• Home
  • /
  • Nieuws
  • /
  • TNO waarschuwt: criminelen misbruiken ChatGPT en deepfakes – wat nu?

Door Dave

juli 10, 2026

Criminelen zetten kunstmatige intelligentie steeds slimmer in, waarschuwen Nederlandse veiligheidsonderzoekers van TNO. Ze gebruiken taalmodellen en deepfakes voor fraude, cyberaanvallen en desinformatie in Nederland en Europa. TNO schetst maatregelen om organisaties weerbaar te maken en burgers te beschermen. Dit raakt direct aan de Europese AI-verordening en de gevolgen voor de overheid, op het moment van schrijven in invoering.

Criminelen schalen met AI

Generatieve systemen maken nepberichten en valse identiteiten snel en goedkoop. Denk aan taalmodellen zoals GPT-4 van OpenAI en Llama 3 van Meta die overtuigende phishingteksten leveren. Beeld- en stemtools zoals Midjourney, Stable Diffusion en ElevenLabs helpen bij deepfakes. Zo groeit de schaal en geloofwaardigheid van oplichting en social engineering.

Bij zogeheten CEO-fraude imiteren aanvallers een leidinggevende met nagemaakte stem. Een korte stemopname is vaak al genoeg om een kloon te maken. Daarmee vragen ze om spoedbetalingen of gevoelige informatie. Medewerkers twijfelen dan minder, omdat de boodschap echt klinkt.

Ook in cybercrime versnelt AI het werk. Algoritmen schrijven of verbeteren kwaadaardige code, ook al zetten platforms hier drempels op. Criminelen omzeilen die drempels met nieuwe prompts of door open modellen lokaal te draaien. Zo verlagen zij hun kosten en verhogen zij hun slagingskans.

Detectie schiet nu tekort

Alleen inzetten op detectietools is niet genoeg. Deepfake-detectors geven geregeld vals alarm of missen nieuwe trucs. Aanvallers passen hun methode snel aan zodra een controle bekend is. Verdediging moet daarom meerdere lagen hebben: techniek, proces en menselijk oordeel.

Promptinjectie is het misleiden van een model met verborgen of slimme instructies, waardoor het systeem onbedoelde acties uitvoert of interne regels negeert.

Organisaties hebben baat bij striktere verificatie van betalingen en identiteiten. Werk met vierogenprincipe, terugbelafspraken naar bekende nummers en extra stappen bij hoge bedragen. Leg vast hoe medewerkers omgaan met verdachte audio, video en tekst. Maak het normaal om te twijfelen en te pauzeren.

Bij inzet van eigen chatbots of assistenten is technische hardening nodig. Gebruik inputfilters, rolafbakening en beveiligde connectoren naar interne data. Test systemen continu met red teaming en scenario’s die criminelen ook gebruiken. Documenteer beslissingen, zodat incidenten snel zijn te herleiden en te verhelpen.

Herkomst en labeling nodig

Bewijs van herkomst helpt om vertrouwen te herstellen. Watermerken en content credentials voegen zichtbare of onzichtbare sporen toe aan gegenereerde media. Standaarden zoals C2PA leggen vast wie wat publiceerde en met welke software. Dit maakt manipulatie sneller zichtbaar, vooral voor professionele workflows.

Technische sporen zijn niet waterdicht. Bewerking kan een watermerk verwijderen of vervormen. Daarom is adoptie in de keten cruciaal: camera’s, redactiesoftware en platforms moeten meedoen. Combineer dit met e-mailstandaarden zoals DMARC, DKIM en SPF om spoofing te beperken.

Ook logging en provenance binnen AI-ketens worden belangrijk. Noteer welke modellen, versies en datasets zijn gebruikt, en met welke instellingen. Dit helpt bij audits en bij het terugdraaien van foute beslissingen. Het verhoogt daarnaast de drempel voor misbruik van interne AI-hulpmiddelen.

Europese regels geven richting

De Europese AI-verordening (AI Act) verplicht transparantie, risicobeheer en duidelijke labeling van deepfakes. Voor hoogrisico-toepassingen gelden extra eisen, zoals kwaliteitsmanagement en registreerbare logs. Dit raakt ook leveranciers van generatieve modellen en organisaties die ze integreren. De regels dwingen tot veilige ontwerpkeuzes en betere controle achteraf.

