Sinds 1 januari 2026 is e-facturatie voor transacties tussen bedrijven onderling verplicht in België. Met meer dan één miljoen ondernemingen die reeds een Peppol-ID hebben, behoort de adoptiegraad van Peppol tot de hoogste ter wereld. We merken ook dat het volume aan Peppolfacturen die nu uitgewisseld worden, sterk toeneemt.
Het e-facturatiemandaat is niet enkel een verplichting, het biedt ondernemingen ook heel wat voordelen zoals vlottere verwerking van facturen, snellere betalingen en facturen die rechtstreeks in een softwareprogramma komen, en zo ook digitaal met de accountant worden gedeeld. Bovendien zou Peppol ook een veiligere manier zijn om facturen uit te wisselen; maar is dat ook zo? Hoe zit het met die veiligheid op Peppol?
Het e-facturatiemandaat is niet enkel een verplichting, het biedt ondernemingen ook heel wat voordelen zoals vlottere verwerking van facturen, snellere betalingen en facturen die rechtstreeks in een softwareprogramma komen, en zo ook digitaal met de accountant worden gedeeld. Bovendien zou Peppol ook een veiligere manier zijn om facturen uit te wisselen; maar is dat ook zo? Hoe zit het met die veiligheid op Peppol?
Een veilige snelweg
Peppol werkt volgens het zogenoemde vier-hoekenmodel (four-corner model). Daarbij worden vier actoren onderscheiden: de software van de verzender, het Peppol Access Point van de verzender, het Access Point van de ontvanger en de software van de ontvanger. Deze vier hoeken vormen meteen ook de mogelijke risicopunten binnen het Peppolnetwerk. De verbindingen tussen deze hoeken zijn echter sterk beveiligd en kunnen het best worden vergeleken met een gesloten telefoonnetwerk. Ze zijn bijzonder moeilijk te onderscheppen of te kraken. Peppol functioneert daardoor als een parallel netwerk bovenop het internet, dat uitsluitend toegankelijk is voor gecertificeerde Access Points.
De tweede en derde hoek – de Peppol Access Points – worden ingevuld door gecertificeerde dienstverleners. Zij moeten voldoen aan strikte regels die worden vastgelegd door OpenPeppol, een vzw gevestigd in Brussel die het afsprakenkader rond Peppol beheert. Zo is onder meer een ISO 27001-certificaat verplicht, wat aantoont dat de organisatie haar IT-beveiliging structureel en volgens internationale normen beheert.
De mogelijke zwakke schakel bevindt zich vooral bij de toegang tot het Peppol-netwerk, met name in hoek 1 en hoek 4: de verzender en de ontvanger. Volgens de Peppol-overeenkomst (TIA) is het een harde verplichting dat Access Points de identiteit van bedrijven grondig verifiëren vóór zij een Peppol-ID toekennen. Die verificatie kan gebeuren via verschillende methodes, zoals itsme®, sms-bevestiging of e-mail. Niet al deze methodes bieden echter hetzelfde beveiligingsniveau, wat potentiële risico’s met zich meebrengt.
Voor het ontvangen van facturen kan een Peppol-ID slechts bij één Access Point geregistreerd zijn. In België gebeurt die registratie meestal op basis van het ondernemingsnummer (verplicht, met Peppol-prefix 0208) en eventueel ook het btw-nummer (optioneel maar sterk aanbevolen, met Peppol-prefix 9925). Zodra een Peppol-ID correct is geregistreerd, kan geen andere partij dit nog claimen en komen facturen veilig toe bij het juiste Access Point.
Het risico ontstaat wanneer een onderneming haar 9925‑Peppol-ID (btw-nummer) niet registreert. In dat geval bestaat de mogelijkheid dat deze Peppol-ID per vergissing of met malafide bedoelingen bij een andere partij wordt geregistreerd. Facturen die naar dat btw-nummer worden verstuurd, kunnen dan verloren gaan of zelfs onderschept worden.
Voor het verzenden van facturen geldt daarentegen dat dit via meerdere Access Points mogelijk is. Zelfs wanneer een onderneming al geregistreerd is, kunnen facturen technisch gezien vanuit een andere toepassing worden verzonden. Dat kan in bepaalde situaties nuttig zijn, maar brengt ook extra risico’s met zich mee. Net daarom is een sterke identiteitscontrole van cruciaal belang.
De tweede en derde hoek – de Peppol Access Points – worden ingevuld door gecertificeerde dienstverleners. Zij moeten voldoen aan strikte regels die worden vastgelegd door OpenPeppol, een vzw gevestigd in Brussel die het afsprakenkader rond Peppol beheert. Zo is onder meer een ISO 27001-certificaat verplicht, wat aantoont dat de organisatie haar IT-beveiliging structureel en volgens internationale normen beheert.
