Deepfakes vormen een groeiend bedrijfsrisico: CEO fraud, identiteitsfraude en reputatieschade. Leer hoe u ze herkent en uw organisatie beschermt
Foto: Steve Johnson / Unsplash
In januari 2024 maakte een financieel medewerker van het Britse ingenieursbureau Arup 25 miljoen dollar over naar criminelen. Niet na een phishing-mail of een gehackt account, maar na een overtuigende deepfake-videocall waarin meerdere "collega's" opdracht gaven tot de transactie. Elke persoon in de call was nep. De stemmen, de gezichten, de achtergrond: alles was gegenereerd door AI. Het duurde weken voordat het bedrijf doorhad wat er was gebeurd.
Dit is geen sciencefiction. Deepfake-fraude is een van de snelst groeiende cyberrisico's voor het bedrijfsleven. In 2025 rapporteerde de FBI wereldwijd meer dan 2,7 miljard dollar schade door Business Email Compromise met deepfake-componenten. In Nederland registreerde de politie minimaal 340 gevallen met een gemiddelde schade van EUR 180.000 per incident. En dat zijn alleen de gemelde gevallen.
In onze gids over AI-veiligheid behandelen we het bredere landschap van AI-gerelateerde bedreigingen. In dit artikel zoomen we specifiek in op deepfakes: hoe ze werken, welke risico's ze vormen, hoe je ze herkent, en welke maatregelen jouw organisatie concreet kan nemen.
Deepfakes zijn door AI gegenereerde of gemanipuleerde media (video, audio of afbeeldingen) die zo realistisch zijn dat ze met het blote oog nauwelijks te onderscheiden zijn van authentiek materiaal. De term is een samentrekking van "deep learning" en "fake".
Hoe het technisch werkt:
De drempel is verdwenen. Deepfake-tools zijn beschikbaar als online dienst voor EUR 10 per maand. Een overtuigende deepfake-video maak je in minder dan 3 minuten. De Nederlandse startup DuckDuckGoose, gespecialiseerd in deepfake-detectie, waarschuwt dat de kwaliteit van deepfakes sneller verbetert dan de detectie.
| Jaar | Kwaliteit | Benodigde expertise | Kosten | Productietijd |
|---|---|---|---|---|
| 2020 | Duidelijk herkenbaar | Hoog (ML-kennis vereist) | EUR 5.000+ | Uren tot dagen |
| 2022 | Realistisch bij korte clips | Gemiddeld | EUR 500-1.000 | 30-60 minuten |
| 2024 | Real-time video en audio | Laag (online tools) | EUR 10-50/maand | 3-10 minuten |
| 2026 | Vrijwel niet te onderscheiden | Minimaal (mobiele app) | Gratis tot EUR 20/maand | Seconden |
Deepfakes raken bedrijven op vijf fundamentele manieren. Elk risico heeft een ander aanvalsvector, een ander slachtoffer en een andere schadeomvang.
| Risicotype | Aanvalsmethode | Typisch doelwit | Gemiddelde schade |
|---|---|---|---|
| CEO-fraud / BEC | Deepfake video- of audiocall met "directielid" | Finance-afdeling | EUR 50.000 - EUR 25 miljoen |
| Identiteitsfraude | Deepfake video-identificatie bij KYC/onboarding | HR, compliance | EUR 20.000 - EUR 500.000 |
| Reputatieschade | Nepvideo van bestuurder met schokkende uitspraken | C-level, PR | EUR 100.000 - miljoenen (beurskoers) |
| Leveranciersfraude | Nabootsing leverancier om betalingsgegevens te wijzigen | Inkoop, finance | EUR 10.000 - EUR 200.000 |
| Concurrentiesabotage | Deepfake reviews, testimonials of productdemo's | Marketing, sales | Onbecijferbaar (marktaandeel) |
De Hong Kong-case van 25 miljoen dollar is het bekendste voorbeeld, maar het is geen uitzondering. Bij CEO-fraud ontvangen financiele medewerkers een ogenschijnlijk legitieme opdracht van een directielid:
De FBI waarschuwt dat deepfake-BEC in 2025 verantwoordelijk was voor meer dan 2,7 miljard dollar schade wereldwijd.
Deepfakes worden steeds vaker ingezet om identiteitsverificatie te omzeilen:
Een deepfake-video van jouw CEO die racistische opmerkingen maakt of fraude bekent, kan binnen uren viraal gaan. De schade aan je merkwaarde, beurskoers en klantvertrouwen is dan al aangericht voordat je kunt reageren. In 2025 werden meerdere beursgenoteerde bedrijven getroffen door deepfake-nieuwsberichten die tijdelijke koersdalingen van 3-8% veroorzaakten.
Het herkennen van deepfakes wordt steeds moeilijker, maar er zijn nog altijd signalen die je kunt opmerken. Gebruik deze checklist bij verdachte video- of audiocommunicatie.
Visuele checklist voor video-deepfakes:
Audio-checklist voor stem-deepfakes:
Contextchecklist (belangrijker dan technische signalen):
Naast menselijke waarneming zijn er gespecialiseerde tools die deepfakes detecteren. Hieronder een vergelijking van vijf toonaangevende oplossingen.
| Tool | Type detectie | Real-time | Nauwkeurigheid | Prijs (indicatief) | Geschikt voor |
|---|---|---|---|---|---|
| DuckDuckGoose (NL) | AI-analyse video + audio | Ja | 94-98% | Vanaf EUR 500/maand | MKB, enterprise |
| Sensity AI | Deep learning multimodaal | Ja | 95-99% | Vanaf EUR 1.000/maand | Enterprise, financials |
| Intel FakeCatcher | Bloedstroomanalyse (PPG) | Ja | 96% | Op aanvraag | Enterprise |
| Microsoft Video Authenticator | Manipulatie-artefactanalyse | Nee (batch) | 90-95% | Gratis (beperkt) | MKB, orienterend |
| Deepware Scanner | Open-source CNN-analyse | Nee (upload) | 85-92% | Gratis | Kleinbedrijf, educatie |
Belangrijk: Geen enkele tool biedt 100% zekerheid. De kwaliteit van deepfakes evolueert sneller dan de detectie. Gebruik tools als aanvulling op procedurele maatregelen, niet als vervanging.
