Bankrekening en IBAN verificatie: hoe rekeninggegevens valideren
Hoe een bankrekeningnummer en IBAN verifier in Nederland: structuur van de code, controle-algoritme, iDIN-verificatie, DNB-toezicht, SEPA-regelgeving, fraude bij overboekingen en geautomatiseerde verificatieoplossingen.
Dit artikel samenvatten met
ChatGPT
Claude
Perplexity
Gemini
GrokDe verificatie van bankgegevens is een fundamentele stap in elk klantacceptatieproces (KYC), leveranciersbetalingen of SEPA-incassomachtigingen. In Nederland vormt fraude met bankgegevens een toenemend risico: de Betaalvereniging Nederland rapporteerde dat betalingsfraude in 2023 voor meer dan 100 miljoen euro aan schade veroorzaakte, waarvan een aanzienlijk deel via gemanipuleerde overboekingen. De Nederlandsche Bank (DNB) en de Autoriteit Financiele Markten (AFM) verscherpen hun toezicht op betaalfraudepreventie. Deze gids beschrijft de structuur van het Nederlandse IBAN, de beschikbare verificatiemethoden en de beste praktijken om de financiele stromen van uw organisatie te beschermen.
Dit artikel is uitsluitend bedoeld ter informatie en vormt geen juridisch advies. Raadpleeg een juridisch professional voor situatiespecifiek advies.
Structuur van het Nederlandse IBAN
Nederland was een van de eerste landen die volledig overstapte op IBAN bij de SEPA-migratie. Het Nederlandse IBAN is met 18 tekens een van de kortste in Europa, wat het herkenbaar maakt maar ook betekent dat fouten bij handmatige invoer relatief snel worden opgemerkt.
Anatomie van een Nederlands IBAN
| Element | Positie | Lengte | Voorbeeld |
|---|---|---|---|
| Landcode | 1-2 | 2 letters | NL |
| Controlecijfers | 3-4 | 2 cijfers | 91 |
| Bankcode | 5-8 | 4 letters | ABNA |
| Rekeningnummer | 9-18 | 10 cijfers | 0417164300 |
De bankcode bestaat uit vier letters die de bank identificeren (bijvoorbeeld ABNA voor ABN AMRO, INGB voor ING, RABO voor Rabobank). Het rekeningnummer is altijd 10 cijfers, eventueel aangevuld met voorloopnullen.
Vergelijking van IBAN-structuren in Europa
| Land | Prefix | Lengte | Structuur na controlecijfers | Vorig formaat |
|---|---|---|---|---|
| Nederland | NL | 18 | 4 (bank letters) + 10 (rekeningnummer) | Rekeningnummer |
| Frankrijk | FR | 27 | 5 (bank) + 5 (kantoor) + 11 (rekening) + 2 (sleutel) | RIB |
| Duitsland | DE | 22 | 8 (Bankleitzahl) + 10 (rekeningnummer) | BLZ + Kontonummer |
| Spanje | ES | 24 | 4 (bank) + 4 (kantoor) + 2 (controle) + 10 (rekening) | CCC |
| Portugal | PT | 25 | 4 (bank) + 4 (kantoor) + 11 (rekening) + 2 (controle) | NIB |
| Verenigd Koninkrijk | GB | 22 | 4 (bank letters) + 6 (sort code) + 8 (rekening) | Sort code + Account |
Het IBAN-controle-algoritme (MOD 97-1)
De controlecijfers van het IBAN (posities 3-4) worden berekend met het MOD 97-1 algoritme, gedefinieerd door de norm ISO 7064. Deze validatie detecteert meer dan 98 % van de transcriptiefouten, inclusief transpositie van aangrenzende cijfers en tekensubstituties.
De verificatieprocedure bestaat uit vier stappen. Eerst de eerste vier tekens (landcode en controlecijfers) naar het einde van de reeks verplaatsen. Vervolgens alle letters omzetten naar cijfers volgens de tabel A=10, B=11, enzovoort. Dan de rest berekenen van de deling van het resulterende getal door 97. Als het resultaat gelijk is aan 1, is het IBAN syntactisch correct.
