Hoe elektronische handtekening in 2026 werkt

Inleiding

Elektronische handtekening staat vandaag centraal in de digitale transformatie van ondernemingen: in 2025 heeft meer dan 70% van de grote Europese organisaties deze geïntegreerd in minstens één contractueel proces (bron: Gartner, Digital Process Automation Survey 2025). Toch zijn er weinig beleidsmakers die precies begrijpen welke mechanismen het juridisch geldig en technisch onvervalsbaar maken. Het begrijpen van hoe elektronische handtekening technisch werkt — cryptografie, PKI, certificaten — stelt u in staat de juiste oplossing te kiezen, juridische risico's te verminderen en interne adoptie te versnellen. Dit artikel begeleidt u stap voor stap door de technische architectuur en de normen die elektronische handtekening in 2026 regelen.

---

De cryptografische fundamenten van elektronische handtekening

Elektronische handtekening is gebaseerd op bewezen cryptografische primitieven. Het begrijpen van de mechanismen betekent begrijpen waarom het betrouwbaarder is dan een gedigitaliseerde handgeschreven handtekening.

Asymmetrische encryptie: publieke en privésleutel

Het fundamentele principe is asymmetrische cryptografie, uitgevonden in de jaren 1970 en gestandaardiseerd door algoritmen zoals RSA (Rivest–Shamir–Adleman) of elliptische krommen (ECDSA). Elke ondertekenaar beschikt over twee wiskundig gerelateerde sleutels:

• De privésleutel: strikt geheim gehouden door de ondertekenaar, op een veilig apparaat (smartcard, HSM-token of beveiligd softwaremodule). Deze wordt gebruikt om de handtekening te creëren.
• De publieke sleutel: vrij verdeeld, opgenomen in een digitaal certificaat. Deze wordt gebruikt om de handtekening te verifiëren.

Het beveiligingsprincipe is gebaseerd op een rekenkundige asymmetrie: het is wiskundig triviaal om een handtekening met de publieke sleutel te verifiëren, maar praktisch onmogelijk om de privésleutel uit de publieke sleutel te reconstrueren (probleem van de discrete logaritme of factorisatie van grote getallen).

Hash-functies: de digitale vingerafdruk van het document

Voor het ondertekenen berekent het systeem een cryptografische vingerafdruk van het document met behulp van een hash-functie (SHA-256 of SHA-3 in 2026). Deze afdruk, hash of digest genoemd, is een tekenreeks met vaste grootte (256 bits voor SHA-256) die de documentinhoud op unieke wijze vertegenwoordigt.

Essentiële eigenschap: het wijzigen van één enkel teken in het document produceert een radicaal ander hash. Dit garandeert de integriteit van het ondertekende document: elke wijziging na ondertekening is onmiddellijk detecteerbaar.

De elektronische handtekening zelf is dus de encryptie van deze hash met de privésleutel van de ondertekenaar. Bij verificatie:

1. Ontcijfert de ontvanger de handtekening met de publieke sleutel om de originele hash terug te krijgen;
2. Berekent hij zelf opnieuw het hash van het ontvangen document;
3. Vergelijkt de twee: indien identiek, is de handtekening geldig.

---

De Openbare Sleutelinfrastructuur (PKI): de vertrouwensketen

Alleen cryptografie volstaat niet: u moet ook bewijzen dat de publieke sleutel eigendom is van de persoon die dit beweert. Dit is de rol van de PKI (Public Key Infrastructure) — of Openbare Sleutelinfrastructuur.

Certificeringsinstanties (CA)

Een Certificeringsinstantie (AC of CA) is een geaccrediteerde vertrouwde derde partij die digitale certificaten uitgeeft. Een digitaal certificaat is een gestandaardiseerd bestand (X.509-indeling) met:

• De identiteit van de houder (naam, organisatie, e-mail);
• Zijn publieke sleutel;
• De geldigheidsduur;
• De digitale handtekening van de AC zelf.

In Europa zijn gekwalificeerde CA's geregistreerd in de Trusted Lists gepubliceerd door elke EU-lidstaat in overeenstemming met de verordening eIDAS. In Frankrijk publiceert en onderhoudt de ANSSI deze lijst. Gekwalificeerde aanbieders van vertrouwensdiensten (QTSP) — zoals CertSign, Certigna of Universign — onderliegen regelmatige audits volgens de norm ETSI EN 319 401.

