Je wachtwoord is niet genoeg. Dat weet je ondertussen wel. Maar die sms-code die je bank of e-mail stuurt? Die is in 2026 ook niet meer waterdicht. Tijd om even stil te staan bij wat MFA precies is, en waarom je beter vandaag nog overstapt naar een veiliger alternatief.
Eén sleutel is niet genoeg
Stel je een bankkluisje voor. Om dat te openen heb je twee sleutels nodig: die van jezelf én die van de bankmedewerker. Met slechts één van de twee kom je nergens. Dat principe noemen we Multi-Factor Authenticatie, of kortweg MFA.
Digitaal werkt het net zo. In plaats van alleen een wachtwoord (dat gestolen kan worden), vraagt MFA een extra bewijs dat jij het echt bent. Die bewijzen vallen in drie categorieën:
Iets wat je weet, zoals een wachtwoord of pincode. Iets wat je hebt, zoals je smartphone of een speciale beveiligingssleutel. Iets wat je bent, zoals je vingerafdruk of gezicht.
De kracht zit in de combinatie. Een hacker kan misschien je wachtwoord achterhalen via een datalek, maar zonder je telefoon of vingerafdruk blijft de deur dicht.
Waarom SMS-codes niet meer volstaan
Jarenlang was de sms-code dé standaard. Je logt in, je krijgt een code op je gsm, je typt die over. Simpel en vertrouwd. Maar in 2026 is die methode een zwakke schakel geworden. De grootste boosdoener? Sim-swapping.
Sim-swapping: de digitale verhuistruc
Sim-swapping klinkt technisch, maar het principe is eigenlijk simpel. Vergelijk het met iemand die naar het postkantoor stapt met een valse identiteitskaart op jouw naam. Hij vertelt de medewerker dat hij verhuisd is en vraagt om alle post naar zijn nieuwe adres te sturen. De medewerker gelooft hem en regelt het. Vanaf dat moment krijgt de oplichter jouw brieven, inclusief bankafschriften en nieuwe pincodes. Jij merkt alleen dat je geen post meer ontvangt.
Digitaal werkt het net zo. Een crimineel belt je telecomprovider (Proximus, Telenet, Orange) en doet zich voor als jou. Met gegevens die hij op sociale media vond, overtuigt hij de medewerker om je nummer over te zetten naar een nieuwe simkaart. Zodra dat lukt, valt jouw telefoon stil. En de crimineel? Die ontvangt nu al jouw sms’jes, inclusief die inlogcodes van je bank.
Waarom is dit in 2026 erger dan vijf jaar geleden?
Twee ontwikkelingen maken sim-swapping gevaarlijker dan ooit. Ten eerste gebruiken criminelen nu AI om stemmen na te bootsen. Ze bellen de klantendienst en klinken exact zoals jij. Medewerkers hebben het steeds moeilijker om fraude te herkennen.
Ten tweede scannen geautomatiseerde systemen het internet continu af naar gelekte wachtwoorden en telefoonnummers. Die worden razendsnel gekoppeld en misbruikt, vaak binnen uren na een datalek.
De cijfers liegen er niet om
Specifieke statistieken over sim-swapping zijn schaars omdat ze vaak onder de brede noemer “phishing” vallen. Maar de trends in België zijn duidelijk.
Volgens Febelfin werd er in 2024-2025 jaarlijks zo’n 49 miljoen euro buitgemaakt via phishing en verwante fraude. Tegelijk zien we een explosie van smishing: phishing via sms. Criminelen sturen berichten die van Itsme of de FOD Financiën lijken te komen. Omdat we gewend zijn aan sms-codes, trappen we er sneller in.
In onze buurlanden steeg sim-swapping met meer dan 1000 procent. België volgt die trend, vooral omdat onze telefoonnummers vaak gekoppeld zijn aan Itsme, de sleutel tot onze digitale overheid en bankzaken.
Wat gebruik je dan wel?
Gelukkig bestaan er betere alternatieven die je vandaag nog kunt activeren.
Authenticator apps zoals Google Authenticator of Microsoft Authenticator genereren elke 30 seconden een nieuwe code op je toestel zelf. Die code reist niet over het telefoonnetwerk en kan dus niet onderschept worden door een sim-swap.
Itsme is in België de standaard geworden en met reden. De app is gekoppeld aan jouw specifieke smartphone én je simkaart, én beveiligd met een extra code of vingerafdruk. Als iemand je nummer steelt via sim-swapping, kan hij alsnog niet inloggen omdat hij jouw fysieke telefoon niet heeft.
Passkeys zijn de toekomst. Je logt in met je gezicht of vingerafdruk, zonder wachtwoord dat gestolen kan worden en zonder sms die onderschept kan worden. Steeds meer diensten ondersteunen dit al.
Wat kun je vandaag doen?
Drie concrete stappen om je beveiliging op te schroeven:
Schakel authenticator apps in voor je belangrijkste accounts: e-mail, cloudopslag, boekhoudsoftware. De meeste diensten bieden dit aan onder “Beveiliging” of “Tweestapsverificatie” in de instellingen.
Gebruik Itsme waar mogelijk. Voor Belgische overheidsdiensten en banken is dit de veiligste optie.
Controleer je telecomprovider. Vraag of ze extra beveiliging bieden tegen sim-swapping, zoals een persoonlijke pincode voor wijzigingen aan je abonnement.
Hulp nodig?
MFA correct instellen voor je hele bedrijf is niet altijd eenvoudig. Welke accounts hebben prioriteit? Hoe zorg je dat medewerkers het effectief gebruiken? En wat doe je als iemand zijn telefoon verliest?
Bij Cyberplan helpen we Vlaamse ondernemers om dit soort beveiligingslagen praktisch in te richten, zonder dat je een IT-diploma nodig hebt om het te begrijpen. Benieuwd waar jouw bedrijf staat? Plan een vrijblijvend gesprek in en we bekijken samen welke stappen voor jou het meeste verschil maken.
