QR-Code Oplichting: Zo Bescherm Je Jezelf in 2026
QR-codes zijn overal: op parkeerautomaten, restaurantmenu's, terrasborden, betaalverzoeken en zelfs op officiële brieven. Handig, maar deze zwart-witte vierkantjes zijn ook uitgegroeid tot een van de populairste wapens van cybercriminelen. QR-code oplichting, ook wel quishing genoemd, heeft in Nederland de afgelopen jaren gezorgd voor miljoenen euro's aan schade.
In deze gids leggen we uit hoe QR-code oplichting werkt, welke vormen er zijn, hoe je een valse QR-code herkent en welke concrete stappen je vandaag nog kunt zetten om jezelf, je gezin en je bedrijf te beschermen.
Wat is QR-Code Oplichting (Quishing)?
QR-code oplichting is een vorm van phishing waarbij criminelen een QR-code gebruiken om slachtoffers naar een frauduleuze website te lokken of om schadelijke software te installeren. De term quishing is een samentrekking van 'QR' en 'phishing'.
Omdat je met het blote oog niet kunt zien waar een QR-code naartoe leidt, zijn ze uitermate geschikt voor misleiding. De code kan verwijzen naar een neppagina van je bank, een frauduleuze betaalpagina of een download van kwaadaardige software.
Waarom QR-codes zo effectief zijn voor oplichters
- Geen zichtbare URL: Je ziet pas na het scannen waar je terechtkomt, en zelfs dan is de link vaak verkort.
- Vertrouwen op fysieke context: Als een sticker op een parkeerautomaat plakt, gaan mensen ervan uit dat die er hoort.
- Snel handelen: Mensen scannen vaak zonder na te denken, vooral onder tijdsdruk.
- Moeilijk te detecteren: Antivirus- en spamfilters herkennen QR-codes in afbeeldingen of op stickers niet.
De Meest Voorkomende Vormen van QR-Code Oplichting
QR-code oplichting komt in vele varianten voor. Hieronder de vormen die op dit moment het meest voorkomen in Nederland.
1. Parkeerautomaat-oplichting
Criminelen plakken valse QR-code stickers over de originele codes op parkeerautomaten of parkeerborden. Wie scant, komt op een neppagina die lijkt op die van bijvoorbeeld een gemeente of parkeerprovider. Slachtoffers vullen hun bankgegevens in, waarna criminelen toegang krijgen tot hun rekening.
2. Nep-betaalverzoeken (Tikkie-fraude via QR)
Via Marktplaats, Vinted of andere platformen sturen oplichters een QR-code om 'de betaling te bevestigen'. In werkelijkheid autoriseer je een machtiging of log je in op een nepbanksite waardoor je gegevens worden buitgemaakt.
3. Bank-phishing per post
Er zijn gevallen bekend waarin oplichters brieven versturen die eruitzien alsof ze van een bank komen, met een QR-code om 'je account te verifiëren' of 'nieuwe voorwaarden te accepteren'. De code leidt naar een neppagina die vraagt om inloggegevens en tweefactor-codes.
4. Restaurant- en horecacodes
Op tafels in restaurants worden stickers over menu-QR-codes geplakt. De klant scant, denkt het menu te openen, maar wordt doorgestuurd naar een pagina die vraagt om persoonlijke of betaalgegevens.
5. Laadpaal-fraude
Bij openbare laadpalen voor elektrische auto's worden valse QR-stickers geplaatst. De bestuurder scant om te betalen voor de laadsessie en verliest daarmee geld of gegevens.
6. Prijzen en winacties
Flyers of posters beloven een gratis prijs of kortingscode als je de QR scant. De pagina vraagt vervolgens om persoonlijke gegevens, een 'kleine verzendkost' via je pinpas, of installeert malware op je telefoon.
Hoe Herken Je een Valse QR-Code?
Hoewel je niet altijd 100% zekerheid hebt, zijn er duidelijke signalen die wijzen op een frauduleuze QR-code.
