Tools, techniek & integratie

MCP-servers in finance-praktijk

Een overzicht van MCP-servers die in een finance-context bruikbaar zijn — boekhouding, banking, MS365, meeting-tools — en de security-overwegingen bij elk, inclusief prompt-injection-risico's.

7 min
  • mcp
  • security
  • integratie
  • finance

MCP-servers zijn de uitvoerende componenten van het Model Context Protocol — verbindingsbruggen die een specifiek extern systeem (boekhouding, banking, MS365, meeting-tools) op een gestandaardiseerde manier voor een AI-model toegankelijk maken. Voor finance-teams: het ecosysteem telt 10.000+ publieke servers, de helft is hobby-werk, het werkbare kwart vraagt om bewuste selectie — security en prompt-injection-risico zijn per server anders.

Het MCP-ecosysteem telt begin 2026 meer dan 10.000 publieke servers. De helft is hobby-werk, een kwart dubbel, en het overige kwart is bruikbaar tot productie-waardig. Dit artikel filtert: welke servers zijn in een finance-context de moeite waard, wat kunnen ze, welk risico krijg je erbij, en — voor finance specifiek — welke prompt-injection-patronen we in de praktijk hebben gezien.

De categorie-indeling die helpt

Voor finance-bruikbaarheid én risico-inschatting werkt deze indeling:

  1. Kennis-servers (read-only) — informatie ophalen uit een externe bron. Risico laag, winst direct.
  2. Actie-servers (read-write) — kunnen ook schrijven, mail versturen, status wijzigen. Risico middel tot hoog, afhankelijk van waar ze schrijven.
  3. Boekhouding-servers — directe toegang tot je administratie. Voor finance de meest waardevolle én meest gevoelige categorie.
  4. Infrastructuur-servers — databases, filesystems, cloud-omgevingen. Risico hoog, voor finance zelden direct nodig.

Servers per categorie — vanuit finance-bril

Kennis-servers

SharePoint / OneDrive MCP — zoekt en leest bestanden. Goed voor "raadpleeg ons close-handboek bij deze vraag" of "vind het transfer-pricing-rapport van vorig jaar voor klant X". Let op: de AI krijgt toegang tot elk bestand waar het service-account toegang toe heeft. Scope dat account strak — een service-account met toegang tot het hele bedrijf is een onnodig groot aanvalsoppervlak.

Notion MCP — als jullie kennisbank in Notion staat. Leest pagina's, databases, queries. Voor finance-teams die KPI-documentatie, close-checklists of fiscale handboeken in Notion bewaren: vrijwel risicoloze quick win.

Fireflies MCP — haalt meeting-transcripten, samenvattingen en actiepunten op. Bruikbaar voor finance-meetings (MT, board-prep, audit-meetings, klantgesprekken). Combinatie met een follow-up-skill levert structurele tijdwinst.

Context7 / web docs-MCP — actuele documentatie van libraries en tools ophalen. Voor finance zelden direct relevant; voor finance-IT-teams die zelf bouwen wel.

Actie-servers

Outlook MCP — lezen, zoeken, concepten klaarzetten, eventueel versturen. Altijd starten in read-only of alleen drafts-creatie. Verzend-rechten alleen nadat je twee weken hebt gezien dat de drafts kloppen — en dan nog meestal alleen voor interne mail, niet voor klantcorrespondentie.

Teams MCP — berichten lezen, posts plaatsen. Risico: een AI die in het verkeerde kanaal iets post is een sociaal probleem in plaats van een technisch. Beperk tot specifieke kanalen (bv. finance-intern).

Calendar MCP (Outlook of Google) — agenda lezen, afspraken voorstellen. Bruikbaar voor finance-meeting-plannen, audit-coördinatie. Combinatie met Fireflies levert een "plan dit gesprek in en notuleer"-workflow.

Boekhouding-servers — voor finance de kern

Exact-MCP — direct openstaande facturen, balansen, mutaties, kredietnota's opvragen. Voor schrijfacties (boekingen, betaalvoorstellen): alleen via een approval-laag, nooit autonoom. Cruciaal: kies een MCP-implementatie die EU-hosted is en met DPA. Voor het Saldus-platform is dit de standaard-stack.

Twinfield / AFAS MCP — vergelijkbaar in functionaliteit, productie-rijp afhankelijk van de leverancier. Begin 2026 zijn Exact-koppelingen het meest volwassen; Twinfield en AFAS volgen.

iWeb Exact AI Connect — third-party MCP-server voor Exact. In de praktijk een research-bron voor architectuur-keuzes; voor productie-finance-werk hebben we deze MCP niet ingezet vanwege een specifiek prompt-injection-patroon (zie hieronder).

Banking-MCP — direct bankafschriften opvragen via PSD2 of bank-specifieke API's. Voor reconciliatie-flows nuttig; betalingen klaarzetten via een MCP raden we voor de meeste MKB-finance-teams niet aan — gebruik daarvoor het bestaande banking-portaal met HITL.

