Ondertekenaarsauthenticatie: methoden en problemen

Waarom authenticatie van cruciaal belang is

De authenticatie van de ondertekenaar is dezwakste schakelvan de bewijsketen. Zonder dit is het onmogelijk om te bewijzen wie daadwerkelijk heeft getekend. Een modern handtekeningplatform moet verschillende gegradueerde mechanismen bieden.

Beschikbare methoden

Vertrouwde e-mail

De ondertekenaar ontvangt een unieke link naar zijn e-mailadres. Alleen de dooshouder kan klikken. Eenvoudig, effectief voor de SES.

Resterend risico: diefstal van e-mailaccount. Acceptabel voor documenten met een lage inzet.

OTP via sms

Eenmalige code verzonden naar telefoonnummer. Gecombineerd met e-mail = AES.

Resterend risico: SIM-swapping (zeldzaam maar bekend om waardevolle doelen).

OTP per app

Code gegenereerd door een app (Google Authenticator, Authy, Twilio Authy). Veiliger dan sms voor hoge inzetten.

Biometrie

Vingerafdruk, gezichtsherkenning. Gebruikt op mobiel om de ervaring te stroomlijnen. Niet opgeslagen aan de serverzijde (AVG-compliance).

Persoonlijk certificaat

Cryptografisch certificaat uitgegeven door een QTSP, opgeslagen op een apparaat (YubiKey, smartcard). Verplicht voor QES.

Video-KYC

Identiteitsverificatie via videoconferentie of opname. Gebruikt voor gereguleerde sectoren (banken, verzekeringen).

Nationale digitale identiteit

FranceConnect+, itsme (België), SPID (Italië). Erkend als “substantieel” niveau door eIDAS.

Niveaus van zekerheid (LoA)

eIDAS definieert drie niveaus:

Niveau | Vereiste | Voorbeeld

Laag | E-mail of gelijkwaardig | ZIJN

Substantieel | Dubbele factor | AES (e-mail + OTP)

Hoog | Strenge identiteitsverificatie | QES, video-KYC

Afstemming op het probleem

• Intern document, inkooporder: Lage LoA (SES) is voldoende
• Arbeidsovereenkomst, huurovereenkomst, geheimhoudingsverklaring: Aanzienlijke LoA (AES)
• Notariële akte, openbare markt: Hoge LoA (QES)

Veelvoorkomende fouten

• Gebruik SES voor alles (ondermaats)
• Authenticaties onnodig stapelen (wrijving)
• Gebruikte methoden niet loggen (verzwakt bewijs)
• Te veel biometrische gegevens verzamelen (AVG)

Bescherming tegen aanvallen

• Phishing: ondertekenaars trainen om de afzender te verifiëren
• Man-in-het-midden: TLS 1.3 vereist
• SIM-wisselen: OTP per app voor zeer hoge inzetten
• Deepfake-video KYC: levendheidscontroles + kruiscontrole

Concreet geval: neobank

Proces voor het openen van een rekening:

1. Vertrouwde e-mail
2. OTP-sms
3. Identiteitsdocument uploaden
4. Levendigheidstest (selfie)
5. Kruiscontrole van sanctiegrondslagen
6. AES-handtekening

LoA: substantieel. ACPR-compatibel. Verwerkt in 10 minuten.

Hoe Certyneo u helpt

Certyneo biedt alle gebruikelijke mechanismen: e-mail, OTP-sms (via Twilio Verify), integratie van gekwalificeerde certificaten voor QES, optionele video-KYC, FranceConnect+-integratie. Elke methode wordt vastgelegd in de audit trail.

Ontdek de Certyneo oplossing voor elektronische handtekeningen

FAQ

Is sms veilig genoeg?

Voor AES ja. Voor zeer hoge inzetten geeft u de voorkeur aan de OTP-app of biometrie.

Worden biometrische gegevens opgeslagen?

Serverzijde nee (AVG-naleving). De sjablonen blijven op het apparaat staan.

Kunnen we verschillende methoden combineren?

Ja, om het bewijsmateriaal te versterken.

Wordt FranceConnect+ herkend?

Ja, substantieel niveau. Kan AES en QES activeren.

Wat gebeurt er als het OTP verloopt?

De ondertekenaar kan een nieuwe aanvragen. Er zijn limieten tegen brute kracht ingesteld.

Conclusie

Goede authenticatie wordt beoordeeld, getraceerd en aangepast aan het probleem. Over-authenticatie zorgt voor wrijving; te weinig authenticatie verzwakt het bewijs. Het saldo wordt document per document gevonden.

Probeer Certyneo om uw documenten eenvoudig, snel en veilig online te verzenden, ondertekenen en volgen.