In veel acceptatie-, aanvraag- en controleprocessen spelen documenten nog steeds een hoofdrol als bewijs. Een klant uploadt een pdf, een medewerker controleert het bestand en bij twijfel volgt een extra check. Dat voelt zorgvuldig. Maar precies daar zit ook de kwetsbaarheid: als het bewijsstuk zelf makkelijker te maken of te manipuleren wordt, controleer je steeds vaker de vorm in plaats van de bron.
In Data Sharing Podcast #19 gingen Roel ter Brugge, algemeen directeur van Ockto, en Gert-Jan van Dijke, Account Director bij Ockto, hierover in gesprek met host Caressa Kuk. Niet als theoretisch fraudeverhaal, maar vanuit wat zij in de praktijk zien bij financiële instellingen, publieke organisaties en partijen die documentroutes proberen te vervangen door geverifieerde brondata.
Fraude is niet nieuw. Wat verandert, is de drempel om ermee te beginnen.
Ter Brugge legt de vinger op die verschuiving:
“Het genereren en maken van een goed lijkende salarisstrook met AI is echt zoveel makkelijker geworden, dat dat echt wel het probleem snel vergroot.”
AI is daarmee niet de enige oorzaak. Het probleem zit dieper. Veel processen vertrouwen nog sterk op documenten die door klanten worden aangeleverd. Als een salarisstrook, pdf of aanvraagdocument geloofwaardig oogt, zegt dat nog niet genoeg over de gegevens erachter.
Van Dijke vult aan dat het vervalsen van aanvragen en documenten “supermakkelijk” en “heel laagdrempelig” wordt, ook op grotere schaal. Voor teams die nog veel handmatig op documentniveau controleren, betekent dat: meer twijfel, meer herstelwerk en meer druk op controles die toch al zwaar zijn.
De grootste risico’s zitten volgens van Dijke bij inkomensgegevens en identiteitsgegevens. Daar hangt in acceptatieprocessen veel vanaf. Ter Brugge noemt daarnaast schulden, spaargeld, beleggingen en andere bezittingen.
Dat zijn precies de gegevens waarmee een aanvraag net wél door de toets kan komen. Een hoger inkomen. Een spaarsaldo dat beter lijkt. Een schuld die buiten beeld blijft.
Ter Brugge noemt in de podcast een voorbeeld van iemand die een nulletje toevoegde aan een spaarsaldo op een afschrift. Vroeger kon zoiets nog opvallen door een afwijkend lettertype. Maar ook dat soort slordigheden worden voor fraudeurs steeds makkelijker te voorkomen.
Ook klantgegevens zelf worden kwetsbaarder. Door datalekken kunnen namen, geboortedata en e-mailadressen al op straat liggen. Daarmee wordt het makkelijker om een aanvraag rond een bestaande identiteit geloofwaardig te maken.
Van Dijke formuleert dat in de podcast zo:
“Dit soort datalekken laat eigenlijk zien dat dat de waarde van individuele attributen devalueert. NAW-gegevens die op straat komen te liggen, waarmee gefraudeerd kan worden, dat maakt eigenlijk dat die waarde daarvan daalt. Dus dat betekent tegelijkertijd ook dat het belangrijker wordt om extra gegevens aan de voorkant op te halen die die waarde weer verhogen.”
Naam, geboortedatum of e-mailadres zijn dus niet waardeloos. Maar op zichzelf bewijzen ze minder. Je wilt weten of gegevens bij elkaar passen. Of de identiteit klopt bij de aanvraag. Of inkomen, schulden, vermogen en transacties hetzelfde verhaal vertellen.
Een document voelt vaak als bewijs. Maar van Dijke maakt een belangrijk onderscheid: documenten zijn eigenlijk “kopieën vastgelegd in documenten van de oorspronkelijke data”.
Een loonstrook, bankafschrift of ander document is dus niet altijd de bron zelf. Het is een vastgelegde kopie, aangeleverd door de klant. Daar kun je controles op uitvoeren, maar het blijft een controle op een bestand.
Dat verklaart waarom documentprocessen zo veel werk opleveren. Controleren, interpreteren, extra vragen stellen, opnieuw opvragen en herstelwerk doen. Het oogt zorgvuldig, maar kan tegelijk traag, zwaar en kwetsbaar worden.
Het document is dan niet meer het eindpunt van de controle. Het wordt één signaal in een breder klantbeeld.