Fysieke signalen
- Sticker over sticker: Zit er een QR-code sticker over een bestaande code heen geplakt? Dat is een groot alarmsignaal.
- Slechte printkwaliteit: Officiële codes zijn scherp gedrukt. Wazige, scheve of goedkoop uitziende codes zijn verdacht.
- Losse stickers op openbare apparatuur: Parkeerautomaten, laadpalen en betaalzuilen hebben QR-codes meestal geïntegreerd in het paneel, niet als losse sticker.
- Geen logo of context: Ontbreekt uitleg of een organisatielogo bij de code? Wees voorzichtig.
Digitale signalen na het scannen
- De URL bevat vreemde tekens, spelfouten of een domein dat niet overeenkomt met de organisatie.
- Je wordt direct gevraagd om in te loggen bij je bank of DigiD.
- De pagina vraagt om een app te installeren buiten de officiële App Store of Play Store om.
- De pagina vraagt om tweefactor-codes, pincodes of volledige creditcardgegevens.
- De verbinding is niet beveiligd (geen HTTPS/slotje in de adresbalk).
7 Concrete Stappen om Jezelf te Beschermen
Hieronder een praktisch stappenplan dat je vandaag nog kunt toepassen om QR-code oplichting te voorkomen.
- Controleer altijd de URL vóór je klikt. De meeste smartphones tonen na het scannen eerst de link. Lees deze zorgvuldig door voordat je op 'openen' tikt.
- Gebruik de camera-app in plaats van een aparte QR-scanner. Onbekende scan-apps kunnen zelf malware bevatten. iPhone en Android tonen de link standaard in de camera-app.
- Controleer de fysieke code op stickers. Voel voorzichtig of er een sticker overheen is geplakt. Zo ja: gebruik de code niet en meld het bij de eigenaar of gemeente.
- Betaal nooit via een QR-code op onbekende plekken. Gebruik in plaats daarvan de officiële app van de dienst (bijv. de parkeerapp of laadapp).
- Log nooit in via een QR-link. Ga altijd rechtstreeks naar de website van je bank via de browser of officiële app.
- Houd je telefoon en apps up-to-date. Beveiligingsupdates dichten kwetsbaarheden die via kwaadaardige links misbruikt kunnen worden.
- Schakel tweefactor-authenticatie in. Ook als je gegevens gestolen worden, is de kans op misbruik veel kleiner.
Wat te Doen Als Je Bent Opgelicht?
Ben je (mogelijk) slachtoffer geworden van QR-code oplichting? Snel handelen is cruciaal om schade te beperken.
Directe stappen (binnen 15 minuten)
- Neem direct contact op met je bank via het officiële noodnummer om je rekening te blokkeren.
- Verander wachtwoorden van je bankaccount en e-mail vanaf een ander apparaat.
- Zet de tweefactor-authenticatie opnieuw op met een nieuwe app of nieuw telefoonnummer.
- Maak schermafbeeldingen van de neppagina, de QR-code en eventuele berichten als bewijsmateriaal.
Vervolgstappen (binnen 24-48 uur)
- Doe aangifte bij de politie via 0900-8844 of politie.nl. Vermeld 'quishing' of 'QR-code fraude'.
- Meld het bij Fraudehelpdesk (fraudehelpdesk.nl).
- Controleer je bankafschriften de komende weken zorgvuldig op onbekende transacties.
- Als er persoonsgegevens zijn gelekt, overweeg dan de recht op vergetelheid procedure te starten bij eventuele publicatie van je gegevens.
Vergelijking: Veilige vs Onveilige QR-Code Situaties
| Situatie | Risiconiveau | Aanbevolen actie |
|---|---|---|
| QR in officiële brief van bank | Hoog | Niet scannen; bel de bank via nummer op je bankpas |
| QR op parkeerautomaat (sticker) | Hoog | Gebruik parkeerapp direct via App Store |
| QR in restaurantmenu op tafel | Middel | Controleer URL; vraag bij twijfel om papieren menu |
| QR in fysieke krant/tijdschrift | Laag | Controleer URL na scan; meestal veilig |
| QR op eigen gedrukt visitekaartje | Zeer laag | Veilig te scannen |
| QR van onbekende via WhatsApp/e-mail | Zeer hoog | Niet scannen; blokkeer afzender |
QR-Codes Veilig Gebruiken voor Bedrijven
Gebruik je zelf QR-codes voor klanten, bijvoorbeeld op flyers, menu's of verpakkingen? Dan heb je een verantwoordelijkheid om deze veilig aan te bieden.
Best practices voor bedrijven
- Gebruik een betrouwbare URL-shortener met tracking en beveiliging. Diensten zoals Lunyb bieden veilige, controleerbare QR-codes met linkanalyse, zodat je verdachte activiteiten kunt detecteren. Kijk ook naar onze vergelijking tussen Lunyb en Bitly.
- Vermeld altijd de bestemming. Zet naast de QR-code een korte tekst als 'Scan om ons menu op menu.restaurantnaam.nl te openen'.
- Controleer regelmatig fysieke locaties. Loop wekelijks langs betaalpunten, borden en menu's om te controleren of er geen stickers overheen zijn geplakt.
- Educatie voor personeel. Zorg dat medewerkers weten waar de originele codes zich bevinden en hoe ze fraude herkennen.
- Vraag geen gevoelige data via QR-links. Betalingen en logins horen thuis in officiële apps, niet in een browserflow na een QR-scan.
Voordelen en nadelen van dynamische QR-codes
Voordelen:
- Bestemming aanpasbaar zonder de code opnieuw te drukken
- Analyse van scans mogelijk (locatie, tijdstip, apparaat)
- Snel te blokkeren als een code gekopieerd wordt misbruikt
Nadelen:
- Afhankelijk van een externe dienst voor uptime
- Vaak alleen tegen betaling beschikbaar bij professionele providers
- Bezoekers zien een verkorte URL, wat vertrouwen kan verminderen als het domein onbekend is
De Rol van Privacywetgeving
Als je slachtoffer wordt van QR-code oplichting, worden vaak persoonsgegevens gestolen. Onder de AVG (Algemene Verordening Gegevensbescherming) heb je rechten wanneer je gegevens onrechtmatig verwerkt of gelekt worden.
De Autoriteit Persoonsgegevens (AP) kan bedrijven aanspreken als zij onvoldoende beveiliging bieden. Ben je slachtoffer? Dan kun je bij grootschalige datalekken zowel de betrokken organisatie als de AP inlichten.
Extra Tips voor Verhoogde Veiligheid
Naast de basisstappen zijn er enkele geavanceerdere maatregelen die je digitale veiligheid verder versterken.
- Gebruik een aparte 'wegwerp'-betaalrekening met een lage saldolimiet voor online transacties en QR-betalingen.
- Zet meldingen aan voor élke transactie in je bank-app, zodat je binnen seconden weet als er iets afgeschreven wordt.
- Wees extra voorzichtig op openbare WiFi. Combineer je een QR-scan met een openbare WiFi-verbinding, dan is het risico op onderschepping hoger.
- Herken telefonische vervolgoplichting. Na een QR-scam bellen oplichters vaak met een verhaal over 'veiligstellen van je geld'. Lees onze gids over het herkennen van oplichtingstelefoonnummers.
- Gebruik privacy-vriendelijke DNS-resolvers zoals die van Cloudflare (1.1.1.1) of Quad9 (9.9.9.9). Deze blokkeren bekende phishing-domeinen op netwerkniveau.
Veelgestelde Vragen (FAQ)
Kan een QR-code virussen op mijn telefoon zetten zonder dat ik iets doe?
