Know Your Candidate: waarom recruitment zonder identiteitsverificatie niet meer werkt
Stel je voor: je hebt net drie sollicitatierondes doorlopen met een veelbelovende kandidaat. Het CV klopt, de gesprekken gingen goed, je maakt een contract op. En dan blijkt op dag één dat het een heel andere persoon is die binnenstapt. Één met kwade bedoelingen.
Klinkt als een thriller? Het gebeurt nu al. En volgens Gartner wordt het alleen maar erger: tegen 2028 zal wereldwijd één op de vier kandidatenprofielen fake zijn. Dat is geen randfenomeen meer, dat wordt een structureel probleem.
De oude werkelijkheid: vertrouwen was genoeg
Jarenlang werkte recruitment volgens een simpel principe: vertrouwen totdat het tegendeel bewezen is. Je kreeg een CV binnen, voerde wat gesprekken, en aan het einde van het proces deed je misschien nog een referentiecheck. En dat werkte prima, omdat het overgrote deel van de kandidaten gewoon was wie ze zeiden te zijn.
Die tijd gaat helaas veranderen.
De nieuwe werkelijkheid: fraude wordt makkelijker
Wat is er veranderd? Drie factoren maken fraude toegankelijker dan ooit:
1. Generatieve AI versnelt het sollicitatieproces
Gen AI schrijft binnen dertig seconden een overtuigende motivatiebrief. Kandidaten genereren werkervaring die net geloofwaardig genoeg klinkt. Diploma’s worden nagemaakt met een detail dat voorheen alleen professionals konden bereiken. Het gevolg: recruiters verdrinken in perfect uitziende cv’s waarvan ze niet meer kunnen zien welke echt zijn. En het screenen van deze CV’s kost veel tijd.
2. Deepfake-technologie infiltreert het interview
Remote werken heeft een nieuwe vorm van fraude mogelijk gemaakt: de stand-in. Iemand doet het sollicitatiegesprek, maar een ander persoon komt straks op kantoor. Of erger: een AI-avatar voert het gesprek, compleet met gesynthetiseerde stem en natuurlijke gezichtsbewegingen. Voor recruiters is dit bijna niet te detecteren tijdens een regulier videogesprek.
3. Remote werken elimineert fysieke controle
Vroeger kwam een sollicitant persoonlijk langs op kantoor. Je zag een gezicht, je schudde een hand, je had een gevoel bij iemand. Bij volledig remote recruitment vervalt die natuurlijke checkpoint. De eerste keer dat je echt weet wie er aan de andere kant zit, is vaak pas maanden later.
De risico’s zijn groter dan je denkt
Het gaat niet alleen om een vals CV of een verspilde tijd aan sollicitatiegespreken. De potentiële schade reikt veel verder:
- Diefstal van intellectueel eigendom
Een fraudeur krijgt toegang tot je codebases, je productplannen, je klantdata. Tegen de tijd dat je doorhebt dat iemand niet is wie hij zegt te zijn, is de informatie al gekopieerd en verkocht.
- Salaris verdwijnt naar criminele netwerken
Frauduleuze accounts, vaak gekoppeld aan internationale witwaspraktijken, ontvangen maandenlang salaris voordat iemand doorheeft dat er iets niet klopt.
- Data lekken naar concurrenten of hackers.
Toegang tot interne systemen betekent toegang tot alles: financiële gegevens, strategische documenten, innovatie-blueprints, personeelsdossiers. Eén persoon met de verkeerde bedoelingen kan enorme schade aanrichten.
- Compliance-problemen stapelen zich op
Je neemt per ongeluk iemand in dienst die op een sanctielijst staat. Of je voldoet niet aan AVG-wetgeving, omdat je niet precies weet met wie je een arbeidscontract hebt afgesloten. De juridische en financiële gevolgen kunnen enorm zijn.
Waarom background checks te laat komen
Veel organisaties denken dat ze dit wel onder controle hebben met screening- en backgroundchecks. Hier zit een fundamenteel probleem: die checks vinden plaats aan het einde van het proces. Na meerdere gesprekken en soms zelfs pas na de contractaanbieding.
Het probleem? Background checks zijn tijdrovend en kostbaar. Ze controleren werkverleden, diploma’s, strafblad. Allemaal nuttige informatie, maar alleen als je zeker weet dat je de juiste persoon controleert. Als op voorhand een identiteit al nep is, ben je de verkeerde persoon aan het checken. Er is veel tijd en geld verspild en misschien zijn concurrerende kandidaten afgewezen. Allemaal voor iemand die helemaal niet bestaat.
