Hoe je veilig 2FA-codes deelt met je team (zonder je telefoon af te geven)
Het is dinsdagmiddag. Je boekhouder moet inloggen op Stripe om een terugbetaling te verwerken. Stripe stuurt de verificatiecode naar jouw telefoon. Jij zit in een vergadering. Ze stuurt je een bericht op Slack. Je excuseert je, leest de code voor, zij typt hem in — maar hij is al verlopen. En opnieuw.
In duizenden kleine bedrijven gebeurt dit elke week. Het persoonlijke telefoonnummer van de oprichter is gekoppeld aan cruciale accounts — Stripe, de zakelijke bankrekening, AWS, Google Workspace — en elke keer dat iemand anders toegang nodig heeft, staat de hele operatie stil terwijl ze op zoek gaan naar een zescijferige code.
Er is een betere manier. En daarvoor hoef je niemand je telefoon te geven, geen dubieuze apps op gedeelde apparaten te installeren, of je beveiliging te verlagen.
Waarom de "stuur me even een berichtje"-aanpak je productiviteit doodt
Laten we eerlijk zijn over wat er in de meeste startups werkelijk gebeurt:
| Wat je nu doet | Wat het je kost |
|---|---|
| OTP-codes voorlezen via de telefoon | 3-5 onderbrekingen per dag, context-switching straf |
| Screenshots van codes naar Slack sturen | Codes verlopen vóór ontvangst (~30 seconden) |
| Je telefoonwachtwoord delen met je assistent | Nul verantwoording als er iets misgaat |
| Overal zelf inloggen | Je wordt een flessenhals voor elke financiële handeling |
De werkelijke kosten zijn niet het beveiligingsrisico — het is tijd van de oprichter. Elke onderbreking voor een code kost je 15-20 minuten diep werk (de context-switching belasting is goed gedocumenteerd). Bij 5 onderbrekingen per dag is dat bijna 2 uur verloren productieve tijd.
De setup: automatische sms-naar-email doorsturing
Dit is de architectuur. Het kost ongeveer 5 minuten om in te stellen en draait daarna voor altijd:
Je iPhone ──→ SMS to Email Forwarder ──→ [email protected]
(draait op de achtergrond) ↓
Teamleden checken
email voor codes
Stap 1: Maak een apart OTP-e-mailadres
Stel een e-mailadres in waar je team alleen verificatiecodes kan bekijken:
[email protected](Google Workspace)[email protected]- Of een gedeeld Gmail:
[email protected]
Beveiligingsregels:
- Geef teamleden alleen leestoegang die codes nodig hebben
- Schakel e-mailmeldingen in zodat ze codes direct zien
- Schakel 2FA in op dit e-mailaccount zelf (gebruik een authenticator-app, niet sms — uiteraard)
Stap 2: Installeer SMS to Email Forwarder
Download SMS to Email Forwarder op de iPhone die je zakelijke verificatiecodes ontvangt.
Configuratie:
- Open de app en voer je gedeelde OTP-e-mailadres in
- Voltooi de eenmalige Shortcuts-configuratie — duurt 2 minuten
- Klaar. Elke inkomende sms wordt nu automatisch doorgestuurd naar de gedeelde inbox
Stap 3: Je team ontvangt codes in realtime
Als Stripe (of je bank, of AWS) een verificatiecode naar je telefoon stuurt:
- De code komt binnen als sms
- SMS to Email Forwarder pusht hem direct naar
[email protected] - Je boekhouder/assistent ziet de e-mailmelding
- Ze voert de code in — doorgaans binnen 10 seconden na ontvangst
Jij ziet het Slack-bericht niet. Je verlaat je vergadering niet. De code verloopt niet.
Hoe zit het met beveiliging? Laten we eerlijk zijn
De olifant in de kamer: is dit veilig?
Een genuanceerd antwoord, want de meeste artikelen geven je een binair "deel nooit codes!" dat voorbijgaat aan hoe echte bedrijven daadwerkelijk werken.
Wat je werkelijk riskeert (en niet riskeert)
| Zorg | Werkelijkheid |
|---|---|
| "Iemand zou de e-mail kunnen onderscheppen" | De code verloopt binnen 30-60 seconden. Om het uit te buiten heeft een aanvaller tegelijk toegang nodig tot de e-mail ÉN de inlogpagina ÉN het wachtwoord. Dit is een drievoudige aanval. |
| "Het teamlid zou kunnen doordraaien" | Ze hebben al accounttoegang — daarom hebben ze de code nodig. Het echte risico is het huidige systeem waarbij ze je WhatsAppen "wat is de code?" en je hem door het kantoor roept. |
| "Het schendt beveiligingsbest practices" | Klopt, in het abstract. Maar het alternatief — de oprichter als menselijk OTP-doorgeefluik — introduceert operationeel risico (wat als je ziek bent? in een vliegtuig? slaapt?) dat aantoonbaar erger is. |
Hoe je het resterende risico beperkt
- Beperk wie de inbox ziet. Alleen mensen die echt accounttoegang nodig hebben, krijgen e-mailtoegang
- Gebruik rolgebaseerde accounts waar mogelijk. In plaats van één Stripe-login, maak teamlidaccounts met passende rechten
- Controleer regelmatig. Bekijk de doorgestuurde codes maandelijks — als je codes ziet die je niet herkent, onderzoek
- Plan je exit. Als een teamlid vertrekt, wijzig het wachtwoord van de gedeelde inbox en roteer wachtwoorden van cruciale accounts
Het pragmatisch kader
Voor de meeste bedrijven tot 10 personen is de afweging eenvoudig:
- Kritieke codes (bankoverschrijving goedkeuringen, crypto-wallets): Houd deze op je telefoon. Nooit delen.