Deze wiskundige controle detecteert typefouten, maar bevestigt niet dat de rekening bestaat, actief is of toebehoort aan de opgegeven persoon.
iDIN: identiteitsverificatie via de bank
iDIN is een uniek Nederlands systeem waarmee consumenten en bedrijven hun identiteit kunnen verifieren via hun eigen bankapp. Bij iDIN logt de gebruiker in bij zijn bank en geeft toestemming om identiteitsgegevens (naam, geboortedatum, adres) te delen met de verzoekende partij. Dit systeem biedt een sterke koppeling tussen de bankrekening en de identiteit van de rekeninghouder.
iDIN voor IBAN-verificatie
Hoewel iDIN primair een identiteitsverificatiemiddel is, biedt het indirect een krachtige IBAN-verificatie. Wanneer een klant of leverancier zich via iDIN identificeert, bevestigt de bank impliciet dat de opgegeven identiteit gekoppeld is aan een actieve bankrekening bij die instelling. Dit maakt iDIN een waardevol aanvullend instrument naast directe IBAN-controles, met name bij het onboarden van nieuwe relaties.
Nederlandse regelgeving en toezicht
De verificatie van bankgegevens in Nederland valt onder meerdere wettelijke kaders. De Wet ter voorkoming van witwassen en financieren van terrorisme (Wwft) verplicht instellingen tot klantidentificatie en -verificatie, waaronder het vaststellen van de bankrekeninghouder bij relevante transacties. De Nederlandsche Bank (DNB) houdt toezicht op de naleving van deze verplichtingen door banken, betaalinstellingen en elektronischgeldinstellingen.
De Europese verordening inzake instantbetalingen, die in 2025-2026 volledig van kracht wordt, verplicht alle betaaldienstverleners in de SEPA-zone tot Verification of Payee (VoP): het verifieren van de overeenkomst tussen IBAN en naam van de begunstigde voor het uitvoeren van overboekingen. Deze verplichting geldt ook voor Nederlandse banken en betaalinstellingen.
De Betaalvereniging Nederland, de brancheorganisatie van de Nederlandse betaalsector, coordineert de implementatie van fraudepreventieve maatregelen en publiceert jaarlijks het Fraudemonitor-rapport.
Veelvoorkomende fraude in Nederland
Factuurfraude (IBAN-wijziging)
De fraudeur doet zich voor als een bestaande leverancier en verzendt een e-mail of brief met het verzoek om de bankgegevens te wijzigen. Zonder verificatie van de rekeninghouder worden de volgende betalingen naar de rekening van de fraudeur overgemaakt. Dit is de meest voorkomende vorm van betaalfraude bij bedrijven in Nederland.
CEO-fraude
De crimineel doet zich voor als een bestuurder en geeft opdracht tot een urgente overboeking naar een externe rekening. De waargenomen autoriteit en urgentie omzeilen de gebruikelijke interne controles.
Phishing en geldezels
Phishingcampagnes gericht op het verkrijgen van bankgegevens voeden een netwerk van geldezels (money mules) die worden gebruikt om frauduleuze gelden te ontvangen en door te sluizen. De politie en het Nationaal Cyber Security Centrum (NCSC) waarschuwen regelmatig voor deze praktijken.
Verificatiemethoden in de praktijk
Niveau 1: formaatvalidatie
Controleren of het IBAN voldoet aan het 18-tekens formaat voor Nederland, of de bankcode (4 letters) overeenkomt met een bij DNB geregistreerde instelling en of de MOD 97-1 controlecijfers correct zijn. Dit niveau detecteert invoerfouten.
Niveau 2: verificatie van het bestaan van de rekening
Vaststellen of de rekening bestaat en actief is. IBAN-verificatie-API's stellen vast of de rekening bestaat door het banknetwerk te raadplegen. Dit niveau detecteert verzonnen IBAN's of IBAN's behorend bij opgeheven rekeningen.
Niveau 3: verificatie van overeenkomst rekeninghouder-IBAN
De meest volledige controle verifieert of de rekeninghouder overeenkomt met de opgegeven entiteit. Met de invoering van VoP zullen Nederlandse banken deze controle systematisch implementeren. Deze verificatie wordt aangevuld met identiteitsverificatie en KYC-processen.
Beperkingen van syntactische validatie
Een IBAN kan alle format- en controlecijfervalidaties doorstaan en toch frauduleus zijn. Drie scenario's illustreren deze beperking.
Het eerste scenario is factuurmanipulatie: een fraudeur onderschept een legitieme factuur en vervangt het IBAN van de leverancier door zijn eigen rekeningnummer. Het IBAN van de fraudeur is technisch geldig, met correcte controlecijfers. Het tweede scenario betreft opgeheven rekeningen: een geldig IBAN kan behoren bij een gesloten rekening, wat leidt tot afwijzing van de overboeking met bijbehorende vertragingen en kosten. Het derde scenario is identiteitsfraude: een crimineel opent een rekening onder een valse identiteit en communiceert een perfect geldig IBAN.
