Wie zit er eigenlijk in je meeting? Waarom je Teams, Webex en Zoom serieus moet beveiligen

27 Jun 2026 · Awareness · 7 min

We zijn allemaal gewend geraakt aan videovergaderen. Een paar keer klikken en je zit in een call met collega’s, klanten of de directie. Juist omdat het zo normaal is geworden, vergeten we vaak iets belangrijks: een meetinglink is een digitale deur. En een deur die niet goed op slot zit, kan iedereen openen die de sleutel vindt.

In deze post kijk ik naar waarom het zo belangrijk is om je vergaderomgevingen in Microsoft Teams, Cisco Webex en Zoom goed in te richten, aan de hand van een bekende blunder en een instelling in Teams die meer risico geeft dan veel mensen denken.

De journalist die zomaar bij een geheime EU-meeting zat

In november 2020 lukte het de Nederlandse techjournalist Daniel Verlaan van RTL Nieuws om binnen te komen bij een vertrouwelijke videovergadering van EU-ministers van Defensie. Geen geavanceerde hack, geen malware. De toenmalige minister van Defensie had een foto op Twitter gezet waarop per ongeluk de inloggegevens zichtbaar waren. Vijf van de zes cijfers van de pincode waren leesbaar, en het laatste cijfer was met een paar pogingen te raden.

Het pijnlijke detail: na het invullen van de juiste pincode was er geen extra beveiliging. De journalist werd direct toegelaten, zwaaide naar de verbaasde ministers en werd vriendelijk verzocht te vertrekken. Grappig om te zien, maar de boodschap is serieus. Een vergadering op het hoogste niveau bleek alleen beschermd door een code die op een foto stond.

Dit voorval laat precies zien waar het misgaat: we behandelen een meeting als een besloten ruimte, terwijl het in werkelijkheid een online deur is die voor iedereen met de juiste link of code toegankelijk is.

De Teams-instelling die je beter kunt kennen

In Microsoft Teams bestaat een instelling waarmee mensen die niet zijn aangemeld bij jouw bedrijfsomgeving (anonieme deelnemers) toch een meeting kunnen betreden of zelfs starten. Het addertje: zo iemand mag zelf een weergavenaam invullen. Letterlijk wat je maar wilt.

Dat klinkt onschuldig, totdat je bedenkt wat iemand met kwade bedoelingen ermee kan. Een buitenstaander kan zich als “Jan de Vries (CFO)” of als de naam van jouw CEO presenteren. In een drukke call met camera’s uit valt dat niet snel op. En iedereen die de link vindt, of via slim gokken (enumereren) een geldige link achterhaalt, kan in theorie in die meeting terechtkomen.

De kern van het probleem: zonder de juiste instellingen verifieert het systeem niet wie iemand echt is. De naam in beeld is niet meer dan een tekstveld.

Welke risico’s brengt dit met zich mee?

De gevolgen lopen uiteen van vervelend tot ronduit gevaarlijk:

Meeluisteren en aftappen van informatie. Een ongenode gast kan rustig meeluisteren met gevoelige gesprekken over strategie, klanten, fusies of incidenten. Vaak zonder dat iemand het doorheeft.
Impersonatie van leidinggevenden. Door zich voor te doen als de CEO of CFO kan iemand instructies geven die niemand in twijfel trekt. Denk aan “maak deze betaling vandaag nog over”. Dit is precies het patroon achter CEO-fraude en BEC (Business Email Compromise), maar dan live in een call.
Social engineering. Een nep-deelnemer die meekijkt, leert je interne taalgebruik, namen en lopende projecten. Die kennis maakt een latere phishing- of fraudepoging veel geloofwaardiger.
Datalek en reputatieschade. Komt vertrouwelijke informatie naar buiten via een meeluisterende buitenstaander, dan heb je niet alleen een veiligheidsprobleem maar ook een meldplicht en imagoschade.
Verstoring. In het mildere geval krijg je ongewenste gasten die de vergadering verstoren, het zogeheten “meeting bombing” dat tijdens de pandemie veel voorkwam bij Zoom.

Het gaat dus niet om een theoretisch randgeval. Het raakt de kern van vertrouwen: weet je echt zeker met wie je praat?

Kun je het detecteren?

Dit is de vraag die ik het belangrijkst vind, en het eerlijke antwoord is: deels.

De platforms bieden wel hulpmiddelen. In Teams kun je achteraf een aanwezigheidsrapport (attendance report) bekijken en zijn er audit logs in Microsoft Purview waarin meetingactiviteit wordt vastgelegd. Webex en Zoom hebben vergelijkbare admin- en activiteitenlogs. Daarmee kun je in veel gevallen terugzien dat er een deelnemer was die niet thuishoorde.

Maar er zit een flink probleem in die detectie:

Anonieme deelnemers zijn lastig te herleiden. Iemand zonder account verschijnt vaak alleen met een zelfgekozen naam en beperkte gegevens. Je ziet dat er iemand was, maar niet altijd wie.
Detectie is meestal achteraf. Je ontdekt het pas als je gericht in de logs kijkt. Op het moment zelf valt een rustig meeluisterende gast met de juiste naam nauwelijks op.
Het vergt actief toezicht. Logs hebben alleen waarde als iemand ze daadwerkelijk bekijkt en weet waar hij op moet letten.

Met andere woorden: detectie is mogelijk, maar leunt sterk op preventie. Voorkomen is hier echt beter dan genezen.

