Hoe elektronische handtekening werkt in 2026

Inleiding

De elektronische handtekening staat vandaag centraal in de digitale transformatie van bedrijven: in 2025 heeft meer dan 70% van de grote Europese organisaties deze in minstens één contractueel proces geïntegreerd (bron: Gartner, Digital Process Automation Survey 2025). Toch zijn het weinig beleidsmakers die precies begrijpen welke mechanismen deze juridisch geldig en technisch onvervalsbaarheid maken. Het begrijpen van hoe elektronische handtekening technisch werkt — cryptografie, PKI, certificaten — stelt u in staat de juiste oplossing te kiezen, juridische risico's te beperken en interne adoptie te versnellen. Dit artikel begeleidt u stap voor stap door de technische architectuur en de standaarden die de elektronische handtekening in 2026 regelen.

---

De cryptografische grondslagen van de elektronische handtekening

De elektronische handtekening is gebaseerd op bewezen cryptografische primitieven. Het begrijpen van de mechanismen betekent begrijpen waarom het betrouwbaarder is dan een gescande handgeschreven handtekening.

Asymmetrische versleuteling: publieke sleutel en privésleutel

Het fundamentele principe is asymmetrische cryptografie, uitgevonden in de jaren 1970 en gestandaardiseerd door algoritmen zoals RSA (Rivest–Shamir–Adleman) of elliptische krommen (ECDSA). Elke ondertekenaar beschikt over twee wiskundig gekoppelde sleutels:

• De privésleutel: geheim gehouden door de ondertekenaar, op een beveiligd apparaat (smartcard, HSM-token of beveiligd softwaremodule). Het wordt gebruikt om de handtekening te creëren.
• De publieke sleutel: vrij verspreid, opgenomen in een digitaal certificaat. Het wordt gebruikt om de handtekening te verifiëren.

Het beveiligingsprincipe is gebaseerd op een computationele asymmetrie: het is wiskundig triviaal om een handtekening met de publieke sleutel te verifiëren, maar praktisch onmogelijk om de privésleutel uit de publieke sleutel te herstellen (discrete logaritmische probleem of factoring van grote gehele getallen).

Hashfuncties: de digitale vingerafdruk van het document

Voordat u ondertekent, berekent het systeem een cryptografische vingerafdruk van het document met behulp van een hashfunctie (SHA-256 of SHA-3 in 2026). Deze vingerafdruk, hash of digest genoemd, is een reeks karakters van vaste grootte (256 bits voor SHA-256) die de documentinhoud uniek vertegenwoordigt.

Essentiële eigenschap: het wijzigen van één enkel karakter van het document produceert een radicaal verschillende hash. Dit garandeert de integriteit van het ondertekende document: elke nabewerking na ondertekening is onmiddellijk opspoorbaar.

De eigenlijke elektronische handtekening is dus de versleuteling van deze hash met de privésleutel van de ondertekenaar. Bij verificatie:

1. Ontsleutelt de ontvanger de handtekening met de publieke sleutel om de originele hash terug te vinden;
2. Berekent zelf de hash van het ontvangen document opnieuw;
3. Vergelijkt de twee: indien identiek, is de handtekening geldig.

---

De Publieke-Sleutelinfrastructuur (PKI): de vertrouwensketen

Alleen cryptografie is niet voldoende: u moet ook bewijzen dat de publieke sleutel eigendom is van degene die beweert deze te gebruiken. Dit is de rol van de PKI (Public Key Infrastructure) — of Publieke-Sleutelinfrastructuur.

Certificeringsinstanties (CA)

Een Certificeringsinstantie (CA) is een erkend vertrouwde derde partij die digitale certificaten uitgeeft. Een digitaal certificaat is een gestandaardiseerd bestand (X.509-indeling) dat bevat:

• De identiteit van de houder (naam, organisatie, e-mail);
• De openbare sleutel;
• De geldigheidsduur;
• De digitale handtekening van de CA zelf.

In Europa zijn erkende CA's vermeld in de Trusted Lists gepubliceerd door elke EU-lidstaat in overeenstemming met de eIDAS-verordening. In Frankrijk publiceert en onderhoudt de ANSSI deze lijst. Gekwalificeerde vertrouwensdienstenleveranciers (QTSP) — zoals CertSign, Certigna of Universign — zijn onderworpen aan regelmatige audits volgens de norm ETSI EN 319 401.