- Operationele codes (Stripe, Shopify, Google Workspace admin): Stuur door naar gedeelde inbox. De productiviteitswinst weegt op tegen het marginale beveiligingsrisico.
- Laagrisico-codes (marketingtools, analytics dashboards): Geef teamleden hun eigen accounts.
Praktijkscenario's waar dit je bedrijf redt
De oprichter op vakantie
Je ligt op het strand in Spanje. Je operations manager moet inloggen op de zakelijke bankrekening om salarisadministratie goed te keuren. Zonder sms-doorsturing friemelt je met een natte telefoon om een zescijferige code voor te lezen via een slechte internationale verbinding.
Met sms-doorsturen: ze checkt de gedeelde inbox, voert de code in, salarissen worden uitbetaald. Jij hebt geen melding gezien.
De servernoodsituatie om 2 uur 's nachts
Je DevOps-engineer wordt om 2 uur 's nachts gewekt — de productieserver is plat. Hij moet inloggen op AWS, dat de MFA-code naar jouw telefoon stuurt. Jij slaapt. Je hoort het telefoontje niet.
Met sms-doorsturen: de code staat al in de gedeelde inbox. Hij logt in, lost het probleem op. Je leest erover bij de ochtendstandup.
De maandafsluiting van de boekhouder
Je parttime boekhouder werkt dinsdagmiddag en donderdagmiddag. Elke sessie heeft ze 3-4 verificatiecodes nodig van Stripe, Exact Online en het bankportaal. Elke code vereist dat ze jou onderbreekt.
Met sms-doorsturen: ze werkt zelfstandig. Je weet niet eens dat ze ingelogd was totdat je de afgeronde reconciliatie ziet.
Alternatieve aanpakken (en waarom ze minder goed werken)
| Aanpak | Probleem |
|---|---|
| Hardware beveiligingssleutels (YubiKey) | Geweldig voor individuele accounts, maar je kunt iemand geen sleutel geven voor "alleen Stripe." Ook ~€ 50/sleutel. |
| Authenticator-apps (Google Auth) | Gekoppeld aan JOUW apparaat. Delen betekent je telefoon afgeven of QR-codes screenshotten (wat waarschijnlijk minder veilig is). |
| Virtuele telefoonnummers (Google Voice) | Veel banken en financiële diensten blokkeren VoIP-nummers voor 2FA. Stripe ondersteunt ze expliciet niet. |
| Wachtwoordmanagers met OTP (1Password) | Uitstekend, maar kost $7,99/gebruiker/maand, vereist volledige team-onboarding, en werkt alleen voor TOTP — niet sms-codes. |
| Aparte zakelijke telefoon | € 15-30/maand voor een lijn die niemand wil meedragen. Wie checkt hem om 2 uur 's nachts? |
Sms-doorsturen is niet de theoretisch veiligste optie. Het is de meest praktisch effectieve voor kleine teams die geen tijd meer willen verliezen aan een ergernis die niet zou moeten bestaan.
Geavanceerd: codes filteren op afzender
Als je niet AL je sms naar de teaminbox wilt sturen (persoonlijke berichten, huisarts, etc.), heb je opties:
- Apart zakelijk simkaartje. Neem een tweede nummer (vanaf € 5/maand bij Simyo of vergelijkbaar) en gebruik het uitsluitend voor zakelijke accountregistraties. Stuur alleen deze sim door.
- Gebruik een filterregel in e-mail. Stuur alles door, maar stel Gmail-filters in om persoonlijke berichten automatisch te archiveren en alleen OTP-patroon-e-mails te tonen in de gedeelde weergave.
- Trefwoordgebaseerd doorsturen. Sommige configuraties laten je alleen berichten doorsturen die specifieke trefwoorden bevatten zoals "code," "verificatie," of "OTP."
Stel het in in 5 minuten, bespaar 2 uur per dag
Het compounding effect is reëel. Vijf minuten instellen elimineert een onderbrekingspatroon dat je bijna 10 uur per week kost.
Je team hoeft niet meer te wachten. Jij hoeft niet meer van context te wisselen. Codes komen direct binnen, worden direct gebruikt, en verlopen zonder dat iemand erachteraan rent door de gang.
Dit artikel gaat over praktische workflowoptimalisatie voor kleine bedrijfsteams. Zie voor enterprise-compliancevereisten (AFM, Wft, AVG) onze gids over sms-archivering voor regelgevingsnaleving.
Stop met het menselijk OTP-doorgeefluik zijn.
Download SMS to Email Forwarder — duurt 2 minuten, draait voor altijd.
Klaar om te beginnen?
Stel automatisch SMS doorsturen in 2 minuten in. Gratis abonnement — geen creditcard nodig.
Download in de App Store