De certificeringsketen en intrekking

De PKI werkt volgens een hiërarchisch model:

• Een root CA (root-certificeringsinstantie) zelf ondertekend, offline opgeslagen onder maximale fysieke veiligheidsvoorwaarden;
• Tussenliggende CA's die certificaten voor eindgebruikers uitgeven.

De intrekking van certificaten is een kritiek mechanisme: als een privésleutel is gecompromitteerd, publiceert de AC deze ongeldigheid via een CRL (Certificate Revocation List) of via het OCSP-protocol (Online Certificate Status Protocol), wat realtime-verificatie mogelijk maakt.

Voor gekwalificeerde elektronische handtekening volgens eIDAS moet de privésleutel gegenereerd en opgeslagen worden in een QSCD (Qualified Signature Creation Device) — hardware gecertificeerd EAL4+ of hoger, zoals een smartcard of HSM (Hardware Security Module).

---

De drie niveaus van handtekening volgens eIDAS

De Europese verordening eIDAS nr. 910/2014 (en de evoluering eIDAS 2.0 die momenteel wordt geïmplementeerd) definieert drie niveaus van handtekening, elk met toenemende technische garanties. Raadpleeg onze complete gids over verordening eIDAS om dit regelgevingskader beter te begrijpen.

Eenvoudige elektronische handtekening (SES)

De eenvoudige handtekening is de minst beperkende vorm technisch gezien. Dit kan zo eenvoudig zijn als een selectievakje, een OTP-code (One-Time Password) verzonden per SMS, of een afbeelding van een handgeschreven handtekening. Dit vereist niet noodzakelijk een gekwalificeerd certificaat.

Typisch gebruik: validatie van offertes, marketingtoestemmingen, contracten met laag risico.

Risico: beperkte bewijskracht in geval van juridische geschillen. De bewijslast rust op degene die de handtekening inroept.

Geavanceerde elektronische handtekening (AdES)

De geavanceerde handtekening voldoet aan vier precieze technische vereisten (artikel 26 eIDAS):

1. Deze is op unieke wijze gebonden aan de ondertekenaar;
2. Deze stelt in staat de ondertekenaar te identificeren;
3. Deze is gemaakt op basis van gegevens onder exclusieve controle van de ondertekenaar;
4. Deze maakt detectie van latere documentwijzigingen mogelijk.

Concreet vereist dit het gebruik van een persoonlijk digitaal certificaat en een robuust verificatiemechanisme. De standaardindelingen worden gedefinieerd door ETSI: PAdES (voor PDF), XAdES (XML), CAdES (binaire gegevens) en JAdES (JSON), allemaal gestandaardiseerd in de ETSI EN 319 100-reeks.

Gekwalificeerde elektronische handtekening (QES)

De gekwalificeerde handtekening is het hoogste niveau. Dit vereist:

• Een gekwalificeerd certificaat uitgegeven door een geaccrediteerde QTSP eIDAS;
• Een QSCD voor handtekeningcreatie.

Deze geniet van een juridische veronderstelling van betrouwbaarheid en juridische gelijkwaardigheid met handgeschreven handtekening in de gehele Europese Unie (artikel 25 eIDAS). Dit is het niveau dat vereist is voor elektronische notariële akten, bepaalde notariële acten of gevoelige openbare aanbestedingen.

Onze vergelijking van elektronische handtekeningsoplossingen analyseert praktische verschillen tussen deze niveaus om u te helpen kiezen.

---

Het volledige proces van elektronische handtekening stap voor stap

Hier is hoe een elektronische handtekeningtransactie concreet verloopt op een SaaS-platform zoals Certyneo:

Stap 1: voorbereiding en verzending van het document

De handtekeninginitiator laadt het document (contract, aanvulling, inkooporder) op het platform. Het systeem genereert onmiddellijk een SHA-256-hash van het originele bestand, voorzien van een tijdstempel en opgeslagen op onveranderbare wijze. Deze afdruk dient als referentie voor toekomstige verificatie.

Stap 2: verificatie van de ondertekenaar

Afhankelijk van het gekozen handtekeningsniveau varieert de verificatie:

• SES: e-mail + handtekeningslink;
• AdES: sterke verificatie (OTP SMS, mobiele FIDO2-app);
• QES: voorafgaande identiteitsverificatie (face-to-face of video IDV), uitgifte van een gekwalificeerd certificaat voor eenmalig of blijvend gebruik.