De certificatieketen en intrekking

De PKI werkt op een hiërarchisch model:

• Een basiscertificeringsinstantie (Root CA) zelf-ondertekend, offline bewaard onder maximale fysieke veiligheidsvoorwaarden;
• Tussenliggende CA's die certificaten voor eindgebruikers uitgeven.

De intrekking van certificaten is een cruciaal mechanisme: als een privésleutel is gecompromitteerd, publiceert de CA de ongeldigheid ervan via een CRL (Certificate Revocation List) of via het OCSP-protocol (Online Certificate Status Protocol), wat realtime verificatie mogelijk maakt.

Voor gekwalificeerde elektronische handtekening volgens eIDAS moet de privésleutel worden gegenereerd en opgeslagen in een QSCD (Qualified Signature Creation Device) — gekeurde hardware CC EAL4+ of hoger, zoals een smartcard of HSM (Hardware Security Module).

---

De drie handtekeningsniveaus volgens eIDAS

De Europese verordening eIDAS nr. 910/2014 (en de huidige evolutie eIDAS 2.0 die wordt ingevoerd) definieert drie handtekeningsniveaus, elk met toenemende technische garanties. Voor een diepere verkenning van dit regelgevingskader, raadpleeg onze complete gids van de eIDAS-verordening.

Eenvoudige elektronische handtekening (SES)

De eenvoudige handtekening is de minst restrictieve vorm technisch gezien. Het kan zo simpel zijn als een selectievakje, een OTP-code (One-Time Password) per SMS, of een gescande afbeelding van een handgeschreven handtekening. Dit vereist niet noodzakelijk een gekwalificeerd certificaat.

Typisch gebruik: validatie van offertes, marketingtoestemmingen, contracten met laag risico.

Risico: beperkte bewijswaarde bij juridische betwisting. De bewijslast rust op degene die de handtekening aanvoert.

Geavanceerde elektronische handtekening (AdES)

De geavanceerde handtekening voldoet aan vier precieze technische vereisten (artikel 26 eIDAS):

1. Het is uniek verbonden aan de ondertekenaar;
2. Het identificeert de ondertekenaar;
3. Het wordt gemaakt met gegevens onder uitsluitend beheer van de ondertekenaar;
4. Het maakt de detectie van latere documentwijzigingen mogelijk.

Praktisch gezien vereist dit het gebruik van een persoonlijk digitaal certificaat en een robuust verificatiemechanisme. De standaardformaten worden bepaald door ETSI: PAdES (voor PDF), XAdES (XML), CAdES (binaire gegevens) en JAdES (JSON), allemaal gestandaardiseerd in de ETSI EN 319 100-serie.

Gekwalificeerde elektronische handtekening (QES)

De gekwalificeerde handtekening is het hoogste niveau. Het vereist:

• Een gekwalificeerd certificaat uitgegeven door een erkende QTSP eIDAS;
• Een QSCD voor handtekeningcreatie.

Het geniet van een wettige veronderstelling van betrouwbaarheid en juridische equivalentie met handgeschreven handtekening in de gehele Europese Unie (artikel 25 eIDAS). Dit is het niveau dat vereist is voor elektronische authentieke akten, bepaalde notariële akten of gevoelige openbare aanbestedingen.

Onze vergelijking van elektronische handtekeningsoplossingen analyseert de praktische verschillen tussen deze niveaus om u te helpen kiezen.

---

Het volledige proces van een elektronische handtekening stap voor stap

Hier ziet u hoe een elektronische handtekeningtransactie op een SaaS-platform zoals Certyneo in werkelijkheid verloopt:

Stap 1: voorbereiding en verzending van het document

De initiator van de handtekening uploadt het document (contract, aanvulling, inkooporder) naar het platform. Het systeem genereert onmiddellijk een SHA-256-hash van het originele bestand, voorzien van een timestamp en onveranderbaar opgeslagen. Deze vingerafdruk dient als referentie voor toekomstige verificatie.

Stap 2: authenticatie van de ondertekenaar

Afhankelijk van het gekozen handtekeningsniveau varieert de authenticatie:

• SES: e-mail + handtekeningslink;
• AdES: sterke authenticatie (SMS OTP, mobiele FIDO2-app);
• QES: voorafgaande identiteitsverificatie (face-to-face of video IDV), uitgifte van een gekwalificeerd certificaat voor eenmalig of blijvend gebruik.

