← Terug naar de tool

E-facturen veilig openen

Een e-factuur bevat vaak meer dan alleen een bedrag en een factuurnummer. Afhankelijk van het geval kunnen er afleveradressen, contactpersonen, IBAN's, fiscale nummers, prestatieperioden en volledige factuurregels in staan. Als je zo'n bestand uploadt naar een externe online dienst, geef je die gegevens door aan een derde partij. digital-rechnung.de opent XRechnung, ZUGFeRD en Factur-X volledig lokaal in je browser. Het bestand blijft op je apparaat.

Verifiable Privacy by Design

Veel online diensten beloven privacy. digital-rechnung.de gaat een stap verder: privacy wordt hier niet alleen beloofd, maar is ook verifieerbaar. Dat heet Verifiable Privacy by Design - privacy die door de architectuur zelf wordt gegarandeerd en die iedereen zelf kan controleren.

Het verschil met een server-side dienst is dit: daar moet je erop vertrouwen dat je gegevens niet worden opgeslagen of doorgegeven. Bij digital-rechnung.de is er niets om op te vertrouwen - er is simpelweg geen server die je bestand zou kunnen ontvangen. De volledige verwerking vindt plaats in de browser op je computer.

Waarom is dit verifieerbaar?

Omdat je het zelf kunt controleren. Elke browser heeft een netwerkconsole (DevTools) die alle gegevensoverdrachten registreert. Wanneer je een factuur opent in digital-rechnung.de, zie je daar: geen verbinding met een uploadserver, geen bestand dat het apparaat verlaat. De pagina verderop laat stap voor stap zien hoe dat werkt.

Dat is de kern van Verifiable Privacy by Design: niet privacy als belofte, maar als technisch feit dat je op elk moment zelf kunt nagaan.

Controleer het zelf: worden er echt geen gegevens verzonden?

Je hoeft ons niet zomaar te geloven. Elke browser heeft ingebouwde hulpmiddelen waarmee je precies kunt zien wat er op de achtergrond naar servers wordt gestuurd.

Zo doe je het:

1. Open de DevTools van je browser:
   Windows / Linux: toets F12  |  Mac: Cmd + Opt + I
   Dit werkt in Chrome, Firefox, Edge en Safari (schakel in Safari eerst "Toon Ontwikkel-menu" in via Instellingen -> Geavanceerd).
2. Klik op het tabblad "Netwerk" (Engels: Network).
3. Laad nu je XRechnung- of ZUGFeRD-bestand in de tool.
4. Kijk naar de lijst met vermeldingen: je ziet de pagina zelf en de bijbehorende bronnen (lettertypen, scripts), maar geen request dat jouw factuurgegevens bevat. Het bestand wordt lokaal verwerkt - er hoeft niets te worden verzonden.

Als je op een vermelding klikt, zie je de details: serveradres, responsecode en of er gegevens zijn meegestuurd. Bij een upload zou je daar de factuurgegevens in de request-body zien. Bij digital-rechnung.de bestaat zo'n request niet.

Tip: Voor een volledig overzicht herlaad je de pagina met een lege cache: Ctrl + Shift + R (Mac: Cmd + Shift + R), terwijl het tabblad Netwerk open is. Dan zie je alles wat vanaf het begin is geladen - en wat niet is verzonden.

Wat staat er in een e-factuur?

In een XRechnung is de inhoud gestructureerd als XML. Bij XRechnung draait het niet om een visueel aantrekkelijk document, maar om machinaal leesbare data. Juist daardoor kunnen ERP-, boekhoud- en inkoopsystemen de factuur automatisch valideren en verwerken.

ZUGFeRD en Factur-X werken op een vergelijkbare manier, met één verschil: hier zit de gestructureerde XML extra ingebed in een PDF-bestand. Voor mensen ziet het eruit als een gewone factuur, maar de gestructureerde dataset blijft aanwezig voor verwerking door software.

In de praktijk bevatten deze bestanden vaak meer informatie dan een traditionele papieren factuur of een eenvoudige PDF, bijvoorbeeld:

• Naam en adres van leverancier en ontvanger
• Contactpersonen, e-mailadressen en interne bestelreferenties
• IBAN, betalingsvoorwaarden en vervaldatum
• Afzonderlijke factuurregels met aantallen, prijzen en kortingen
• Leverings- of prestatieperioden
• Projectnamen, kostenplaatsen of referenties

Sinds 1 januari 2025 is de e-factuur stevig verankerd in het Duitse belastingrecht voor B2B-transacties. Het BMF licht de huidige regels toe, en § 14 UStG bepaalt wat juridisch als elektronische factuur geldt.

Wat gebeurt er als je uploadt naar een andere dienst?

Er zijn veel serieuze online diensten die e-facturen kunnen openen en verwerken, en veel daarvan zijn goed beveiligd. Toch is het zinvol om het technische proces te begrijpen: als je een bestand uploadt, verlaat het je apparaat en wordt het verwerkt op een server van iemand anders. Dat vergroot technisch gezien het aanvalsoppervlak, ongeacht hoe betrouwbaar die dienst is.

• De factuur wordt naar een externe server gestuurd en daar verwerkt.
• Meestal ontstaan er serverlogs, tijdelijke bestanden of back-ups.
• De dienstverlener of diens subverwerkers hebben technisch toegang tot de verzonden inhoud.
• De opslaglocatie bevindt zich mogelijk niet in Duitsland of de EU.
• Je vertrouwt erop dat verwijdering, toegangsbeveiliging en verwerkersafspraken correct geregeld zijn.