De AVG blijft leidend voor persoonsgegevens. Dataminimalisatie, versleuteling en een rechtmatige grondslag zijn verplicht, ook bij AI-gestuurde analyses. Voer daarom tijdig een gegevensbeschermingseffectbeoordeling (DPIA) uit. Beperk toegang tot gevoelige data en maak anonimisering standaard.

Voor overheden in Nederland heeft dit praktische gevolgen. Inkoopcontracten moeten eisen opnemen over modelrisico’s, logging en herkomstbewijzen. Functionarissen gegevensbescherming en CISO’s moeten meekijken bij elk AI-project. Zo sluit de uitvoering aan op de Europese AI-verordening en de gevolgen voor de overheid.

Nederlandse diensten versterken weerbaarheid

Publieke loketten en uitvoeringsinstanties zijn doelwit voor misleiding. Gemeenten, Belastingdienst en zorgverleners zien realistische nepaanvragen en valse identiteiten. Verifieer daarom identiteit met meerdere bronnen en vertraag beslissingen bij twijfel. Gebruik duidelijke waarschuwingen en eenvoudige stappen voor burgers.

Het Nationaal Cyber Security Centrum en sectorale ISAC’s kunnen dreigingsinformatie sneller delen. Banken, telecom en platforms hebben vroege signalen en detectiepatronen. Een vast samenwerkingskanaal met TNO, universiteiten, politie en toezichthouders versnelt het leren. Zo sluiten technische inzichten sneller aan op beleid en handhaving.

Tot slot helpt oefenen met realistische AI-aanvallen. Organiseer tabletop-oefeningen met deepfakes, promptinjecties en AI-gestuurde fraude. Meet niet alleen techniek, maar ook besluitvorming en communicatie. Dit verkleint de kans dat een slimme truc alsnog door de mens heen breekt.

Over de schrijver 

Dave

Hoi, ik ben Dave – schrijver, onderzoeker en nieuwsgierige geest achter AIInsiders.nl. Ik hou me bezig met de manier waarop technologie ons leven verandert, en vooral: hoe we dat een beetje kunnen bijbenen. Van slimme tools tot digitale trends, ik duik graag in de wereld achter de schermen.

Mijn stijl? Lekker helder, soms kritisch, altijd eerlijk. Geen onnodig jargon of overdreven hype, maar praktische inzichten waar je echt iets aan hebt. AI is niet eng of magisch – het is interessant, en ik help je graag om dat te zien.

Meer lezen

10/07/2026 19:49

Advocatenkantoren in Nederland en de rest van Europa zien een deel van hun werk snel veranderen door kunstmatige intelligentie. Nieuwe tools zoals Harvey, LexisNexis’ Lexis+ lees verder

Advocaten verliezen routinetaken aan ChatGPT en Microsoft Copilot

10/07/2026 15:43

De Autoriteit Persoonsgegevens (AP) waarschuwt dat kunstmatige intelligentie de gevaren van cyberaanvallen vergroot. De toezichthouder ziet dat algoritmen aanvallen makkelijker, sneller en persoonlijker maken. Dat lees verder

Autoriteit Persoonsgegevens waarschuwt: AI vergroot cyberrisico’s

10/07/2026 13:40

De Autoriteit Persoonsgegevens (AP) waarschuwt dat kunstmatige intelligentie een vliegwieleffect kan hebben op cybercrime in Nederland. De toezichthouder ziet dat aanvallen sneller, goedkoper en geloofwaardiger lees verder

AP waarschuwt: AI-vliegwiel kan cybercrime aanwakkeren — OpenAI, Google?

10/07/2026 11:37

Steeds meer datalekken ontstaan door accountovernames bij bedrijven in Europa en Nederland. Aanvallers gebruiken generatieve AI om zeer geloofwaardige phishingberichten te maken in foutloos Nederlands. lees verder

AI-phishing via ChatGPT en Microsoft-tools doet accountovernames stijgen
>