Stap 3: creatie van de cryptografische handtekening

De ondertekenaar initieert de handtekening. Het platform (of QSCD):

1. Berekent het hash van het document;
2. Versleutelt deze hash met de privésleutel van de ondertekenaar;
3. Integreert de handtekening en certificaat in het document (PDF ondertekend in PAdES-LTV-indeling voor lange termijn archivering).

Stap 4: gekwalificeerde tijdstempel

Een gekwalificeerde tijdstempelingsdienst (TSA) conform RFC 3161 voegt een cryptografische timestamp toe, bewijzend dat de handtekening op een precies moment bestond. Dit beschermt tegen datumvervalsing en garandeert bewijskracht in de tijd — zelfs als het certificaat van de ondertekenaar later vervalt.

Stap 5: bewijzendarchivering

Het ondertekende document wordt gearchiveerd met zijn volledige auditrail: identiteit van ondertekenaar, IP-adres, tijdstempel, documenthash, gebruikte certificaten. Dit bewijsdossier is essentieel in geval van juridische betwisting. Conforme eIDAS-oplossingen behouden deze bewijzen in PAdES-LTV-indeling (Long-Term Validation) die validatiegegevens integreert voor verificatie jaren na ondertekening.

Om te begrijpen hoe u dit proces in uw HR-werkstromen integreert, ontdek onze elektronische handtekeningsoplossing voor HR en onze downloadbare contractsjablonen.

Toepasselijk juridisch kader voor elektronische handtekening

Elektronische handtekening valt onder een multicouche regelgevingskader dat nationaal burgerrecht en geharmoniseerd Europees recht combineert.

Franse burgercode

Artikel 1366 van de Code civil stelt het fundamentele principe: "Elektronische geschriften hebben dezelfde bewijskracht als geschriften op papier, onder voorbehoud dat de persoon van wie het afkomstig is behoorlijk kan worden geïdentificeerd en dat het is opgesteld en bewaard onder voorwaarden die het behoud van de integriteit waarborgen." Artikel 1367 verduidelijkt dat elektronische handtekening "bestaat uit het gebruik van een betrouwbaar identificatieprocedé dat het verband met de akte waaraan het is verbonden garandeert".

Decreet nr. 2017-1416 van 28 september 2017 bepaalt de veronderstelling van betrouwbaarheid voor gekwalificeerde en geavanceerde handtekeningen conform eIDAS.

Verordening eIDAS nr. 910/2014

Hoeksteen van Europees recht op digitaal vertrouwen, de verordening eIDAS (electronic IDentification, Authentication and trust Services) stelt een uniform juridisch kader vast voor elektronische handtekeningen, elektronische zegels, gekwalificeerde tijdstempeling, aanbevolen verzendingsdiensten en certificaten voor websiteauthenticatie. Artikel 25, lid 2 verleent aan gekwalificeerde handtekening een juridische veronderstelling van gelijkwaardigheid met handgeschreven handtekening in heel de EU.

De verordening eIDAS 2.0 (onder transponering voor Q1 2026) versterkt deze bepalingen met de Europese digitale identiteitswallet (EUDIW) en breidt verplichtingen uit naar fintech- en gezondheidssectormarkten.

ETSI-normen

Handtekeningsindelingen zijn gestandaardiseerd door ETSI:

• ETSI EN 319 132 (XAdES), EN 319 122 (CAdES), EN 319 102 (PAdES) definiëren technische profielen voor geavanceerde en gekwalificeerde handtekeningen;
• ETSI EN 319 421 regelt beleid voor gekwalificeerde tijdstempelingsdiensten.

GDPR en gegevensbescherming

De verwerking van identiteitsgegevens in het kader van elektronische handtekening (naam, e-mail, biometrie voor identiteitsverificatie) valt onder GDPR nr. 2016/679. Verwerkingsverantwoordelijken moeten: een juridische grondslag hebben (gerechtvaardigd belang of contractuitvoering), het principe van gegevensminimalisatie toepassen en veiligheid garanderen door passende technische maatregelen (encryptie, pseudonymisering).

