facebook-pixel
L
Lunyb

QR-Code Oplichting: Zo Bescherm Je Jezelf in 2026

L
Lunyb Beveiligingsteam
··8 min read

QR-codes zijn niet meer weg te denken uit ons dagelijks leven. We scannen ze op terrassen om de menukaart te bekijken, op parkeerautomaten om te betalen en in winkels om kortingen te verzilveren. Maar deze populariteit heeft ook een schaduwzijde: QR-code oplichting, ook wel quishing genoemd, neemt explosief toe. De Fraudehelpdesk en de Nederlandse politie waarschuwen steeds vaker voor deze nieuwe vorm van phishing.

In dit artikel leggen we uit wat QR-code oplichting precies is, hoe je het herkent en welke concrete maatregelen je kunt nemen om jezelf en je organisatie te beschermen.

Wat is QR-code oplichting (quishing)?

QR-code oplichting is een vorm van phishing waarbij criminelen frauduleuze QR-codes gebruiken om slachtoffers naar nepwebsites te leiden of malware te installeren. De term quishing is een samenvoeging van "QR" en "phishing". Omdat een QR-code voor het menselijk oog onleesbaar is, weet je pas waar je terechtkomt nadat je hem hebt gescand — en dan is het soms al te laat.

De oplichting werkt doorgaans zo: je scant een QR-code, wordt doorgestuurd naar een website die er identiek uitziet als die van je bank, DigiD of een betalingsdienst, en daar worden je inloggegevens of betaalinformatie buitgemaakt.

Waarom QR-codes zo gevoelig zijn voor misbruik

  • Geen visuele controle mogelijk: je ziet niet waar de code naartoe leidt.
  • Vertrouwen door context: een sticker op een parkeerautomaat lijkt automatisch legitiem.
  • Mobiel gebruik: op je telefoon zijn URL's lastiger te controleren dan op een desktop.
  • Snelheid: mensen scannen vaak haastig zonder na te denken.

Veelvoorkomende vormen van QR-code oplichting in Nederland

De Autoriteit Persoonsgegevens (AP) en de Fraudehelpdesk zien meerdere terugkerende patronen. Hieronder de belangrijkste varianten waar Nederlandse consumenten in 2026 mee te maken krijgen.

1. Nep-parkeerautomaten

Oplichters plakken hun eigen QR-sticker over de officiële code op parkeerautomaten in steden als Amsterdam, Rotterdam en Utrecht. Wie scant, komt op een nepbetaalpagina terecht en geeft onbewust zijn bankgegevens af. Sommige slachtoffers verloren in één dag duizenden euro's.

2. Frauduleuze laadpaal-codes

Bij elektrische laadpalen zien we hetzelfde patroon: een echte QR-code wordt overplakt met een nep-exemplaar. Het slachtoffer denkt te betalen voor stroom, maar machtigt in werkelijkheid een doorlopende incasso of geeft zijn creditcardgegevens prijs.

3. Phishing per brief of e-mail

Criminelen versturen brieven die lijken te komen van de Belastingdienst, een bank of energieleverancier. In de brief staat een QR-code met de vraag om "je gegevens te verifiëren". De code leidt naar een nepwebsite waar inloggegevens worden gestolen.

4. Nep-restaurantmenu's

Op terrassen worden tafelstickers met QR-menu's overplakt. In plaats van het menu zie je een formulier dat vraagt om persoonsgegevens of een betaling voor een "servicekosten-app".

5. Malafide donatie-codes

Bij goede doelen, kerken of crowdfunding-acties verschijnen valse QR-codes die direct naar de portemonnee van oplichters leiden. Vooral rond feestdagen en rampen pieken deze meldingen.

Hoe herken je een frauduleuze QR-code?

Helaas zijn frauduleuze QR-codes visueel niet te onderscheiden van echte. Maar je kunt wel letten op signalen rond de code en op wat er gebeurt nadat je hem hebt gescand.

Waarschuwingssignalen vóór het scannen

  1. Sticker op een sticker: kijk of de QR-code overplakt lijkt. Probeer voorzichtig met je nagel of er een laag overheen zit.
  2. Slechte afdrukkwaliteit: officiële codes zijn meestal scherp gedrukt; nep-codes ogen vaak korrelig.
  3. Ongebruikelijke locatie: een losse sticker op een lantaarnpaal of een afwijkende plek op een automaat is verdacht.
  4. Onverwachte post: brieven met QR-codes van overheidsinstanties zijn zeldzaam — de Belastingdienst gebruikt ze bijvoorbeeld nooit voor betalingen.
  5. Tijdsdruk: "betaal binnen 24 uur of riskeer een boete" is een klassiek phishing-signaal.

