Elektronische handtekening en AVG: gids voor DPO's

Welke persoonsgegevens verwerkt een handtekeningoplossing?

Een elektronische handtekeningenplatform verwerkt verschillende categorieën persoonsgegevens.

• Identiteit van ondertekenaar: naam, voornaam, e-mail, telefoonnummer
• Inhoud van documenten: potentieel gevoelige persoonsgegevens (arbeidsovereenkomsten, gezondheidsgegevens, financiële gegevens)
• Audittrailgegevens: IP-adres, timestamp, user-agent
• Gedragsgegevens: handtekeningpatroon op tablet (indien biometrische QES)

Hosting en overdrachten buiten de EU

AVG schrijft voor dat persoonsgegevens alleen buiten de EU mogen worden overgedragen naar landen met een adequaat beschermingsniveau of onder passende waarborgen (SCC's, BCR's). Voor handtekeningenoplossingen betekent dit:

• EU-hosting → native overdracht, geen aanvullende formaliteiten
• US-hosting met SCC's → mogelijk maar residueel Cloud Act-risico
• Amerikaanse entiteit (Cloud Act) → risico kan niet worden opgeheven, zelfs niet met EU-hosting

Amerikaanse Cloud Act en elektronische handtekening

De Cloud Act (2018) stelt Amerikaanse autoriteiten in staat om toegang te krijgen tot gegevens van Amerikaanse ondernemingen, zelfs als deze gegevens in Europa zijn opgeslagen. DocuSign, Adobe Sign en Dropbox Sign zijn Amerikaanse ondernemingen onder de Cloud Act. Certyneo is een Franse entiteit, niet onderworpen aan deze extraterritoriale jurisdictie.

Aanbevelingen voor DPO's

1. 1Kies een leverancier waarvan de rechtspersoon zich in de EU of Verenigd Koninkrijk bevindt (na Brexit met adequaatheidsbesluit)
2. 2Controleer of de hosting uitsluitend in de EU plaatsvindt, zonder replicatie op servers buiten de EU
3. 3Verkrijg en onderteken een DPA die voldoet aan artikel 28 van AVG
4. 4Documenteer de impactanalyse (DPIA) indien u gevoelige gegevens in uw documenten verwerkt
5. 5Controleer de bewaarduur van gegevens en het verwijderingsbeleid bij contractbeëindiging

AVG-vragen over elektronische handtekening

Impliceert een elektronische handtekening persoonsgegevensverwerking?

Ja. Het e-mailadres, de naam en mogelijk het telefoonnummer van de ondertekenaar worden verzameld. De inhoud van documenten kan ook persoonsgegevens bevatten. De handtekeningenleancier is een verwerker in de zin van AVG, onderworpen aan de verplichtingen van artikel 28.

Is DocuSign AVG-conform?

DocuSign stelt conform AVG te zijn en biedt SCC's aan. Als Amerikaanse onderneming blijft zij echter onderworpen aan Cloud Act. De CNIL heeft eraan herinnerd dat Cloud Act een risico vormt dat niet kan worden opgeheven voor Europese gegevens die bij Amerikaanse entiteiten in de EU zijn opgeslagen.

Is Certyneo AVG-conform?

Ja. Certyneo is een Franse entiteit, gehost in de EU (IONOS Duitsland), niet onderworpen aan Cloud Act. Gegevens zijn versleuteld in transit (TLS 1.3) en in rust. Certyneo biedt een DPA conform artikel 28 van AVG.

Moet ik een DPIA uitvoeren voor het gebruik van een handtekeningoplossing?

Een DPIA is niet altijd vereist voor standaard elektronische handtekening. Deze is nodig als u documenten met gevoelige gegevens ondertekent (gezondheid, HR met vakbondsgegevens, enz.) of als uw handtekeninggebruik profilering of grootschalige bewaking inhoudt.