor gevoelige verzoeken. Bijvoorbeeld:
Betalingen boven een bepaald bedrag vereisen altijd bevestiging via een tweede, onafhankelijk kanaal. Niet via Teams als het verzoek via Teams kwam, maar bijvoorbeeld een fysiek gesprek of een telefoonnummer dat jij zelf opzoekt (niet één dat de 'beller' doorgeeft).
Codewoorden of verificatievragen die alleen de echte persoon kent. Dat klinkt misschien ouderwets, maar het werkt.
Multi-factor authenticatie voor systeemtoegang, zodat een gestolen identiteit niet meteen volledige toegang geeft.
Belangrijk: maak deze protocollen onderdeel van de cultuur. Medewerkers moeten weten dat verificatie vragen niet betekent dat je iemand niet vertrouwt — het betekent dat je het bedrijf beschermt.
2. Train je team op de signalen
Deepfakes zijn indrukwekkend, maar ze zijn niet perfect. Er zijn nog steeds signalen:
Vreemde verlichtingseffecten rond het gezicht in een videocall
Lipsync die nét niet klopt, vooral bij snelle spraak
Onnatuurlijke pauzes of ademhaling bij stemmen
Urgentie en geheimhouding als rode vlag: waarom zou dit niet via de normale weg kunnen?
Organiseer een awareness-sessie waarin je voorbeelden laat zien. Laat medewerkers zelf ervaren hoe overtuigend deepfakes kunnen zijn, maar ook waar je op kunt letten. Hoe meer mensen dit op hun netvlies hebben, hoe alerter ze zijn.
3. Beperk het beschikbare materiaal
Hoe minder hoogwaardig beeld- en audiomateriaal er online staat van je sleutelfiguren, hoe moeilijker het is om een overtuigende deepfake te maken. Dat betekent niet dat je CEO geen enkele video meer mag opnemen, maar wel dat je bewust bent van wat je deelt:
Beperk hoge-resolutievideo's van bestuurders op publieke platforms
Wees terughoudend met audio-opnames in podcasts of webinars als er geen goede reden voor is
Watermark interne video's zodat het moeilijker is om die te hergebruiken
Dit is geen waterdichte bescherming — vaak is er al genoeg materiaal beschikbaar — maar het maakt de drempel hoger.
4. Technische detectie als vangnet
Er bestaan inmiddels tools die deepfakes kunnen detecteren door patronen te analyseren die voor het menselijk oog onzichtbaar zijn. Dit is een steeds professionalere markt, maar ook een waarbij je moet beseffen dat het een kat-en-muisspel is: elke nieuwe detectiemethode wordt weer gevolgd door een nieuwe generatie deepfakes.
Technische detectie is dus geen wondermiddel, maar kan wel onderdeel zijn van een bredere verdediging. Vooral voor grotere organisaties of risicovolle sectoren kan het de moeite waard zijn om hier naar te kijken.
En als het toch gebeurt?
Stel dat een aanval slaagt. Wat dan?
Schakel direct je IT-security in en isoleer eventuele getroffen accounts
Documenteer alles: bewaar de communicatie, het tijdstip, betrokken medewerkers
Informeer de politie: dit is fraude, en elke melding helpt om patronen te herkennen
Communiceer intern zodat anderen alert zijn op soortgelijke pogingen
Evalueer je procedures en versterk de zwakke schakels
En besef: als het gebeurt, betekent dat niet automatisch dat iemand gefaald heeft. Deze aanvallen zijn soms zo goed dat zelfs geoefende professionals erin trappen.
Wat kun je morgen doen?
Je hoeft niet meteen het hele beveiligingshandboek te herschrijven. Begin met dit:
Bespreek deepfake-risico in je eerstvolgende managementoverleg. Maak het concreet: welke verzoeken zouden bij ons via welk kanaal komen? Waar zit de zwakke schakel?
Stel één heldere verificatieregel in voor financiële verzoeken boven een bepaald bedrag. Communiceer die regel breed.
Plan een korte awareness-sessie voor je team. Laat een paar voorbeelden zien, bespreek wat je van elkaar verwacht.
Deepfakes zijn niet langer sciencefiction. Ze zijn een reëel bedrijfsrisico dat vraagt om bewustzijn, procedures en een gezonde dosis wantrouwen op de juiste momenten. De vraag is niet óf iemand het bij jouw organisatie probeert, maar wanneer. En of je er dan klaar voor bent.
Lees ook
AVG en AI: de 5 vragen die elk bedrijf zich moet stellen
Je gebruikt AI voor klantcontact of personeelsanalyse. Maar heb je bedacht welke rechtsgrondslag je hebt? En wat doet die chatbot eigenlijk met die data? Concreet verhaal over compliance die verder gaat dan een vinkje.
Bias in AI: waarom je model discrimineert zonder dat je het weet
Je AI-model lijkt perfect te werken, tot iemand erachter komt dat het systematisch bepaalde groepen benadeelt. Hoe ontstaat dit — en belangrijker: hoe voorkom je het?
AI-transparantie verplicht stellen: wat betekent dit voor je bedrijf?
Vanaf dit jaar moet je in sommige gevallen expliciet vermelden wanneer content door AI is gemaakt. We leggen uit wanneer dat moet, hoe je dat doet, en waar je op moet letten.