Waarschuwingssignalen ná het scannen

  • De URL bevat tikfouten of vreemde tekens (bijv. belastingdiens-nl.com).
  • Je wordt gevraagd om DigiD, bankgegevens of een TAN-code in te voeren.
  • De website ziet er net iets anders uit dan je gewend bent.
  • Er wordt direct een app- of bestandsdownload gestart.
  • Je krijgt een verzoek om een betaalverzoek goed te keuren dat je niet zelf hebt geïnitieerd.

10 praktische tips om jezelf te beschermen

Goede bescherming tegen quishing is een combinatie van gezond wantrouwen en de juiste technische instellingen. Volg deze tien tips om het risico drastisch te verlagen.

  1. Controleer altijd de URL na het scannen. De meeste smartphones tonen de link voordat je hem opent — lees deze zorgvuldig.
  2. Gebruik een QR-scanner met previewfunctie. Veel beveiligingssuites bieden scanners die de bestemming controleren tegen bekende phishingdatabases.
  3. Vermijd QR-codes voor betalingen op openbare locaties. Gebruik liever de officiële app van het parkeer- of laadnetwerk.
  4. Voer nooit DigiD of bankgegevens in via een pagina die je via een QR-code hebt bereikt zonder de URL eerst handmatig te verifiëren.
  5. Activeer tweefactorauthenticatie (2FA) op al je belangrijke accounts. Zelfs als je gegevens worden gestolen, is je account dan beter beveiligd.
  6. Houd je telefoon en apps up-to-date. Beveiligingsupdates blokkeren veel bekende kwaadaardige domeinen automatisch.
  7. Gebruik een privacyvriendelijke browser met ingebouwde phishingbescherming. Zie ook onze vergelijking van de beste privacyvriendelijke browsers van 2026.
  8. Wees extra alert bij brieven en e-mails met QR-codes. Bel altijd het officiële nummer van de afzender om te verifiëren.
  9. Meld verdachte codes bij de Fraudehelpdesk (0800-2112) en bij de eigenaar van de locatie (gemeente, exploitant van de laadpaal, enz.).
  10. Praat erover. Ouderen en jongeren zijn statistisch het kwetsbaarst — informeer je familie en collega's.

QR-codes voor bedrijven: veiligheid voor jouw klanten

Als ondernemer wil je natuurlijk niet dat klanten via jouw QR-code worden opgelicht. Het is daarom belangrijk om traceerbare en controleerbare QR-codes te gebruiken. Een professionele URL-shortener zoals Lunyb biedt hierin een aantal voordelen: je kunt zien hoe vaak een code is gescand, je herkent ongebruikelijke pieken (mogelijk een teken van misbruik) en je kunt de bestemming bijwerken zonder de fysieke code opnieuw te hoeven drukken.

In onze complete handleiding voor het maken van eigen korte links leggen we stap voor stap uit hoe je dit aanpakt.

Vergelijking: gewone QR-code vs. beheerde QR-code

Eigenschap Gewone QR-code Beheerde QR-code (via shortener)
Bestemming achteraf wijzigen Niet mogelijk Ja
Statistieken en monitoring Geen Volledig dashboard
Verdachte activiteit detecteren Onmogelijk Mogelijk via scanpatronen
Branded URL voor herkenbaarheid Nee Ja
Kosten bij wijziging Nieuwe drukronde nodig Geen extra kosten

Wat te doen als je slachtoffer bent geworden?

Snel handelen kan veel schade beperken. Volg dit stappenplan zodra je vermoedt dat je bent opgelicht.

  1. Bel direct je bank. Vraag om een spoedblokkade van je rekening en pas. De meeste banken hebben een 24/7 fraudelijn.
  2. Wijzig al je wachtwoorden, te beginnen met die van je e-mail, bank en DigiD.
  3. Doe aangifte bij de politie via politie.nl of op het bureau. Voor terugvordering bij je bank is een aangiftenummer vaak verplicht.
  4. Meld het bij de Fraudehelpdesk (fraudehelpdesk.nl). Zij verzamelen meldingen en waarschuwen anderen.
  5. Controleer je transacties van de afgelopen weken op ongebruikelijke afschrijvingen.
  6. Informeer de eigenaar van de locatie waar de frauduleuze QR-code hing, zodat anderen niet hetzelfde overkomt.
  7. Houd alle bewijzen bij: screenshots, foto's van de QR-code, e-mails en transactiebewijzen.

Juridische aspecten en je rechten

In Nederland heb je als slachtoffer van fraude verschillende rechten. Banken zijn op grond van de Wft en EU-richtlijnen verplicht om bij niet-geautoriseerde transacties het bedrag terug te boeken, tenzij sprake is van "grove nalatigheid" van jouw kant. Het invoeren van gegevens op een phishingsite valt soms onder die noemer, dus de uitkomst is niet altijd zeker.