Stap 3: creatie van de cryptografische handtekening

De ondertekenaar triggert de handtekeningshandeling. Het platform (of QSCD):

1. Berekent de hash van het document;
2. Versleutelt deze hash met de privésleutel van de ondertekenaar;
3. Integreert de handtekening en certificaat in het document (PDF ondertekend in PAdES-LTV-indeling voor lange termijnbewaring).

Stap 4: gekwalificeerde tijdstempel

Een gekwalificeerde tijdstempelservice (TSA) conform RFC 3161 plaatst een cryptografische timestamp, wat bewijst dat de handtekening op een bepaald moment bestond. Dit beschermt tegen datumvervalsing en garandeert bewijswaarde in de tijd — zelfs als het certificaat van de ondertekenaar later verloopt.

Stap 5: bewaararchivering

Het ondertekende document wordt gearchiveerd met volledige audittrail: identiteit van ondertekenaar, IP-adres, timestamp, documenthash, gebruikte certificaten. Deze bewijsdossier is essentieel in geval van juridische betwisting. eIDAS-conforme oplossingen onderhouden deze bewijzen in PAdES-LTV-indeling (Long-Term Validation) die validatiegegevens bevat om verificatie jarenlang na ondertekening mogelijk te maken.

Om te begrijpen hoe u dit proces in uw HR-workflows integreert, ontdek onze elektronische handtekeningsoplossing voor HR en onze downloadbare contractsjablonen.

Juridisch kader van toepassing op elektronische handtekening

De elektronische handtekening valt onder een meerlagig regelgevingskader, dat nationaal burgerlijk recht en geharmoniseerd Europees recht articuleert.

Franse Burgerlijk Wetboek

Artikel 1366 van het Burgerlijk Wetboek stelt het fundamentele beginsel vast: « Het elektronische geschrift heeft dezelfde bewijskracht als het geschrift op papieren drager, op voorwaarde dat de persoon van wie het afkomstig is behoorlijk kan worden geïdentificeerd en het wordt vastgesteld en behouden onder omstandigheden die de integriteit ervan waarborgen. » Artikel 1367 verduidelijkt dat elektronische handtekening « uit het gebruik van een betrouwbaar identificatieprocedé bestaat dat de verbinding met de handeling waaraan het is gehecht garandeert ».

Het decreet nr. 2017-1416 van 28 september 2017 bepaalt de veronderstelling van betrouwbaarheid voor gekwalificeerde en geavanceerde handtekeningen conform eIDAS.

Verordening eIDAS nr. 910/2014

Hoeksteen van het Europese recht op digitaal vertrouwen, de verordening eIDAS (electronic IDentification, Authentication and trust Services) stelt een uniform juridisch kader in voor elektronische handtekeningen, elektronische zegels, gekwalificeerde tijdstempels, aangetekende verzendservices en certificaten voor authenticatie van websites. Het artikel 25, lid 2 geeft de gekwalificeerde handtekening een wettelijke veronderstelling van equivalentie met handgeschreven handtekening in de gehele EU.

De verordening eIDAS 2.0 (in voorbereiding op omzetting in Q1 2026) versterkt deze bepalingen met de Europese digitale identiteitswallet (EUDIW) en breidt verplichtingen uit naar financiële diensten en gezondheidszorgmarkten.

ETSI-normen

Handtekeningformaten worden gestandaardiseerd door ETSI:

• ETSI EN 319 132 (XAdES), EN 319 122 (CAdES), EN 319 102 (PAdES) definiëren de technische profielen van geavanceerde en gekwalificeerde handtekeningen;
• ETSI EN 319 421 regelt beleid voor gekwalificeerde tijdstempelservices.

AVG en gegevensbescherming

De verwerking van identiteitsgegevens in het kader van elektronische handtekening (naam, e-mail, biometrische gegevens voor identiteitsverficatie) valt onder AVG nr. 2016/679. Verwerkingsverantwoordelijken moeten: een juridische grondslag hebben (gerechtvaardigd belang of contractuitvoering), het minimaliseringsprincipe toepassen, en veiligheid garanderen door passende technische maatregelen (versleuteling, pseudonymisering).