Brondata zijn gegevens die rechtstreeks worden opgehaald uit registers van overheden en banken. De klant hoeft geen document te scannen of op te sturen, maar logt zelf in bij bijvoorbeeld een bank of overheidsbron en geeft toestemming om noodzakelijke gegevens te delen.
Daarna verandert de controle. Je kijkt niet meer alleen naar één aangeleverd bestand, maar naar samenhang tussen bronnen. Ter Brugge noemt DUO, UWV, Kadaster en banken als voorbeelden. Een fraudeur moet dan niet één pdf aanpassen, maar gegevens op meerdere plekken geloofwaardig laten kloppen.
Dat sluit fraude niet uit. Ter Brugge noemt ook zwaardere vormen, zoals bv’s die worden opgezet waarbij iemand echt salaris ontvangt en gegevens bij instanties kloppen, waarna zo’n bv later verdwijnt. Juist dat laat zien dat fraudepreventie geen eenmalige check is. Je hebt een breder klantbeeld nodig, met patronen, historie en signalen over tijd.
Een van de scherpste observaties uit de podcast gaat niet over techniek, maar over gedrag. Fraudeurs zoeken de route waar de minste weerstand zit.
Ter Brugge beschrijft wat er gebeurt als een partij achterblijft:
“Stel dat je als laatste aanbieder een volledig documentgestuurd proces hebt, dat die criminelen je dan wel weten te vinden. Of de fraudeurs, want die gaan dan toch daar proberen nog één keer zo’n aanvraag met papier er doorheen te krijgen.”
Van Dijke ziet hetzelfde mechanisme bij vastgoedfraude. Fraudeurs delen onderling informatie: waar lukt het nog, via welke route, met welke bemiddelaar? Daarmee wordt fraude ook netwerkgedrag. Niet alleen jouw eigen proces telt, maar ook waar jouw proces staat ten opzichte van de rest van de markt.
De winst zit niet alleen in minder fraude. Ter Brugge noemt een kredietbemiddelaar die door de overstap naar een digitaal acceptatieproces met brondata zijn fraudeafdeling anders kon inrichten. Minder nadruk op documentsteekproeven, meer aandacht voor patronen, signalen en het vernieuwen van controles.
Ook in het publieke domein zit veel handmatig werk. Ter Brugge noemt een traject bij de gemeente Rotterdam rond bijstand en bijstandsfraude, waar alleen al het verzamelen van banktransacties 3.000 manuren per jaar kost.
Dan is de vraag niet alleen: hoe voorkom je fraude? Maar ook: hoeveel tijd gaat er nu verloren voordat de echte controle überhaupt begint?
Daar zit de praktische waarde: een betere bron, minder handwerk en meer ruimte om te kijken naar signalen die er echt toe doen.
Strengere fraudepreventie klinkt snel als meer frictie. Maar documentprocessen zijn vaak al zwaar. Klanten moeten zoeken, downloaden, uploaden en opnieuw aanleveren. Organisaties moeten controleren, interpreteren en achter ontbrekende stukken aan.
Ter Brugge zegt daarover:
“Wat wij zien is dat de partijen die het brondata proces omarmen niet alleen de fraudelat hoger leggen, maar juist ook de andere vruchten plukken die daarbij horen. Dus dat het mes aan twee kanten kan snijden.”
Niet alles hoeft digitaal. Er moet ruimte blijven voor mensen die echt niet mee kunnen. Maar de documentroute hoeft niet de makkelijkste route te blijven voor wie misbruik wil maken van het proces.
Begin niet met een groot programma. Begin met de plekken waar het risico en het handwerk samenkomen.
Kijk concreet naar:
Ter Brugge benoemt dat digitalisering vaak niet alleen een IT-keuze is. Soms staat in beleid of op een formulier nog letterlijk dat iemand een kopie of bankafschrift mag aanleveren. Dan moet je niet alleen je techniek aanpassen, maar ook je proces en beleid.
Fraude verdwijnt niet. Zodra één route moeilijker wordt, zoeken fraudeurs naar een volgende plek waar het nog wel lukt. De vraag is dus niet of je fraude volledig kunt uitsluiten. De vraag is waar de laagste lat in je proces ligt.
Ockto helpt organisaties met geverifieerde brondata die zij kunnen gebruiken binnen hun eigen aanvraag-, acceptatie- en controleprocessen. De waarde zit niet alleen in de data zelf, maar vooral in wat je ermee doet: betere crosschecks, minder documentafhankelijkheid en een klantreis die niet onnodig zwaar wordt.
Wil je sparren over fraudegevoelige documentroutes in jouw proces? Neem contact op met Ockto.