De mogelijke zwakke schakel bevindt zich vooral bij de toegang tot het Peppol-netwerk, met name in hoek 1 en hoek 4: de verzender en de ontvanger. Volgens de Peppol-overeenkomst (TIA) is het een harde verplichting dat Access Points de identiteit van bedrijven grondig verifiëren vóór zij een Peppol-ID toekennen. Die verificatie kan gebeuren via verschillende methodes, zoals itsme®, sms-bevestiging of e-mail. Niet al deze methodes bieden echter hetzelfde beveiligingsniveau, wat potentiële risico’s met zich meebrengt.
Voor het ontvangen van facturen kan een Peppol-ID slechts bij één Access Point geregistreerd zijn. In België gebeurt die registratie meestal op basis van het ondernemingsnummer (verplicht, met Peppol-prefix 0208) en eventueel ook het btw-nummer (optioneel maar sterk aanbevolen, met Peppol-prefix 9925). Zodra een Peppol-ID correct is geregistreerd, kan geen andere partij dit nog claimen en komen facturen veilig toe bij het juiste Access Point.
Het risico ontstaat wanneer een onderneming haar 9925‑Peppol-ID (btw-nummer) niet registreert. In dat geval bestaat de mogelijkheid dat deze Peppol-ID per vergissing of met malafide bedoelingen bij een andere partij wordt geregistreerd. Facturen die naar dat btw-nummer worden verstuurd, kunnen dan verloren gaan of zelfs onderschept worden.
Voor het verzenden van facturen geldt daarentegen dat dit via meerdere Access Points mogelijk is. Zelfs wanneer een onderneming al geregistreerd is, kunnen facturen technisch gezien vanuit een andere toepassing worden verzonden. Dat kan in bepaalde situaties nuttig zijn, maar brengt ook extra risico’s met zich mee. Net daarom is een sterke identiteitscontrole van cruciaal belang.
Sterke identiteit als essentieel element voor veiligheid
Een veilige uitwisseling van facturen via Peppol staat of valt met een strikte beveiliging van de toegang tot het netwerk door gecertificeerde Access Points. Dat gebeurt in de praktijk via een grondige identiteitscontrole. De Peppolregels schrijven echter niet tot in detail voor hoe die controle moet worden uitgevoerd, waardoor het beveiligingsniveau per Access Point kan verschillen.
In sommige landen, zoals Singapore, waar Peppol lokaal bekend staat als InvoiceNow, gelden zeer strenge en gestandaardiseerde voorschriften voor de identiteitsverificatie van ondernemingen. In België laat de bevoegde Peppol-autoriteit BOSA die keuze grotendeels over aan de Access Point-providers zelf.
Essentieel daarbij is dat niet alleen de identiteit van het bedrijf, maar ook die van de wettelijke vertegenwoordiger wordt vastgesteld. Een verificatie via sms of itsme® bevestigt immers enkel de identiteit van een natuurlijke persoon, zonder zekerheid te bieden dat die persoon bevoegd is om het bedrijf te vertegenwoordigen.
Net daarom combineren de best beveiligde Access Points een verificatie van zowel de onderneming als haar wettelijke vertegenwoordiger, om misbruik en fouten maximaal te voorkomen.
In sommige landen, zoals Singapore, waar Peppol lokaal bekend staat als InvoiceNow, gelden zeer strenge en gestandaardiseerde voorschriften voor de identiteitsverificatie van ondernemingen. In België laat de bevoegde Peppol-autoriteit BOSA die keuze grotendeels over aan de Access Point-providers zelf.
Essentieel daarbij is dat niet alleen de identiteit van het bedrijf, maar ook die van de wettelijke vertegenwoordiger wordt vastgesteld. Een verificatie via sms of itsme® bevestigt immers enkel de identiteit van een natuurlijke persoon, zonder zekerheid te bieden dat die persoon bevoegd is om het bedrijf te vertegenwoordigen.
Net daarom combineren de best beveiligde Access Points een verificatie van zowel de onderneming als haar wettelijke vertegenwoordiger, om misbruik en fouten maximaal te voorkomen.
CHECKLIST VOOR DE ACCOUNTANT
Wil je Peppol veilig en correct gebruiken? Ga dan zeker deze punten na bij je softwareleverancier of Peppol Access Point:
• Controleer of je Peppol Access Point ISO 27001‑gecertificeerd is.
• Registreer zowel je ondernemingsnummer (0208) als je btw-nummer (9925).
• Vraag na hoe je provider de identiteit en het mandaat van de wettelijke vertegenwoordiger controleert.
Met deze checklist verklein je het risico op fouten, misbruik of gemiste facturen en haal je maximaal voordeel uit veilige e-facturatie via Peppol.
🖋️ Over de auteur
Christophe Vanhoutte is lid van de e-invoicing Business Expert Group van het Verbond van Belgische Ondernemingen en tevens auteur voor Wolters Kluwer met een specialisatie in e-facturatie.
Meer artikels als deze?