Infrastructuur-servers

Database-MCPs (Postgres, Supabase) — directe SQL-toegang. Voor finance zelden direct relevant — finance werkt op gestructureerde finance-data, niet op ruwe database-tabellen. Voor finance-IT die zelf bouwt: extreem voorzichtig, met aparte sandbox-omgeving.

Filesystem MCP — voor toegang tot lokale finance-files (Excel-modellen, gescande documenten). Beperk altijd tot specifieke folders, geen toegang tot systeem-folders.

Prompt-injection — het reële risico in finance

Een specifiek aandachtspunt voor finance dat we niet kunnen overslaan: prompt-injection via MCP-servers. We hebben in de praktijk een MCP-server van een concurrerend platform onderzocht waar het response-format een _internal_hint-veld bevatte met instructies aan het AI-model. Dat veld werd niet door de gebruiker geschreven, maar door de tool-aanbieder — en kan dus gebruikt worden om het AI-model te sturen op manieren die de gebruiker niet ziet.

Voor finance-teams betekent dit: een MCP-server die met je boekhouding praat, kan in theorie het AI-model instructies geven die de gebruiker niet kent. Een leverancier die kwaadwillend is (of een leverancier waarvan de server gecompromitteerd is), kan via deze route invloed uitoefenen op wat de AI doet of antwoordt.

De verdediging is niet-triviaal:

  • Gebruik alleen MCP-servers van vertrouwde aanbieders — je boekhoudleverancier zelf, je AI-platform-leverancier met expliciete contract-clausules, of zelf gebouwd. Niet servers van onbekende publishers, ongeacht hoe handig de functionaliteit lijkt.
  • Filter _internal_hint en vergelijkbare velden als jouw AI-platform het toelaat. Dit is geen standaard-eis aan platforms; het is een specifieke configuratie.
  • Schrijf-acties altijd via approval-laag, niet rechtstreeks. Zelfs als een MCP-server gecompromitteerd is, kan een mens nog corrigeren voor een boeking landt.

Welke servers zou je in finance morgen aanzetten

Voor een MKB- of scale-up-finance-team dat nu met MCP start, in volgorde van ROI versus risico:

  1. SharePoint / OneDrive MCP (read-only) — directe kennisbank-toegang, nul risico.
  2. Outlook MCP (read en drafts, niet send) — inbox-triage en mail-drafts.
  3. Boekhouding-MCP (read-only eerst) — basisvragen over openstaande posten, balansen, mutaties.
  4. Fireflies of vergelijkbare meeting-MCP — voor MT- en audit-meetings.
  5. Calendar MCP — voor agenda-coördinatie rond audits en close.

Servers die je beter later aanpakt of vermijdt:

  • Boekhouding-MCPs met write-rechten op productie zonder approval-laag — bouw of koop eerst de approval-laag.
  • Database-MCPs direct op je productie-administratie — geen toegevoegde waarde, alleen risico.
  • Onbekende community-MCPs — stick to officiële aanbieders. De 10.000 publieke servers zijn niet allemaal te vertrouwen.
  • MCPs die _internal_hint-style velden bevatten waarvan je niet weet wat ze doen.

Wat je één keer goed regelt

Zodra MCP in finance-context in gebruik komt, zijn er vier one-time-decisions die alle vervolgmaanden makkelijker maken:

  • Een lijst goedgekeurde MCP-servers per finance-rol. Nieuwe server = nieuwe goedkeuring door de CFO of finance-manager.
  • Eén plek waar de team-MCP-configuratie leeft — een gedeeld mcp.json of een gecentraliseerd platform — zodat iedereen met dezelfde set werkt.
  • Een ritme voor review — elk kwartaal 30 minuten door de logs van de actieve MCPs, plus een check op nieuwe security-meldingen van de aanbieders.
  • Een sandbox-administratie voor experimenten — geen MCP-server tegen productie zonder eerst weken sandbox-test.

Audit-grade-perspectief

Elke MCP-server die met de boekhouding praat is audit-relevant. Een externe accountant zal vragen: welke MCPs draaien er, met welke rechten, welke acties hebben ze in de periode gedaan. Onveranderlijke logs, een eigenaar, en de jaarlijkse review zijn niet optioneel. Voor read-only MCPs is de audit-druk lager; voor read-write MCPs op de boekhouding is hij hoog.

Saldus in de praktijk

In Saldus is de MCP-laag onder de motorkap: een eigen Exact-koppeling die specifiek voor finance is ontworpen, met audit-logging op elke tool-call, EU-hosting, geen _internal_hint-patroon, en een approval-laag voor schrijfacties. Voor finance-teams die liever niet zelf een MCP-stack opbouwen met losse servers is dit een vorm van platform-keuze: minder flexibiliteit op MCPs, maar een gegarandeerd niveau van governance en audit-readiness.

Verder lezen

Artikel
Wat is MCP en waarom relevant voor finance
Artikel
AI-governance voor finance
Artikel
Agentic AI en toegang tot je administratie
Artikel
AI integreren in bestaande finance-processen
Volgende stap
Saldus.ai — het platform
Volgende stap
AI-assessment
AVG-compliant verwerker
Audit-grade logging
Pen-tested platform