NIS2-richtlijn

De NIS2-richtlijn (2022/2555/EU), omgezet in Frans recht sinds oktober 2024, legt verhoogde verplichtingen op aan essentiële dienstverleners en digitale dienstenleveranciers (inclusief leveranciers van elektronische handtekeningen) in cyberbeveiliging, risicobeheer en incidentmeldingen binnen 24 uur. Niet-naleving kan leiden tot sancties tot 10 miljoen euro of 2% van jaarlijkse wereldomzet.

Concrete gebruiksscenario's van elektronische handtekening

Scenario 1: een groot advocatenkantoor automatiseert handtekeningsprocuratie

Een groot advocatenkantoor met ongeveer twaalf medewerkers behandelde gemiddeld 120 procuratieverklaringen per maand. De papieren procedure vereiste afdrukken, postverzending of persoonlijke afgifte, gevolgd door digitalisering van geretourneerde documenten — veroorzaakt een gemiddelde vertraging van 4,5 werkdagen per dossier en een geschat documentverliespercentage van 8%.

Door geavanceerde elektronische handtekening (AdES) met OTP-authenticatie in te voeren, reduceerde het kantoor de ondertekening tot gemiddeld minder dan 4 uur, reduceerde het documentafwijkingspercentage tot minder dan 1% en spaard ongeveer 2.200 € per jaar in post- en printkosten. De automatisch gegenereerde audittrail vereenvoudigde ook twee procuratiebetwistingsprocedures met onweerlegbaar horodateerd bewijs. Ontdek onze oplossing voor juridische praktijken.

Scenario 2: een KMO in industrie digitaliseert leverancierscontracten

Een KMO in industrie met ongeveer 200 leverancierscontracten per jaar (algemene inkoopvoorwaarden, prijsamendementen, NDA's) ondervond ondertekeningsvertragingen van meer dan drie weken voor grensoverschrijdende contracten met partners in Duitsland en Spanje. Verschillen in rechtsstelsels en afwezigheid van wederzijdse erkenning vertraagden onderhandelingen.

Door gekwalificeerde handtekening (QES) van een erkende QTSP eIDAS, erkend in alle drie landen, aan te nemen, kreeg de KMO automatische juridische erkenning zonder aanvullende gelegalisatie. De gemiddelde grensoverschrijdende ondertekeningsvertraging daalde van 18 naar 2,5 dagen. De elektronische handtekening in bedrijven detailleert deze voordelen voor inkoopteams.

Scenario 3: een ziekenhuisgroep beveiligt geïnformeerde toestemming van patiënten

Een ziekenhuisgroep van ongeveer 800 bedden moest geïnformeerde toestemming van patiënten voor klinische onderzoeksprotocollen verzamelen. Papierbeheer creëerde AVG-nalevingsrisico's (slecht gearchiveerde documenten, ontracebare data) en mobiliseerde medisch personeel voor administratieve taken.

Door eenvoudige elektronische handtekening met SMS-codeïdentificatie — voldoende voor acties niet onderworpen aan gekwalificeerde vereisten — te integreren, automatiseerde de groep inzameling, archivering en traceerbaarheid van toestemmingen. De administratieve tijd per patiënt daalde van 12 naar minder dan 2 minuten, bevrijdende ongeveer 800 verpleegkundige uren per jaar. Alle documenten worden gearchiveerd met gekwalificeerde timestamp, volledig voldoende aan CNIL-vereisten. Verken onze handtekeningsoplossing voor de gezondheidszorg.

Conclusie

Het begrijpen hoe elektronische handtekening technisch werkt — van asymmetrische cryptografie tot PKI, van gekwalificeerde certificaten tot gekwalificeerde horodatage — is essentieel voor weloverwogen keuzes inzake naleving en operationele efficiëntie. De drie eIDAS-niveaus (eenvoudig, geavanceerd, gekwalificeerd) beantwoorden aan verschillende behoeften, en de keuze moet altijd worden geleid door analyse van juridisch risico en verwachte bewijswaarde.

Certyneo begeleidt u bij deze overgang met een eIDAS-conforme SaaS-platform, erkende QTSP's en vereenvoudigde integratie in uw bestaande processen. Schat de potentiële winsten voor uw organisatie met onze elektronische handtekenings-ROI-calculator, of begin direct met onze aanbiedingen en prijzen. Naleving en prestaties zijn niet langer compromissen.