Wat je hier praktisch aan kunt doen

Zonder te diep in de techniek te duiken, een paar maatregelen die het grootste verschil maken:

Zet anonieme toegang uit waar dat kan, of laat anonieme deelnemers in elk geval niet zelf een meeting starten.
Gebruik de lobby (wachtruimte) zodat een organisator deelnemers eerst goedkeurt voordat ze binnenkomen.
Beperk gevoelige meetings tot geverifieerde, aangemelde gebruikers binnen je eigen organisatie.
Deel meetinglinks en codes nooit publiek, en let op wat er zichtbaar is op screenshots of foto’s. Precies daar ging het bij de EU mis.
Bekijk periodiek de aanwezigheids- en auditlogs, zeker bij vergaderingen met gevoelige inhoud.
Maak je collega’s bewust: de naam in beeld is geen bewijs van identiteit.

Tot slot

De videocall is voor de meeste organisaties net zo belangrijk geworden als de fysieke vergaderzaal. Toch besteden we aan die digitale ruimte vaak veel minder aandacht qua beveiliging. De EU-blunder en de Teams-instelling laten zien hoe weinig er nodig is om binnen te komen waar je niet hoort.

De vraag “wie zit er eigenlijk in deze meeting?” verdient daarom een echt antwoord, niet alleen een naam op het scherm.

En dan komt AI om de hoek kijken

Tot nu toe ging dit verhaal over iemand die een valse naam intypt. Met de opkomst van AI wordt het probleem een stuk verraderlijker. Met deepfake-technologie en stemklonen kan iemand zich tegenwoordig niet alleen in naam, maar ook in beeld en geluid voordoen als iemand anders. Een aanvaller heeft geen toegang tot je systemen meer nodig. Voldoende openbaar beeld- en geluidsmateriaal van een bestuurder, bijvoorbeeld van webinars, interviews of opgenomen presentaties, is genoeg om een overtuigende kopie te maken.

Het bekendste voorbeeld is het Britse ingenieursbureau Arup. Begin 2024 werd een financieel medewerker op het kantoor in Hongkong uitgenodigd voor een videocall. Daarin zaten de CFO en een aantal bekende collega’s, die vroegen om een vertrouwelijke transactie. De medewerker had bij een eerdere mail nog terecht argwaan, maar liet die los toen hij de vertrouwde gezichten en stemmen op de call zag en hoorde. Hij maakte vervolgens in vijftien transacties zo’n 25 miljoen dollar over. Pas later bleek dat iedereen op die call, behalve hijzelf, een AI-gegenereerde deepfake was. De gezichten en stemmen waren nagemaakt op basis van openbaar materiaal van het echte personeel.

Dit maakt het eerdere risico nog scherper. Een open of slecht beveiligde meetingomgeving plus AI-impersonatie is een gevaarlijke combinatie. Waar je vroeger nog dacht “ik heb hem zelf gezien en gesproken, dus het klopt”, is juist die aanname aan het verschuiven. Beeld en geluid zijn geen bewijs van identiteit meer.

Detectie wordt hierdoor nog lastiger. Een nep-naam kun je met wat oplettendheid nog opmerken, maar een goed gemaakte deepfake is in realtime moeilijk te herkennen, zeker onder tijdsdruk. Subtiele signalen zoals haperende lipsync, vreemde belichting of net te gladde beelden kunnen helpen, maar daar kun je niet op bouwen naarmate de techniek beter wordt.

De belangrijkste verdediging zit daarom niet in de meeting zelf, maar in je proces eromheen. Bevestig belangrijke verzoeken, zeker betalingen, altijd via een tweede, onafhankelijk kanaal, bijvoorbeeld een telefoontje naar een bekend nummer. Werk met vaste vier-ogen-procedures voor grote transacties. En maak collega’s bewust dat een bekend gezicht of een vertrouwde stem op een call geen garantie meer is dat het ook echt die persoon is.

Conclusie

Of het nu gaat om een journalist die via een foto binnenkomt, een buitenstaander die een valse naam intypt, of een AI die een complete directie nabootst: de rode draad is steeds hetzelfde. We vertrouwen te snel op wat we zien en horen in een call. Goede instellingen, gezonde achterdocht en stevige verificatieprocessen zijn samen de beste verdediging.

Bronnen

Dutch journalist gatecrashes EU defence video conference, BBC / IMI: https://imi.org.ua/en/news/dutch-journalist-gatecrashes-eu-defence-video-conference-bbc-i36339
Watch: Dutch journalist logs in to secret EU defence video conference, Gulf News: https://gulfnews.com/world/europe/watch-dutch-journalist-logs-in-to-secret-eu-defence-video-conference-1.75412939
Dutch tech reporter gatecrashes EU defence secret video conference, Security Affairs: https://securityaffairs.com/111250/security/reporter-gatecrashes-eu-defence-conference.html
Arup revealed as victim of $25 million deepfake scam involving Hong Kong employee, CNN Business: https://www.cnn.com/2024/05/16/tech/arup-deepfake-scam-loss-hong-kong-intl-hnk
A deepfake ‘CFO’ tricked British design firm Arup in $25 million fraud, Fortune: https://fortune.com/europe/2024/05/17/arup-deepfake-fraud-scam-victim-hong-kong-25-million-cfo/

Vond je dit nuttig? Geef kudos: