Authenticatie van ondertekenaar: methoden en uitdagingen

Waarom authenticatie kritiek is

De authenticatie van de ondertekenaar is de zwakste schakel in de bewijsketen. Zonder authenticatie is het onmogelijk te bewijzen wie daadwerkelijk heeft ondertekend. Een modern handtekeningplatform moet meerdere gestaffelde mechanismen bieden.

Beschikbare methoden

Betrouwbare email

De ondertekenaar ontvangt een unieke link naar zijn e-mailadres. Alleen de eigenaar van het account kan klikken. Eenvoudig en effectief voor SES.

Residueel risico: diefstal van e-mailaccount. Acceptabel voor documenten met laag risico.

OTP via SMS

Eenmalige code verzonden naar het telefoonnummer. Gecombineerd met email = AES.

Residueel risico: SIM swapping (zeldzaam maar bekend voor doelwitten met hoge waarde).

OTP via applicatie

Code gegenereerd door een app (Google Authenticator, Authy, Twilio Authy). Veiliger dan SMS voor hoge risico's.

Biometrie

Vingerafdruk, gezichtsherkenning. Gebruikt op mobiele apparaten om de gebruikerservaring soepel te houden. Niet opgeslagen op de server (GDPR-compliant).

Persoonlijk certificaat

Cryptografisch certificaat uitgegeven door een QTSP, opgeslagen op een apparaat (YubiKey, smartcard). Verplicht voor QES.

Video KYC

Identiteitsverificatie via videoconferentie of opname. Gebruikt in gereglementeerde sectoren (bank, verzekering).

Nationale digitale identiteit

FranceConnect+, itsme (België), SPID (Italië). Erkend niveau "substantieel" volgens eIDAS.

Betrouwbaarheidsniveaus (LoA)

eIDAS definieert drie niveaus:

Niveau | Vereiste | Voorbeeld

Laag | Email of equivalent | SES

Substantieel | Twee-factor authenticatie | AES (email + OTP)

Hoog | Strikte identiteitsverificatie | QES, video KYC

Afstemming op risico

• Intern document, inkooporder: laag LoA (SES) voldoende

• Arbeidscontract, huurovereenkomst, NDA: substantieel LoA (AES)

• Notariële akte, openbare aanbesteding: hoog LoA (QES)

Veelgemaakte fouten

• SES voor alles gebruiken (onderdimensionering)

• Onnodig veel authenticaties stapelen (wrijving)

• Gebruikte methoden niet loggen (bewijs verzwakt)

• Te veel biometrische gegevens verzamelen (GDPR)

Bescherming tegen aanvallen

• Phishing: ondertekenaars trainen om afzender te verifiëren

• Man-in-the-middle: TLS 1.3 verplicht

• SIM swapping: OTP per app voor zeer hoge risico's

• Deepfake video KYC: levendigheidscontroles + kruisverwijzing

Praktijkgeval: neobank

Accountopeningsproces:

• Betrouwbare email

• OTP SMS

• Upload identiteitsdocument

• Levendigheidstest (selfie)

• Controle sanctielijsten

• AES-handtekening

LoA: substantieel. ACPR-conform. Proces in 10 minuten.

Hoe Certyneo u helpt

Certyneo biedt alle gangbare mechanismen: email, OTP SMS (via Twilio Verify), integratie van gekwalificeerde certificaten voor QES, optionele video KYC, FranceConnect+ integratie. Elke methode wordt gelogd in het audittrail.

Ontdek de elektronische handtekeningoplossing van Certyneo

Veelgestelde vragen

Is SMS veilig genoeg?

Voor AES ja. Voor zeer hoge risico's liever OTP app of biometrie.

Wordt biometrie opgeslagen?

Aan serverzijde nee (GDPR-compliant). Templates blijven op het apparaat.

Kunnen meerdere methoden gecombineerd worden?

Ja, om het bewijs te versterken.

Is FranceConnect+ erkend?

Ja, substantieel niveau. Kan AES en QES activeren.

Wat gebeurt er als de OTP verloopt?

De ondertekenaar kan een nieuwe aanvragen. Anti-brute-force-limieten zijn ingesteld.

Conclusie

Goede authenticatie is gestaffeld, gelogd en aangepast aan het risico. Over-authenticatie creëert wrijving; onder-authenticatie verzwakt het bewijs. Het evenwicht wordt document voor document gevonden.

Probeer Certyneo om uw documenten online te versturen, ondertekenen en volgen, eenvoudig, snel en veilig.