Is een QR-code scannen veilig? Zo herken je quishing

QR-codes hangen inmiddels op restauranttafels, parkeerautomaten, pakketpunten en bushaltes. Logische vraag: is een QR-code scannen eigenlijk wel veilig? Het korte antwoord is ja, mits je weet waar de code je naartoe stuurt vóórdat je erop tikt. De QR-code zelf is namelijk niets meer dan een patroon van zwarte en witte blokjes. Het risico zit in de bestemming, niet in de code.

In dit artikel lees je hoe een QR-code werkt, wat het verschil is tussen een veilige en een onveilige code, en hoe je je beschermt tegen quishing (QR-phishing). Plus: hoe je dit AVG-bewust aanpakt.

Hoe werkt een QR-code eigenlijk?

Een QR-code is een tweedimensionale streepjescode die data opslaat als een patroon van vierkantjes. Als je hem scant, decodeert je telefoon dat patroon naar leesbare informatie: meestal een URL, soms platte tekst, contactgegevens (vCard) of WiFi-inloggegevens.

De code bevat dus geen virus en geen malware. Het is een transportmiddel voor informatie, net als een hyperlink op een webpagina. Het gevaar ontstaat pas bij wat je daarna doet met die informatie. En precies daar zit het probleem: aan een blokjespatroon zie je met het blote oog niet waar je terechtkomt.

De echte risico’s van een QR-code scannen

Phishing en valse links

De meest voorkomende dreiging is een QR-code die je naar een phishingsite stuurt: een neppagina die is gebouwd om je inloggegevens of je betaalgegevens te stelen. Omdat je de bestemming niet kunt lezen door alleen naar de code te kijken, omzeilen oplichters de gezonde achterdocht die je normaal voelt bij een verdachte link in een mailtje of sms.

Quishing: QR-phishing in het echt

Beveiligingsonderzoekers hebben QR-phishing een eigen naam gegeven: quishing. Een oplichter plakt een frauduleuze QR-sticker over een echte code heen, bijvoorbeeld op een parkeerautomaat, een oplaadpaal of een poster. Wie de nepcode scant, belandt op een overtuigende betaalpagina die volledig in handen is van de aanvaller.

Quishing groeit hard, omdat een QR-code veel e-mailfilters omzeilt. Een mailtje met een QR-afbeelding in plaats van een aanklikbare link glipt vaak langs de spamfilters die een verdachte URL normaal zouden tegenhouden.

QR-codes, tracking en je privacy

Sommige codes verwijzen niet naar een gewone pagina, maar naar een keten van redirects die je surfgedrag in kaart brengt. In Nederland leeft dit besef sterk. De Autoriteit Persoonsgegevens (AP) oordeelde dat pakketpunten de QR-code op je identiteitskaart of paspoort niet zomaar mogen scannen, omdat die code je burgerservicenummer (BSN) bevat. Een duidelijk signaal dat zorgen rond QR-codes en de AVG (Algemene Verordening Gegevensbescherming) in Nederland mainstream zijn.

Zo scan je een QR-code veilig

Een paar simpele gewoontes houden je in verreweg de meeste situaties veilig.

1. Bekijk de link vóór je hem opent

Dit is veruit de belangrijkste stap. Een betrouwbare scanner-app toont je de gedecodeerde inhoud vóórdat er iets gebeurt. QR Toolkit is precies rond dat principe gebouwd: zodra je scant, decodeert de app de code op je apparaat en zet de volledige inhoud op je scherm. Pas daarna bepaal jíj of je de link opent, kopieert of weggooit. Niets gebeurt zonder jouw akkoord. Juist dat is je beste verdediging tegen quishing.

2. Controleer de URL zorgvuldig

Zodra je de URL ziet, lees hem aandachtig. Komt het domein overeen met het merk of de dienst die je verwacht? Let op subtiele typefouten zoals “arnazon.com” in plaats van “amazon.com”, of vreemde domeinextensies. Klopt er iets niet? Niet openen.

