Elektronische handtekening HR & AVG: volledige gids 2026

De digitalisering van human resources is sinds 2020 aanzienlijk versneld: arbeidsovereenkomsten, aanvullingen, loonstroken, IT-handvesten, telewerkaovereenkomsten — vrijwel al deze documenten worden nu in digitale vorm verwerkt. Digitalisering betekent echter niet dat u zich aan wettelijke verplichtingen kunt onttrekken. Integendeel: de elektronische handtekening HR-document AVG vormt een onderwerp met dubbele regelgeving, omdat het zowel het eIDAS-kader voor de bewijskracht van de handtekening als de Europese regelgeving inzake bescherming van persoonlijke gegevens omvat. Indien slecht beheerd, stelt deze dubbele beperking het bedrijf bloot aan juridische risico's en CNIL-sancties. Deze gids presenteert de essentiële regels, best practices en aandachtspunten die u in 2026 absoluut moet kennen.

Waarom is de AVG van toepassing op elektronische handtekeningen in HR?

Elektronische handtekening behandelt noodzakelijkerwijze persoonlijke gegevens

Het online ondertekenen van een arbeidsovereenkomst houdt in dat u persoonlijke gegevens verzamelt, verzendt en opslaat in de zin van artikel 4 van AVG nr. 2016/679: naam, voornaam, zakelijk e-mailadres, soms mobiel telefoonnummer, tijdstempel en IP-adres van ondertekening. In een HR-context zijn deze gegevens bijzonder gevoelig omdat zij de werknemer rechtstreeks identificeren en verband houden met zijn relatie met de werkgever.

De aanbieder van vertrouwde diensten (AVD) die de ondertekeningsoplossing levert, wordt kwalificeerd als verwerker in de zin van artikel 28 van de AVG. De werkgever blijft de verwerkingsverantwoordelijke. Dit onderscheid is fundamenteel: het bedrijf verantwoordt zich tegenover de CNIL in geval van schending, niet de softwareleverancier.

De juridische grondslag die in HR-context kunnen worden gebruikt

Voor elke categorie gedigitaliseerde HR-documenten moet de werkgever de meest passende juridische grondslag voor verwerking vaststellen:

• Nakoming van overeenkomst (art. 6.1.b AVG): ondertekening van arbeidsovereenkomst, salariscorrectie, forfaitaire-urenovereenkomst. Dit is de meest robuuste juridische grondslag voor contractuele documenten.

• Wettelijke verplichting (art. 6.1.c AVG): gedigitaliseerde toezending van loonstrook (toegestaan sinds de wet Macron van 2015 onder bepaalde voorwaarden), personeelsregisters.

• Rechtmatig belang (art. 6.1.f AVG): IT-handvesten, huisordeningen, documenten van intern beleid — onder voorbehoud van het uitvoeren van een afwegingstest.

De grondslag toestemming (art. 6.1.a) dient te worden vermeden in HR-context: de CNIL en de EDBP (Europese Raad voor gegevensbescherming) achten toestemming zelden vrij vanwege het ondergeschiktheidsverband tussen werkgever en werknemer. Een werknemer die weigert elektronisch te ondertekenen, zou zich zorgen kunnen maken over gevolgen voor zijn carrière.

Concrete verplichtingen van de verwerkingsverantwoordelijke in HR

Het register met verwerkingsactiviteiten (RVA) bijwerken

Artikel 30 van de AVG verplicht elke organisatie met meer dan 250 werknemers (en kmo's die gevoelige gegevens op grote schaal verwerken) een register met verwerkingsactiviteiten bij te houden. De invoering van een elektronische handtekeningsgereedschap voor HR-documenten moet daarin worden vermeld met:

• Het doel van de verwerking (bijv.: digitalisering en archivering van contractuele HR-documenten)

• De categorieën gegevens die worden verwerkt (identiteit, contactgegevens, verificatiegegevens)

• De retentieperiode (wettelijke retentietermijn voor arbeidsovereenkomst: 5 jaar na afloop van het contract volgens arbeidsrechtcode, art. L. 1234-20)

• De contactgegevens van de verwerker (het ondertekeningsplatform)

• De geïmplementeerde beveiligingsmaatregelen

Een DPA (Data Processing Agreement) ondertekenen met de dienstverlener

Overeenkomstig artikel 28 van de AVG, dient elk gebruik van een verwerker voor de verwerking van persoonlijke gegevens te worden geformaliseerd door een gegevensverwerkeringsovereenkomst (DPA). Deze overeenkomst dient het volgende vast te stellen:

• Het onderwerp en de duur van de verwerking

• De aard en het doel van de verwerking

• Het type persoonlijke gegevens en de categorieën betrokken personen

• De verplichtingen en rechten van de verwerkingsverantwoordelijke

• De locatie van de gegevens (hosting in de EU wordt aanbevolen om overdracht buiten de EER te voorkomen)

• Technische en organisatorische beveiligingsmaatregelen

Een serieuze dienstverlener voor elektronische handtekeningen biedt systematisch een AVG-conforme DPA aan. Afwezigheid hiervan is direct sanctionabel.

Werknemers voor de eerste ondertekening informeren

Artikel 13 van de AVG verplicht voorafgaande informatie van personen wiens gegevens worden verzameld. Voordat u elektronische handtekening voor HR-documenten invoert, dient u werknemers in te lichten over:

• De identiteit van de verwerkingsverantwoordelijke

• Het doel en de juridische grondslag

• De periode waarvoor gegevens worden opgeslagen

• Hun rechten (toegang, rectificatie, verwijdering in het licht van wettelijke retentieverplichtingen, draagbaarheid)

• De contactgegevens van de functionaris voor gegevensbescherming (FGB) indien aangesteld

Deze informatie kan in het ondertekeningsproces zelf worden opgenomen (informatievenster vóór ondertekening), in de bijgewerkte huisordening, of via een dienstmedeling die bij de invoering wordt verspreid.

Vereist handtekeningsniveau voor HR-documenten: SES, AES of QES?

De hiërarchie van eIDAS-niveaus

Verordening eIDAS nr. 910/2014 bepaalt drie niveaus van elektronische handtekeningen, elk met toenemende bewijskracht:

• SES (Simple Electronic Signature / Eenvoudige elektronische handtekening): zwakke bewijskracht, geschikt voor documenten met laag risico (ontvangstbevestigingen, interne formulieren)

• AES (Advanced Electronic Signature / Geavanceerde elektronische handtekening): gekoppeld aan de ondertekenaar, aangebracht uit gegevens onder diens exclusieve controle. Geschikt voor de meeste gangbare HR-documenten.

• QES (Qualified Electronic Signature / Gekwalificeerde elektronische handtekening): hoogste niveau, gelijkwaardig aan handgeschreven handtekening volgens art. 25.2 eIDAS. Vereist versterkte identiteitscontrole (face-to-face of video-identificatie).

Welk niveau voor welke HR-documenten?

De aanbevolen indeling in 2026, rekening houdend met Franse jurisprudentie en aanbevelingen van de sector:

| HR-document | Aanbevolen niveau | Motivering | |---|---|---| | Arbeidsovereenkomst vast/bepaalde termijn | AES minimum, QES aanbevolen | Sterke contractuele waarde, arbeidsrechtelijk risico | | Contractaanvulling | AES minimum, QES aanbevolen | Dezelfde logica als de voornaamste overeenkomst | | Verlenging proeftijd | AES | Korte termijn, beperkte formaliteiten | | Telewerk-/BYOD-handvest | SES of AES | Collectieve overeenkomst of huisordening | | Forfaitaire-urenovereenkomst | QES sterk aanbevolen | Veeleisende arbeidsrechtjurisprudentie | | Minnelijke beëindiging | QES verplicht | Gehomologeerd Cerfa-formulier, hoog risico | | Ontvangstbewijs voor alles-betaald | AES of QES | Bevrijdend karakter, art. L. 1234-20 arbeidsrechtcode |

Voor documenten met hoog geschilrisico (forfaitaire-urenovereenkomst, minnelijke beëindiging) is QES praktisch verplicht om de tegenstelbaarheid in arbeidsgeschillen veilig te stellen. Het Hof van Cassatie heeft de eisen voor bewijsvoering van werknemerstoestemming geleidelijk verzwaard.

Opslag, archivering en rechten van personen: valkuilen om te vermijden

Wettelijke retentietermijnen voor ondertekende HR-documenten

Opslag van elektronisch ondertekende HR-documenten is onderworpen aan strikte wettelijke termijnen. Deze termijnen prevaleren op het recht op verwijdering van de AVG (art. 17.3.b):

• Arbeidsovereenkomst: 5 jaar na afloop van het contract (arbeidsrechtelijke verjaring, art. L. 1471-1 arbeidsrechtcode)

• Loonstroken: 5 jaar (verjaring van lonen), maar opslag tot liquidatie van pensioenrechten van de werknemer aanbevolen

• Documenten over arbeidsaccidenten: 30 jaar (lang geschilrisico)

• Beroepsonderwijs (plannen, certificaten): 3 jaar

• Personeelsregisters: 5 jaar na de datum waarop de werknemer de onderneming heeft verlaten

Elektronische archivering met bewijskracht dient aan de eisen van de norm NF Z 42-013 en idealiter aan de standaard ETSI EN 319 162 (lange-termijnarchivering van elektronische handtekeningen) te voldoen. Eenvoudige opslag op server is onvoldoende: u dient de integriteit, leesbaarheid en gekwalificeerde tijdstempel van documenten gedurende de hele retentieperiode te waarborgen.

Werknemersrechten beheren zonder bewijskracht te compromitteren

Een werknemer kan terecht zijn recht van inzage (art. 15 AVG) uitoefenen om een kopie van handtekeningsgegevens te verkrijgen. Hij kan ook om rectificatie van onnauwkeurige gegevens verzoeken.

Het recht op verwijdering (art. 17 AVG) kan echter niet worden uitgeoefend op HR-documenten waaraan wettelijke retentieverplichtingen zijn verbonden. De werkgever dient dit weigering duidelijk te kunnen verklaren, onder verwijzing naar de toepasselijke juridische grondslag. Het documenteren van deze correspondentie in het register van aanvragen inzake rechten is een aanbevolen best practice van de CNIL.

Draagbaarheid (art. 20 AVG) is van toepassing op gegevens die door de werknemer zijn verstrekt op basis van toestemming of overeenkomst. In de praktijk kan een werknemer zijn handtekeningsgegevens in gestructureerd formaat opvragen — dit moet in aanmerking worden genomen bij de keuze van de ondertekeningsoplossing.

Technische en organisatorische beveiliging: essentiële maatregelen

Technische eisen van het ondertekeningsplatform

Overeenkomstig artikel 32 van de AVG dienen beveiligingsmaatregelen passend bij het risico te zijn. Voor een elektronische handtekeningsoplossing voor HR leidt dit met name tot:

• Versleuteling van gegevens in transit (TLS 1.3 minimum) en in rust (AES-256)

• Meervoudige verificatie (MFA) voor toegang tot het platform

• Auditlogboeken (logs) met tijdstempel en onvervalsbaarheid, waarbij elke handeling op het document wordt geregistreerd

• Hosting in de EU (of EER) om overdracht buiten EER zonder adequate waarborgen (adequaatbesluit of standaardcontractbepalingen) te voorkomen

• Jaarlijkse penetratietests en ISO 27001-certificering van de dienstverlener

• Continuïteitsplan dat beschikbaarheid van de dienst en archiefregio in geval van incident garandeert

Impact Assessment (DPIA): wanneer is het verplicht?

Artikel 35 van de AVG verplicht een Impact Assessment op Gegevensbescherming (DPIA) wanneer de verwerking een hoog risico kan vormen. De CNIL heeft een lijst van verwerkingstypen gepubliceerd die een DPIA vereisen: verwerking op grote schaal van beroepsgerelateerde gegevens wordt daarin genoemd.

In de praktijk is een DPIA aanbevolen (of verplicht voor grote ondernemingen) bij de invoering van een elektronische handtekeningsoplossing voor HR die alle medewerkers raakt. Dit dient de risico's te identificeren (verlies van vertrouwelijkheid, identiteitsdiefstal, documentwijziging), hun ernst en waarschijnlijkheid in te schatten, en mitigatiemaatregelen voor te stellen. Deze analyse dient te worden gedocumenteerd en herzien in geval van wijziging van de verwerking.

Toepasselijk juridisch kader voor elektronische handtekening in HR en AVG

Grondwettelijke Europese teksten

Verordening eIDAS nr. 910/2014 (en de herziene eIDAS 2.0 in voorbereiding) bepaalt de drie niveaus van elektronische handtekening (SES, AES, QES) en hun juridische waarde in alle lidstaten. Artikel 25 bepaalt dat QES dezelfde juridische werking heeft als een handgeschreven handtekening. Artikel 26 somt de technische eisen voor geavanceerde handtekening op. Gekwalificeerde dienstverleners van vertrouwde diensten worden ingeschreven in nationale lijsten van vertrouwen (in Frankrijk wordt deze lijst beheerd door ANSSI).

AVG nr. 2016/679: sinds 25 mei 2018 van toepassing, regelt deze verordening elke verwerking van persoonlijke gegevens in de EU. De artikelen 5 (beginselen), 6 (juridische basis), 13-14 (informatie), 28 (verwerkers), 30 (register), 32 (beveiliging), 35 (DPIA) en 37-39 (FGB) zijn rechtstreeks relevant voor elektronische handtekening in HR.

Toepasselijk Frans recht

Burgerlijk Wetboek, artikelen 1366-1367: artikel 1366 stelt het beginsel van functionele gelijkwaardigheid tussen elektronisch en papieren geschrift. Artikel 1367 erkent elektronische handtekening als bewijsmiddel, mits het bestaat uit een betrouwbare identificatieprocedure die de verbinding tussen de handtekening en de akte waaraan deze is bevestigd waarborgt. Betrouwbaarheid wordt vermoed voor QES, maar kan voor AES worden aangetoond.

Arbeidsrechtcode: artikel L. 1221-1 schrijft geen bepaalde vorm voor voor de arbeidsovereenkomst (behalve uitzonderingen: bepaalde termijn art. L. 1242-12, leerlingovereenkomst, enz.). De wet Macron van 2015 (wet nr. 2015-990) heeft de weg geopend voor elektronische loonstroken. Artikel L. 3243-2 regelt de voorwaarden.

Wet Informatica en Vrijheden gewijzigd (wet nr. 78-17 van 6 januari 1978): omzetting van AVG in Frans recht, geeft CNIL bevoegdheden voor onderzoek en sancties. Boetes kunnen tot 20 miljoen euro of 4% van jaarlijkse wereldwijde omzet bedragen voor de meest ernstige schendingen.

Technische referentienormen

• ETSI EN 319 132: formaat geavanceerde elektronische handtekening XAdES, van toepassing op XML-documenten

• ETSI EN 319 122: formaat CAdES voor elektronische handtekeningen van CMS-documenten

• ETSI EN 319 162: lange-termijnarchivering van elektronische handtekeningen (ASiC)

• NF Z 42-013 (AFNOR): functionele specificaties voor een betrouwbaar elektronisch archiveringsysteem

• ISO/IEC 27001: informatieveiligheidsbeheer, referentiekader voor certificering van dienstverleners

Juridische risico's bij niet-naleving

Het cumulatieve risico is significant: een arbeidsovereenkomst die met een ontoereikend handtekeningsniveau is ondertekend, kan door de arbeidsrechtbank ter discussie worden gesteld, waardoor de werkgever het risico loopt dat de arbeidsovereenkomst wordt hergekarakteriseerd of nietig wordt verklaard. Op het AVG-voet kan het ontbreken van een DPA met de dienstverlener, het verzuimen werknemers in te lichten of hosting buiten EU zonder adequate waarborgen tot een waarschuwing van CNIL leiden, of zelfs tot een openbare administratieve sanctie.

Gebruiksscenario's: elektronische handtekening HR conform AVG

Scenario 1: een middelgroot industrieel bedrijf met 600 werknemers digitaliseert arbeidsovereenkomsten

Een middelgroot industrieel bedrijf, verdeeld over vier kantoren in Frankrijk, verwerkte jaarlijks ongeveer 180 aanstellingen vast/bepaalde termijn, wat resulteert in evenveel papieren dossiers die moeten worden afgedrukt, dubbel ondertekend, gescand en gearchiveerd. De gemiddelde vertraging tussen de arbeidsaanbod en de daadwerkelijke ondertekening van de overeenkomst bedroeg ongeveer 8 werkdagen.

Na invoering van een geavanceerde elektronische handtekeningsoplossing (AES) geïntegreerd in het personeelsbeheersysteem, met een RGPR-conforme DPA met de dienstverlener en een gedocumenteerde DPIA, heeft het bedrijf deze vertraging tot minder dan 24 uur teruggebracht. Het aandeel onvolledige dossiers daalde met 34% (bron: benchmarks van ANDRH 2024). Hosting van gegevens in Frankrijk werd als contractueel criterium gekozen, wat elk risico van overdracht buiten de EER elimineert. Werknemers worden via een informatievenster dat in het ondertekeningsproces is opgenomen ingelicht over de verwerking, wat naleving van artikel 13 van de AVG waarborgt.

Scenario 2: een retailfranchisenetwerk voert QES-ondertekening in voor forfaitaire-urenovereenkomsten

Een distributiespecialistisch netwerk met ongeveer zestig verkooppunten en ongeveer honderd cadres met forfaitaire uren stond voor een arbeidsrechtelijk risico dat door juridische adviseurs was vastgesteld: verscheidene forfaitaire-urenovereenkomsten konden slechts met papieren kopieën van slechte kwaliteit worden bewezen. Aangezien het Hof van Cassatie de eisen voor bewijsvoering van dit type overeenkomst heeft verzwaard, werd het geschilrisico op enkele honderdduizenden euro's geschat.

Het netwerk voerde gekwalificeerde ondertekening (QES) in voor alle nieuwe overeenkomsten en bood kaderstudenten in dienst aan hun bestaande overeenkomsten opnieuw te ondertekenen. Video-identificatie werd voor identiteitsverificatie gekozen. Het register met verwerkingsactiviteiten werd bijgewerkt, en een externe FGB valideerde de AVG-naleving van de route. In zes maanden was het volledige forfaitaire-urenpakket beveiligd. De kosten van de inspanning (ongeveer 15 tot 25 € per QES-handtekening volgens dienstverleners op de markt) werden geacht veel lager te zijn dan het gedekte geschilrisico.

Scenario 3: een gemeente digitaliseert aanvullingen en telewerk-/BYOD-handvesten

Een gemeentebestuur met ongeveer 1.200 vaste ambtenaren wilde het beheer van telewerkaanvullingen na het nationaal kaderoakkoord van 2021 over telewerk in de overheidsdiensten digitaliseren. Het volume dat moest worden verwerkt, bedroeg ongeveer 400 documenten per jaar, met specifieke beperkingen: ambtenaren zijn openbare personen wier gegevens bijzonder streng worden beheerd.

De gemeente koos voor geavanceerde handtekeningen (AES), met soevereine hosting bij een dienstverlener die door ANSSI is gekwalificeerd als SecNumCloud. De DPIA werd vóór invoering aan de FGB van de gemeente voorgelegd. Ambtenaren werden via een dienstmedeling op het intranet en via een informatievenster in het digitale traject ingelicht. De HR-afdeling schatte een besparing van 3 VTE-dagen per maand in op administratief beheer van aanvullingen, wat neerkomt op een jaarlijkse besparing van ongeveer 35.000 € in directe kosten, in lijn met de bereiken gepubliceerd door het Observatorium voor digitale transformatie van gemeenten (2025).

Conclusie

De AVG-naleving van elektronische handtekening voor HR-documenten is geen optie: zij bepaalt zowel de juridische waarde van uw akten als de bescherming van de rechten van uw werknemers. In 2026 lopen bedrijven die hun verwerkingsregister nog niet hebben bijgewerkt, geen DPA met hun dienstverlener hebben ondertekend en het handtekeningsniveau voor elk documenttype niet hebben aangepast het risico op dubbele - arbeidsrechtelijk en administratief - waarvan de financiële gevolgen aanzienlijk kunnen zijn.

Het goede nieuws: een goed gekozen en ingestelde oplossing maakt het mogelijk operational fluiditeit, eIDAS-naleving en naleving van AVG zonder wrijving voor HR-teams noch voor werknemers te combineren.

Certyneo begeleidt u in deze aanpak: eIDAS-conforme platform, beschikbare DPA, Europese hosting en ondertekeningsroute ontworpen voor HR. Ontdek onze oplossing voor human resources of bereken het rendement van uw overstap naar volledige digitalisering in enkele klikken.