Nee, alleen door een QR-code te scannen krijg je geen malware. Het risico ontstaat pas wanneer je op de link tikt en vervolgens iets downloadt, installeert of gegevens invult. Op moderne iPhones en Android-toestellen zijn extra downloads bovendien standaard geblokkeerd zonder toestemming.
Zijn QR-codes op officiële brieven van de overheid of bank veilig?
Niet automatisch. Er zijn meerdere gevallen bekend van namaakbrieven met valse QR-codes. Vertrouw nooit blind op een fysieke brief. Ga bij twijfel altijd rechtstreeks naar de website via de browser of gebruik de officiële app van de organisatie.
Wat is het verschil tussen phishing en quishing?
Phishing is de overkoepelende term voor oplichting waarbij criminelen zich voordoen als betrouwbare partij om gegevens te ontfutselen, meestal via e-mail of sms. Quishing is een specifieke vorm van phishing waarbij de misleidende link verstopt zit in een QR-code, waardoor traditionele spamfilters het niet detecteren.
Kan ik een QR-code controleren voordat ik hem scan?
Ja, er zijn online tools waar je een foto van een QR-code kunt uploaden om de bestemmings-URL te zien zonder te scannen. Ook de camera-apps van moderne telefoons tonen de URL eerst voordat je erop tikt. Bekijk deze URL altijd zorgvuldig op vreemde domeinnamen of spelfouten.
Ben ik verzekerd tegen schade door QR-code oplichting?
Dat hangt af van je bank en de omstandigheden. Banken hanteren een 'grove nalatigheid'-toets. Heb je zelf je inloggegevens en tweefactor-code ingevuld op een neppagina, dan kan de bank stellen dat je nalatig was en de schade niet vergoeden. Neem altijd direct contact op met je bank en doe aangifte om je zaak te versterken.
Conclusie
QR-code oplichting groeit snel omdat het effectief, moeilijk te detecteren en simpel uit te voeren is. Toch ben je niet machteloos: door de bestemmings-URL altijd te controleren, geen betalingen of logins via QR-codes uit te voeren, en op fysieke plekken te letten op verdachte stickers, verklein je het risico aanzienlijk.
Het belangrijkste principe blijft: een QR-code is nooit een noodmiddel. Als iets écht van je bank, gemeente of parkeerprovider komt, kun je het altijd ook via de officiële app of website afhandelen. Neem die extra 30 seconden om te controleren, het kan je duizenden euro's besparen.
Protect your links with Lunyb
Create secure, trackable short links and QR codes in seconds.
Get Started FreeRelated Articles
Openbaar WiFi: Is het Veilig? Complete Gids voor 2026
Openbaar WiFi is in 2026 minder gevaarlijk dan vroeger, maar niet risicoloos. Ontdek de echte gevaren, welke mythes je kunt negeren en welke 10 concrete stappen je moet nemen voor veilig gebruik van publieke netwerken.
Cybersecurity voor Belgische KMO's: Complete Gids 2026
Belgische KMO's zijn steeds vaker slachtoffer van cyberaanvallen. Deze complete gids behandelt de belangrijkste bedreigingen, wettelijke verplichtingen (GDPR, NIS2) en 10 concrete maatregelen die elke KMO vandaag kan implementeren.
Wat Google over Jou Weet: Complete Privacy Gids 2026
Google verzamelt duizenden datapunten over elke gebruiker. Ontdek precies wat Google over jou weet, hoe je deze data kunt inzien via My Activity, en welke 7 stappen je kunt nemen om je privacy terug te krijgen onder de AVG.
Is Mijn Telefoon Gehackt? 10 Waarschuwingssignalen (2026)
Een gehackte telefoon verraadt zichzelf vaak door subtiele signalen zoals oververhitting, snel leeglopende batterij of vreemde pop-ups. In dit artikel bespreken we 10 duidelijke waarschuwingssignalen en leggen we uit welke stappen je direct moet nemen om je toestel en gegevens te beschermen.