Daarnaast heb je recht op inzage en verwijdering van eventueel gestolen persoonsgegevens. Lees meer in onze gids over privacy in Nederland en jouw rechten. De Autoriteit Persoonsgegevens (AP) is de toezichthouder waar je terechtkunt voor klachten over verwerking van persoonsgegevens.

Voor ondernemers is het van belang om datalekken die voortvloeien uit QR-fraude binnen 72 uur te melden bij de AP onder de AVG. Bekijk hiervoor ook ons artikel over gegevensbescherming voor bedrijven en algemene online privacytips.

De toekomst van QR-veiligheid

Goede ontwikkelingen zijn er ook. Smartphonefabrikanten als Apple en Google integreren steeds geavanceerdere phishingdetectie in hun camera-apps. Banken experimenteren met "verified QR" — een digitaal handtekeningsysteem dat een echte van een nep-code onderscheidt. En in Europa wordt gewerkt aan standaarden onder de eIDAS 2.0-verordening die ook QR-betalingen veiliger moeten maken.

Tot die tijd blijft de belangrijkste verdedigingslinie: bewustzijn. Een gezonde dosis scepsis bij elke QR-code die je tegenkomt, kan je heel veel ellende besparen.

Veelgestelde vragen over QR-code oplichting

Kan ik gehackt worden alleen door een QR-code te scannen?

In de meeste gevallen niet direct. Een QR-code opent meestal alleen een URL. Het echte gevaar zit in wat je daarna doet: gegevens invoeren of een app downloaden. In zeldzame gevallen kunnen kwetsbaarheden in oudere besturingssystemen wel misbruikt worden, dus updates installeren is essentieel.

Zijn QR-codes in restaurants veilig?

Meestal wel, maar controleer altijd of de sticker niet is overplakt en of de URL na scannen logisch lijkt (bijvoorbeeld de naam van het restaurant of een bekend menuplatform). Voer nooit betalingsgegevens in via een terras-QR-code; betaal liever aan de bar of via een PIN-terminal.

Welke QR-scanner-app is het veiligst?

De ingebouwde camera-app van iOS en Android is doorgaans veilig en toont de URL voordat je hem opent. Voor extra bescherming kun je apps gebruiken die de URL controleren tegen phishingdatabases, zoals die van bekende beveiligingsleveranciers (Bitdefender, Kaspersky, Norton).

Krijg ik mijn geld terug van de bank na QR-fraude?

Dat hangt af van de omstandigheden. Heeft de oplichter zonder jouw toedoen geld afgeschreven, dan moet de bank in principe terugbetalen. Heb je zelf een betaling goedgekeurd of inloggegevens prijsgegeven, dan kan de bank "grove nalatigheid" stellen. Doe altijd direct aangifte en bewaar alle bewijzen om je positie te versterken.

Hoe kan mijn bedrijf veilige QR-codes aanbieden aan klanten?

Gebruik een betrouwbare URL-shortener met monitoring (zoals Lunyb), print de QR-code op moeilijk te overplakken materiaal, controleer regelmatig de fysieke locaties en communiceer duidelijk welke domeinen jouw klanten kunnen verwachten. Combineer dit met een goed datalekprotocol en je bedrijf is goed voorbereid.

Protect your links with Lunyb

Create secure, trackable short links and QR codes in seconds.

Get Started Free

Related Articles

Wat Google over Jou Weet: Complete Gids voor Jouw Digitale Profiel (2026)

Google verzamelt enorme hoeveelheden data over jou: van zoekopdrachten en locaties tot interesses en aankopen. Ontdek precies wat Google over jou weet en hoe je deze informatie kunt inzien, beperken en verwijderen volgens de AVG.

8 min

Is Mijn Telefoon Gehackt? 10 Waarschuwingssignalen en Wat Te Doen (2026)

Een gehackte telefoon kan leiden tot identiteitsdiefstal, financiele schade en privacyverlies. In deze gids leer je 10 concrete waarschuwingssignalen herkennen en welke stappen je direct moet nemen om je smartphone te beveiligen.

8 min

End-to-End Encryptie Uitgelegd: Complete Gids voor Veilige Communicatie 2026

End-to-end encryptie (E2EE) is essentieel voor jouw digitale privacy in 2026. In deze complete gids leggen we uit hoe het werkt, welke apps het gebruiken, en hoe je het effectief kunt inzetten om jouw communicatie te beschermen tegen hackers, datalekken en surveillance.

8 min

Datalek: Wat te Doen als Slachtoffer - Stap-voor-Stap Actieplan 2024

Slachtoffer van een datalek? Dit complete actieplan met 7 stappen helpt je snel en effectief reageren om verdere schade te voorkomen. Van het beveiligen van accounts tot juridische stappen - alles wat je moet weten.

7 min