De Nederlandse startup DuckDuckGoose (opgericht in Amsterdam) verdient bijzondere aandacht. Het bedrijf is gespecialiseerd in real-time deepfake-detectie voor zakelijke omgevingen en wordt inmiddels door meerdere Nederlandse banken en overheidsinstellingen ingezet. Hun technologie analyseert micro-expressies, bloedstroompatronen en compressie-artefacten gelijktijdig.
Effectieve bescherming tegen deepfakes combineert mensen, processen en technologie. Hieronder de belangrijkste maatregelen per laag.
Multi-channel verificatie is de belangrijkste verdedigingslinie:
Maak een specifiek protocol voor deepfake-incidenten:
Fout 1: "Wij zijn te klein voor een deepfake-aanval." MKB-bedrijven zijn juist aantrekkelijke doelwitten. Ze hebben vaak minder beveiligingsprocedures, minder awareness-training en minder technische detectie. Criminelen kiezen het pad van de minste weerstand.
Fout 2: "Onze medewerkers herkennen deepfakes wel." Onderzoek van University College London toont aan dat mensen deepfakes in slechts 50-60% van de gevallen correct identificeren. Bij gecomprimeerde video (zoals in videocalls) daalt dit naar onder de 50%. Vertrouw nooit alleen op menselijke waarneming.
Fout 3: "We hebben een deepfake-detectietool, dus we zijn beschermd." Detectietools zijn een aanvulling, geen oplossing. Geen enkele tool biedt 100% zekerheid, en de kwaliteit van deepfakes evolueert continu. Procedurele maatregelen (multi-channel verificatie, vier-ogenprincipe) zijn minstens zo belangrijk.
Fout 4: "We wachten tot er wetgeving komt." De EU AI Act stelt transparantie-eisen aan deepfake-technologie, maar beschermt jouw bedrijf niet actief tegen aanvallen. Je bent zelf verantwoordelijk voor je beveiligingsmaatregelen. Wachten op wetgeving is wachten op schade.
Fout 5: "Een incidentresponsplan is overdreven voor ons." Zonder plan duurt het gemiddeld 4-7 dagen langer om een deepfake-incident te beheersen. Bij financiele fraude kan elke dag uitstel het verschil betekenen tussen een succesvolle en een mislukte terugboeking. Bij reputatieschade bepalen de eerste uren of een crisis beheersbaar blijft.
Deepfakes zijn geen toekomstscenario. Het is een actueel bedrijfsrisico dat elk jaar goedkoper, toegankelijker en overtuigender wordt. De schade van een enkele succesvolle aanval kan variaren van tienduizenden tot miljoenen euro's, en de meeste organisaties zijn onvoldoende voorbereid.
Het goede nieuws: bescherming is mogelijk. De meest effectieve maatregel is ook de eenvoudigste: verifieer altijd via een tweede kanaal. Geen enkele overboeking op basis van alleen een telefoontje of videocall, hoe overtuigend het ook klinkt. Die ene regel kan jouw organisatie miljoenen besparen.
Combineer die procedurele basis met bewustwording, training en technische detectie, en je verkleint het risico aanzienlijk. De vraag is niet of jouw bedrijf doelwit wordt van een deepfake-aanval, maar wanneer. En wanneer het zover is, wil je voorbereid zijn.
Wil je jouw organisatie beschermen tegen deepfake-fraude en andere AI-gerelateerde bedreigingen? Neem contact op met CleverTech voor een risicoanalyse en een op maat gemaakt beschermingsplan.
Meer over Beveiliging & Compliance
GDPR-boetes kunnen oplopen tot 20 miljoen of 4% van je jaaromzet. Leer hoe je AI inzet zonder de Autoriteit Persoonsgegevens op je dak te krijgen.
AI-tools verbieden werkt niet: 60% gebruikt het toch via privé-accounts. Ontdek het 4-Layer Security Model voor veilig AI-gebruik
Private AI kost €500-5000/maand, een data breach gemiddeld €87.000. Ontdek waarom een eigen AI-omgeving essentieel is voor elk bedrijf
Ontdek hoe CleverTech jouw organisatie kan helpen met AI-beveiliging en compliance.
Sarah Chen is Lead AI Architect bij CleverTech met meer dan 10 jaar ervaring in het ontwerpen en implementeren van AI-systemen voor enterprise klanten. Ze is gespecialiseerd in AI-agents, machine learning architecturen en schaalbare AI-oplossingen. Sarah heeft een achtergrond in computerwetenschappen en heeft bij verschillende tech-bedrijven gewerkt voordat ze bij CleverTech kwam. Ze schrijft regelmatig over AI-transformatie en de praktische toepassing van AI-agents in bedrijfsomgevingen.
Ontvang wekelijks praktische inzichten over AI-veiligheid en compliance in je inbox.
In een kort gesprek bespreken we jouw situatie en laten we zien welke processen het meeste opleveren als je ze automatiseert. Geen verplichtingen.
Gratis · vrijblijvend · reactie binnen 24 uur
Al 40+ bedrijven besparen tijd en kosten met onze oplossingen.
