De veiligheid van de facturen hangt af van:
- de gebruikte technologie,
- de controles die bestaan binnen de onderneming,
- de tussen de betrokken partijen gesloten overeenkomsten.
Het gebruik van het Peppol-netwerk geeft garanties voor de veilige overdracht van gegevens. De toegang tot het netwerk verloopt via gecertificeerde service providers. Dat kunt u vergelijken met een telecom-netwerk. E-mail als kanaal daarentegen is dan wel zeer flexibel maar het is ook zeer gevoelig voor factuurfraude en internetcriminaliteit (phishing, malware, ransomware ...).
‘Service Providers’ (ook ‘Access Points’ genoemd) in de Peppol-wereld zijn als brievenbussen in de papieren wereld: ingangs- en uitgangspunten in een transportnetwerk dat een efficiënte service garandeert. Die verantwoordelijkheid kan verdeeld worden over meerdere operatoren op voorwaarde dat ze zich verbinden tot gemeenschappelijke regels. In de Peppol-context worden die regels vastgelegd in een contract, de ‘Service Provider Agreement’. Dienstverleners ondertekenen dit contract met een Peppol-autoriteit (de overkoepelende Peppol-autoriteit, de Belgische vzw OpenPeppol, of de nationale Peppol-autoriteit, in België FOD BOSA). Alle dienstverleners zijn op de hoogte van de verschillende lokale regelgevingen waar ze actief willen zijn. (bron)
De meest recente lijst van service providers die een contract hebben getekend met FOD BOSA kunt u hier vinden: Belgian Peppol Authority. U vindt er ook de meest recente versie van de Peppol Service Provider Agreement (Nederlands en Frans). Er is daarnaast ook een wereldwijde lijst van service providers, waarvan sommigen ook in België actief zijn.
Kan iemand mijn onderneming registreren zonder mijn toestemming?
Om toegang te verkrijgen tot het netwerk, is identificatie van eindgebruikers (afgeleid van KYC-vereisten, Know Your Customer, uit de financiële sector) essentieel. Dit houdt in dat een verificatie van uw identiteit noodzakelijk is om een netwerkverbinding tot stand te brengen. Gedurende het registratieproces vraagt de softwareleverancier documentatie op die uw identiteit bevestigt en uw autorisatie verifieert om namens het betreffende bedrijf te handelen.
Waarom is identificatie van eindgebruikers belangrijk?
Om identiteitsfraude te voorkomen, is een correcte identificatie van de eindgebruiker essentieel. Zoals bij elk systeem ligt de zwakke schakel vaak bij handelingen die mensen handmatig moeten uitvoeren. Dit principe is echter niet vrijblijvend: een serviceprovider die de regels niet naleeft, riskeert zijn certificatie en toegang tot het netwerk te verliezen – en daarmee zijn volledige business.
Zijn er betere manieren dan identificatie van eindgebruikers?
Verschillende service providers hebben een deel van de eindgebruikersidentificatie geautomatiseerd, bijvoorbeeld via:
- identiteitscontrole: uitlezen certificaat op de Belgische identiteitskaart, gebruik van itsme© ….
- machtigingscontrole (autorisatie): verificatie op basis van de gepubliceerde functiehouders in de Kruispuntbank van Ondernemingen
De mate van automatisering hangt vaak af van het aantal registraties dat een toepassing moet verwerken, omdat dit de terugverdientijd van een investering in (semi-)automatisering beïnvloedt.
Bovendien is het zo dat een verhoogd toezicht op de registratie een impact heeft op vlak van kosten, lasten en risico’s voor alle economische actoren. Bovendien sluit dit nooit het risico op identiteitsfraude uit bij elke transactie, als iemand zich illegaal toegang verschaft tot het IT-systeem van de verzender of ontvanger.
Hoe ver moeten we gaan in het complex maken van systemen om menselijke fouten te vermijden? Het is belangrijk om een evenwicht te vinden tussen veiligheid, gebruiksvriendelijkheid en kostenefficiëntie. Identificatie van eindgebruikers, uitgevoerd door gecertificeerde dienstverleners, in combinatie met de recent ingevoerde verplichte IBAN-naamcontrole, is op dit moment het best mogelijke compromis.