NIS2-richtlijn

De NIS2-richtlijn (2022/2555/EU), sinds oktober 2024 in Frans recht omgezet, stelt verhoogde cybersecurity-, risicobeheer- en meldingsverplichtingen (binnen 24 uur) in voor kritieke dienstaanbieders en digitale dienstaanbieders (waaronder elektronische handtekeningaanbieders). Niet-naleving kan leiden tot boetes tot 10 miljoen euro of 2% van wereldwijde omzet.

Praktische gebruiksscenario's van elektronische handtekening

Scenario 1: een advocatenkantoor automatiseert handtekeningmachtigingen

Een gespecialiseerd advocatenkantoor met twaalf medewerkers verwerkte gemiddeld 120 vertegenwoordigingsmachtigingen per maand. De papierenprocedure vereiste afdruk, postvervoer of persoonlijke levering, vervolgens digitalisering van retourndocumenten — wat gemiddeld 4,5 werkdagen vertraging per dossier en ~8% documentverliespercentage veroorzaakte.

Door geavanceerde elektronische handtekening (AdES) met OTP-verificatie in te voeren, reduceerde het kantoor de ondertekeningvertraging tot minder dan 4 uur gemiddeld, verminderde het documentanomaliepercentage tot minder dan 1%, en bespaarde ongeveer 2.200 € jaarlijks op postage en afdrukkosten. De automatisch gegenereerde auditrail vereenvoudigde ook twee machtigingsbetwistingsprocedures door onbetwistbaar bewijs op te leveren. Ontdek onze juridische kantooroplossing.

Scenario 2: een midden- en kleinbedrijf digitaliseert leverancierscontracten

Een midden- en kleinbedrijf in de industrie beheerde ongeveer 200 leverancierscontracten jaarlijks (inkoopvoorwaarden, tarifaanpassingen, NDA's) en ondervond ondertekeningsvertragingen tot boven drie weken voor grensoverschrijdende contracten met Duitse en Spaanse partners. Verschillen in rechtsstelsels en afblijvende onderlinge erkenning vertraagden onderhandelingen.

Door gekwalificeerde elektronische handtekening (QES) uitgegeven door een geaccrediteerde QTSP eIDAS aan te nemen — herkend in alle drie landen — genoot het bedrijf automatische juridische erkenning zonder extra legalisatie. De gemiddelde grensoverschrijdende ondertekeningsvertraging daalde van 18 dagen naar 2,5 dagen. De elektronische handtekening in bedrijven detailleren deze voordelen voor inkoopteams.

Scenario 3: een ziekenhuisgroep verzekert informed consent van patiënten

Een ziekenhuisgroep van ongeveer 800 bedden moest informed consent van patiënten voor klinische onderzoeksprotocollen inzamelen. Papierenbeheer creëerde GDPR-nalevingsrisico's (slecht gearchiveerde documenten, onherleidbare datums) en mobiliseerde zorgpersoneel voor administratieve taken.

Door eenvoudige elektronische handtekening met SMS-codeidentificatie in te voeren — voldoende voor handelingen zonder gekwalificeerde vereisten — automatiseerde de groep inzameling, archivering en traceerbaarheid van toestemmingen. De administratieve tijd per patiënt daalde van 12 minuten naar minder dan 2 minuten, vrijmakend van ongeveer 800 zorguren jaarlijks. Alle documenten worden gearchiveerd met gekwalificeerde tijdstempel, volledig voldoende aan CNIL-vereisten. Ontdek onze handtekeningsoplossing voor gezondheid.

Conclusie

Het begrijpen hoe elektronische handtekening technisch werkt — van asymmetrische cryptografie tot PKI, van gekwalificeerde certificaten tot bewijsbare tijdstempeling — is onmisbaar voor weloverwogen keuzen inzake naleving en operationele efficiëntie. De drie eIDAS-niveaus (eenvoudig, geavanceerd, gekwalificeerd) beantwoorden aan verschillende behoeften, en de keuze dient altijd door risicoanalyse en verwachte bewijskracht te worden geleid.

Certyneo begeleidt u in deze transitie met een eIDAS-conforme SaaS-platform, geaccrediteerde QTSP's en vereenvoudigde integratie in bestaande werkstromen. Schat potentiële winsten voor uw organisatie met onze ROI-calculator voor elektronische handtekening, of begin direct met onze aanbiedingen en prijzen. Naleving en prestatie zijn geen compromissen meer.