Deze scenario's verklaren waarom syntactische verificatie altijd moet worden aangevuld met controles op de overeenkomst tussen de rekeninghouder en de opgegeven entiteit.
Automatisering van de verificatie van bankgegevens
Handmatige IBAN-verificatie is niet schaalbaar. Een financiele afdeling die honderden facturen per maand verwerkt, kan niet telefonisch de rekeninghouder van elke rekening verifieren. Geautomatiseerde documentvalidatieoplossingen maken het mogelijk om IBAN-verificatie direct te integreren in de workflow voor factuurverwerking en contractbeheer.
Het systeem extraheert het IBAN uit het document, valideert het formaat, controleert het bestaan van de rekening via een API en verifieert de overeenkomst met de naam van de opgegeven begunstigde. Elke wijziging van bankgegevens bij een bestaande leverancier genereert een waarschuwing en een secundair bevestigingsproces.
Deze geautomatiseerde aanpak integreert in een bredere strategie van klantenonderzoek en adresverificatie, waarbij elk document wordt gecontroleerd voordat het in het systeem wordt geaccepteerd.
Beste praktijken voor organisaties
De bescherming tegen fraude met bankgegevens vereist een combinatie van processen en technologie. Ten eerste het principe van dubbele validatie toepassen: elke wijziging van IBAN van een leverancier moet worden goedgekeurd door twee personen, waarvan een de leverancier contacteert via een onafhankelijk kanaal. Ten tweede een historisch overzicht van bankgegevens bijhouden met datum, motivering en registratie van elke wijziging. Ten derde waarschuwingen automatiseren bij IBAN-wijzigingen van bestaande leveranciers. Ten vierde het treasury- en crediteurenadministratiepersoneel opleiden in veelvoorkomende fraudepatronen en waarschuwingssignalen (ongebruikelijke urgentie, IBAN-wijziging vlak voor een belangrijke betaling, e-mail van een iets afwijkend domein).
Veelgestelde vragen
Is de validatie van de IBAN-controlecijfers voldoende om de veiligheid van een overboeking te garanderen?
Nee. Het MOD 97-1 algoritme controleert uitsluitend de wiskundige consistentie van het IBAN. Het bevestigt niet het bestaan van de rekening, de identiteit van de houder of dat de rekening actief is. Een syntactisch correct IBAN kan toebehoren aan een fraudeur.
Wat is iDIN en hoe helpt het bij IBAN-verificatie?
iDIN is een Nederlands identificatiesysteem waarmee personen zich verifieren via hun eigen bankapp. Hoewel iDIN primair een identiteitsmiddel is, bevestigt het impliciet de koppeling tussen de identiteit en een actieve bankrekening. Dit maakt het een waardevolle aanvulling op directe IBAN-controles bij het onboarden van nieuwe klanten of leveranciers.
Wat is Verification of Payee en wanneer wordt het verplicht in Nederland?
Verification of Payee (VoP) is een dienst die de overeenkomst verifieert tussen het IBAN en de naam van de begunstigde voordat een overboeking wordt uitgevoerd. De Europese verordening inzake instantbetalingen maakt deze verificatie verplicht voor alle betaaldienstverleners in de SEPA-zone. De volledige implementatie is voorzien tussen 2025 en 2026.
Wat moet een organisatie doen wanneer een leverancier een wijziging van bankgegevens aanvraagt?
Bankgegevens nooit bijwerken op basis van uitsluitend een e-mail of brief. Contact opnemen met de leverancier via een eerder geverifieerd telefoonnummer. Het nieuwe IBAN verifieren via een verificatie-API of VoP-dienst. Dubbele autorisatie vereisen voor elke wijziging van bankgegevens in het crediteurensysteem. De verificatie documenteren in het auditlogboek.
Hoe kan een vervalst IBAN in een factuur worden gedetecteerd?
De analyse van documentmetadata (aanmaakdatum, bewerkingssoftware, wijzigingsgeschiedenis) kan manipulatie onthullen. De vergelijking met eerder geregistreerde bankgegevens maakt het mogelijk verdachte wijzigingen te detecteren. Geautomatiseerde documentvalidatieoplossingen combineren beide benaderingen en voegen verificatie van de rekeninghouder via API toe.