3. Gebruik een betrouwbare QR-code scanner

De ingebouwde camera van je telefoon opent een link vaak meteen, met weinig ruimte om hem te inspecteren. Een aparte QR-code scanner geeft je meer controle. Kies een app die de inhoud eerst toont, een scangeschiedenis bijhoudt en geen reclame of tracking in je scherm propt.

4. Wees voorzichtig met QR-codes in de openbare ruimte

Behandel codes in de publieke ruimte met gezonde achterdocht. Een code op officiële bewegwijzering van een bekend bedrijf is meestal prima. Een code op een willekeurige sticker, een flyer aan een lantaarnpaal of een handgeschreven briefje verdient extra aandacht. Lijkt het alsof er een sticker over een andere code is geplakt? Niet scannen.

5. Houd je telefoon up-to-date

Moderne versies van iOS en Android hebben ingebouwde bescherming tegen bekende phishingsites en kwaadaardige downloads. Door je besturingssysteem en browser bij te werken, profiteer je automatisch van de nieuwste beveiligingsupdates.

QR-codes en privacy: waar blijven je scans?

Een onderbelicht punt: waar slaat je QR-app je gescande codes op? Veel apps sturen je scangeschiedenis stilletjes naar een cloud, soms vol tracking. Bij QR Toolkit gebeurt het decoderen op je apparaat en draait er geen advertentie-SDK of tracking-ID mee. Bewaar je je scan- en generatiegeschiedenis in je eigen account? Dan staat die in een EU-regio (Supabase, met Row-Level Security), afgeschermd per gebruiker: alleen jij kunt erbij. Dat is wat AVG-bewust scannen in de praktijk betekent.

Veiligheidstips voor bedrijven

Gebruikt je bedrijf QR-codes? Dan heb je ook een verantwoordelijkheid richting je klanten.

• Gebruik HTTPS-links zodat de verbinding versleuteld is.
• Gebruik een eigen domein in plaats van een gratis URL-verkorter; valt die weg of wordt die gehackt, dan leiden je codes ineens naar iets schadelijks.
• Controleer je fysieke codes zodat niemand er een sticker met een andere code overheen plakt.
• Informeer je team: geen QR-codes uit onbekende bron scannen op werkapparaten, net zoals je geen verdachte e-maillinks aanklikt.

De conclusie

Een QR-code scannen is veilig zodra je weet waar je terechtkomt. Het risico komt van het blindelings volgen van links zonder te controleren waar ze heen gaan, precies hetzelfde risico als bij elke andere link op internet.

Scan slim met een app als QR Toolkit die je laat zien wat er in een code zit vóór je iets doet. Controleer URL’s voor je ze opent en wees voorzichtig met codes in de publieke ruimte. Met die gewoontes scan je met een gerust hart, omdat jij de controle houdt.

Veelgestelde vragen

Is het veilig om een QR-code in een restaurant te scannen?

Meestal wel. Codes op de menukaart of tafel van een bekend restaurant zijn doorgaans betrouwbaar. Let op losse stickers die over de originele code heen zijn geplakt en bekijk de link altijd vóór je hem opent. Wordt er meteen om een betaling of inloggegevens gevraagd? Wees dan extra alert op quishing.

Kan een QR-code een virus bevatten?

Nee, een QR-code zelf bevat geen virus. Het is enkel data, vaak een link. Het risico zit in de bestemming: een phishingpagina of een ongewenste download. Daarom is het cruciaal om de gedecodeerde inhoud te bekijken vóór je erop tikt.

Wat is quishing precies?

Quishing is phishing via een QR-code (een samentrekking van “QR” en “phishing”). Oplichters plakken een valse code over een echte heen, bijvoorbeeld op een parkeerautomaat, om je naar een nep-betaalpagina te lokken. Een scanner die de link eerst toont, helpt je dit te herkennen.