Shift left: identiteit checken aan de voorkant
De oplossing is eigenlijk vrij logisch: ‘shift left’. Oftewel, schuif de ID-check helemaal naar de voorkant van de keten. Het idee: hoe eerder je een probleem onderschept, hoe minder schade het veroorzaakt. In software betekent het dat je bugs in de ontwikkelfase opspoort in plaats van in productie. In recruitment betekent het dat je identiteit verifieert voordat je tijd investeert.
Digitale identiteitsverificatie werkt simpel: een kandidaat uploadt een identiteitsdocument en maakt een selfie met liveness-detectie. De technologie controleert of het document echt is, of de persoon live aanwezig is (geen foto van een foto), en of beide bij elkaar horen. Het hele proces duurt een paar minuten en geeft je zekerheid voordat je ook maar één gesprek plant.
Maar let op: niet alle verificatiemethoden zijn gelijk. Het simpelweg fotograferen van een paspoort, een ‘optische verificatie’, is kwetsbaar. Uit berichtgeving van Biometric Update blijkt dat zogenaamde ‘full identity packs’ op het dark web worden verhandeld: complete sets met pasfoto’s, kopieën van identiteitsdocumenten en zelfs selfies. Fraudeurs kunnen zo relatief eenvoudig optische controles omzeilen.
Een oplossing? ID-verificatie via NFC. In plaats van kwetsbare OCR check, lees je de chip uit een ID-document uit. De basis hiervoor is dezelfde technologie die banken en grensbewaking al jaren gebruiken. Die chip zit er niet voor niets: deze is cryptografisch beveiligd en vrijwel onmogelijk na te maken. Deepfakes don’t have chips in their ID’s. Dat is het verschil tussen hopen dat het klopt en weten dat het klopt.
Van HR-proces naar securitystrategie
Dit maakt iets fundamenteels duidelijk: recruitment is niet langer alleen een HR-aangelegenheid. Het is onderdeel van je securityketen geworden. Gartner benadrukt daarom dat HR, IT en cybersecurity samen moeten werken om kandidaatfraude te bestrijden. Recruitment wordt de eerste verdedigingslinie. Als hier iemand doorheen glipt die niet is wie hij zegt te zijn, heb je een securityprobleem dat zich door je hele organisatie verspreidt.
Dit vraagt om een andere mindset. Niet: “Kunnen we deze persoon vertrouwen?” Maar: “Weten we zeker wie deze persoon is?”
Waarom je nu moet handelen
Gartner verwacht dat tegen 2028 ongeveer 35 procent van grote organisaties identity verification inzet in recruitment. Diezelfde analyse laat zien dat dit de time-to-hire met 20 procent verkort, simpelweg omdat je minder tijd verspilt aan frauduleuze kandidaten.
Wachten is geen optie meer. Elke maand die je vertrouwt op traditionele processen, vergroot het risico op fraude, datalekken en reputatieschade. En hoe langer je wacht, hoe normaler het voor kandidaten wordt om grenzen op te zoeken. Als iedereen fraude pleegt en niemand wordt betrapt, waarom zou je dan nog eerlijk zijn?
De organisaties die dit nu aanpakken, bouwen een veilige talent-supplychain. Ze beschermen hun intellectueel eigendom, hun data, hun reputatie. Ze maken recruitment onderdeel van een bredere beveiligingsstrategie in plaats van een geïsoleerd HR-proces.
De organisaties die wachten? Die worden ingehaald door een probleem dat zich niet meer handmatig laat beheersen.
Het gaat niet meer alleen om talent
Recruitment draaide altijd om één vraag: is dit de juiste persoon voor de job? Die vraag blijft belangrijk. Maar er is een vraag bijgekomen die je eerst moet beantwoorden: is dit überhaupt de persoon die hij zegt te zijn?
Het vaststellen van de identiteit vaststellen is de eerste stap. Maar daarna begint de reis pas echt. Want zodra je weet wie iemand is, komen de volgende vragen: hoe regel je een veilig digitaal contract? Hoe zorg je dat deze nieuwe medewerker meteen toegang krijgt tot precies wat hij nodig heeft, en niets meer?
In onze volgende blog duiken we in veilig digitaal ondertekenen en naadloze onboarding. Stay tuned!