Dat hoeft geen probleem te zijn, maar het is wel een bewuste stap die je moet kennen. Als je een factuur alleen kort wilt bekijken of controleren, is uploaden vaak niet nodig. Het BSI adviseert in het algemeen om bewust met bijlagen en bestanden om te gaan en onnodige gegevensoverdrachten te vermijden.

Hoe werkt lokale verwerking in de browser?

Met digital-rechnung.de gebeurt de verwerking direct in je browser. Het bestand wordt lokaal op je apparaat gelezen en weergegeven. Er worden geen factuurgegevens naar onze server geüpload.

• Het bestand wordt in de browser geopend.
• XML en ingebedde inhoud worden lokaal verwerkt.
• De gerenderde weergave wordt op je apparaat opgebouwd.
• Er is geen server nodig om de factuur te analyseren, op te slaan of door te sturen.

Browsers kunnen lokale bestanden verwerken zonder de inhoud naar een dienst te sturen. Dat is precies wat bij e-facturen logisch is: je wilt zien wat er in het bestand staat, niet dat een derde partij meekijkt.

Belangrijk: lokaal betekent niet automatisch perfect veilig. Als het apparaat zelf gecompromitteerd is of iemand er ongeautoriseerd toegang toe heeft, helpt lokale verwerking niet. Wat het wel wegneemt, is een duidelijke en vermijdbare stap: doorgifte aan derden.

Controleer het zelf: worden er echt geen gegevens verzonden?

Je hoeft ons niet zomaar te geloven. Elke browser heeft ingebouwde hulpmiddelen waarmee je precies kunt zien wat er op de achtergrond naar servers wordt verstuurd.

Zo werkt het:

1. Open de ontwikkelaarstools van je browser:
   Windows / Linux: toets F12  |  Mac: Cmd + Opt + I
   Dit werkt in Chrome, Firefox, Edge en Safari (schakel in Safari eerst "Toon Ontwikkel-menu" in via Instellingen → Geavanceerd).
2. Klik op het tabblad "Netwerk" (Engels: Network).
3. Laad nu je XRechnung- of ZUGFeRD-bestand in de tool.
4. Kijk naar de lijst met vermeldingen: je ziet de pagina zelf en de bijbehorende bronnen (lettertypen, scripts), maar geen request met jouw factuurgegevens. Het bestand wordt lokaal verwerkt, dus er hoeft niets te worden verzonden.

Als je op een vermelding klikt, zie je de details: serveradres, responsecode en of er gegevens zijn meegestuurd. Bij een upload zou je daar de factuurgegevens in de request-body zien. Bij digital-rechnung.de bestaat zo'n request niet.

Tip: voor een volledig overzicht herlaad je de pagina met een lege cache: Ctrl + Shift + R (Mac: Cmd + Shift + R), terwijl het tabblad Netwerk open is. Dan zie je alles wat vanaf het begin is geladen, en ook wat juist niet is verzonden.

Wat zegt de AVG hierover?

De AVG schrijft geen specifieke facturatie-applicatie voor. Wel verlangt de AVG een zorgvuldige omgang met persoonsgegevens.

Bij facturen is dat al snel relevant. Zelfs een naam, een zakelijk e-mailadres, een direct telefoonnummer of een afleveradres kan persoonsgegevens bevatten. Dan gelden de bekende uitgangspunten: verwerk alleen wat nodig is, beperk risico's en kies passende beschermingsmaatregelen. De BfDI legt het achterliggende idee hier uit.

Een e-factuur lokaal in de browser openen in plaats van uploaden voorkomt een extra verwerkingsstap. Dat past bij het beginsel van gegevensminimalisatie en bij de eis om technische maatregelen af te stemmen op het risico. De BfDI beschrijft die benadering in de context van de stand van de techniek en art. 32 AVG.

Daarnaast moeten facturen worden bewaard. Voor fiscale doeleinden volgt die plicht uit § 14b UStG. Ook daarom is het zinvol om de gestructureerde inhoud goed leesbaar te houden, zonder onnodig extra kopieën bij derden te creëren.

Waarom is digital-rechnung.de gratis?

digital-rechnung.de wordt beheerd door Rechnivo, facturatiesoftware voor freelancers en kleine ondernemers in Duitsland. Rechnivo heeft een betaald Pro-abonnement; daardoor kunnen wij deze tool blijvend gratis aanbieden, zonder advertenties, zonder abonnement en zonder proefperiode.

Ook de manier waarop digital-rechnung.de is gebouwd, past bij een overtuiging: gegevens moet je alleen verzamelen als dat echt nodig is. Omdat alles lokaal in de browser draait, hebben we simpelweg geen gebruikersgegevens nodig, en daarom is er hier ook geen cookiebanner. Er valt niets te tracken.

Wat we wel hebben, is een anoniem feedbackformulier. Wie wil, kan kort laten weten wat goed werkte of waar iets misging. Wij zien daarbij alleen bij welke stap iemand was, bijvoorbeeld "Bestand geüpload", maar geen persoonsgegevens, geen IP-adres, niets anders. Dat is voor ons genoeg om de tool stap voor stap te verbeteren.

We zouden graag zien dat meer tools op het web zo werken.

Nog een laatste transparantie-opmerking: digital-rechnung.de is ontwikkeld met hulp van AI, van de technische uitvoering tot en met de teksten. Alle inhoud is door ons gecontroleerd, aangepast en vrijgegeven. Dat AI helpt om de inspanning te verlagen, maakt het mogelijk om deze tool niet alleen in het Duits aan te bieden, maar in zeven Europese talen, voor iedereen die e-facturen moet openen, ongeacht in welk land.