Impliceert een elektronische handtekening de verwerking van persoonlijke gegevens?

Ja. Het email, de naam en mogelijk het telefoonnummer van de ondertekenaar worden verzameld. De inhoud van documenten kan ook persoonlijke gegevens bevatten. De handtekeningprovider is een verwerker onder RGPD, onderworpen aan de verplichtingen van artikel 28.

Is DocuSign RGPD-conform?

DocuSign stelt RGPD-conform te zijn en biedt SCC's aan. Als Amerikaanse onderneming is zij echter nog steeds onderworpen aan de Cloud Act. De CNIL heeft eraan herinnerd dat de Cloud Act een niet-suppressief risico voor Europese gegevens oplevert die door Amerikaanse entiteiten worden gehost, zelfs in de EU.

Is Certyneo RGPD-conform?

Ja. Certyneo is een Franse entiteit, gehost in de EU (IONOS Duitsland), niet onderworpen aan de Cloud Act. Gegevens zijn versleuteld in transit (TLS 1.3) en in rust. Certyneo biedt een DPA die voldoet aan artikel 28 van de RGPD.

Moet ik een DPIA uitvoeren voor het gebruik van een handtekeningoplossing?

Een DPIA is niet systematisch vereist voor standaard elektronische handtekening. Dit is verplicht als u documenten met gevoelige gegevens ondertekent (gezondheid, HR met vakbondsgegevens, enz.) of als uw handtekeninggebruik profilering of grootschalige surveillance inhoudt.

Compliance gids 2026

Elektronische handtekening en RGPD: gids voor DPO's

Het invoeren van een elektronische handtekeningoplossing roept verschillende RGPD-vragen op: waar worden de gegevens gehost? Wie heeft er toegang toe? Is er een Cloud Act-risico? Deze gids beantwoordt deze vragen en legt uit hoe u een RGPD-conforme oplossing voor uw organisatie kiest.

Bijgewerkt op 27 april 2026

Welke persoonlijke gegevens verwerkt een handtekeningoplossing?

Een elektronisch handtekeningplatform verwerkt verschillende categorieën persoonlijke gegevens.

Identiteit van de ondertekenaar: naam, voornaam, email, telefoonnummer
Documentinhoud: potentieel gevoelige persoonlijke gegevens (arbeidsovereenkomsten, gezondheidsgegevens, financiële gegevens)
Audittrail-gegevens: IP-adres, timestamp, user-agent
Gedragsgegevens: handgeschreven handtekeningpatroon op tablet (indien biometrische QES)

Hosting en overdrachten buiten de EU

RGPD vereist dat persoonlijke gegevens alleen buiten de EU worden overgedragen naar landen met een adequaat beschermingsniveau of onder passende waarborgen (SCC's, BCR's). Voor handtekeningoplossingen betekent dit:

EU-hosting → native overdracht, geen aanvullende formaliteiten
US-hosting met SCC's → mogelijk maar residueel Cloud Act-risico
US-entiteit (Cloud Act) → risico niet verwijderbaar zelfs met EU-hosting

Amerikaanse Cloud Act en elektronische handtekening

De Cloud Act (2018) geeft Amerikaanse autoriteiten het recht om toegang te krijgen tot gegevens van Amerikaanse bedrijven, zelfs als deze gegevens in Europa zijn opgeslagen. DocuSign, Adobe Sign en Dropbox Sign zijn Amerikaanse bedrijven onderworpen aan de Cloud Act. Certyneo is een Franse entiteit, niet onderworpen aan deze extraterritoriale jurisdictie.

Solution	Cloud Act-risiconiveau per oplossing
Certyneo	Geen risico — Franse entiteit
Yousign	Geen risico — Franse entiteit
DocuSign	Residueel risico — Amerikaanse entiteit
Adobe Acrobat Sign	Residueel risico — Amerikaanse entiteit
Dropbox Sign	Residueel risico — Amerikaanse entiteit

DPA en juridische grondslagen

De verwerking van gegevens door een handtekeningoplossing moet berusten op een geldige juridische grondslag (contract, gerechtvaardigd belang of toestemming). Een Data Processing Agreement (DPA) moet met de handtekeningprovider worden gesloten. Certyneo biedt een RGPD-conforme DPA, elektronisch ondertekend, met de elementen die zijn vereist onder artikel 28 van de RGPD.

Aanbevelingen voor DPO's

1Kies een provider waarvan de juridische entiteit in de EU of het Verenigd Koninkrijk is gevestigd (na Brexit met adequaatheidsbesluit)
2Controleer of de hosting uitsluitend in de EU plaatsvindt, zonder replicatie op servers buiten de EU
3Verkrijg en onderteken een DPA die voldoet aan artikel 28 van de RGPD
4Documenteer de impactanalyse (DPIA) als u gevoelige gegevens in uw documenten verwerkt
5Controleer de opslagduur van gegevens en het verwijderingsbeleid aan het einde van het contract

RGPD-vragen over elektronische handtekening

Impliceert een elektronische handtekening de verwerking van persoonlijke gegevens?: Ja. Het email, de naam en mogelijk het telefoonnummer van de ondertekenaar worden verzameld. De inhoud van documenten kan ook persoonlijke gegevens bevatten. De handtekeningprovider is een verwerker onder RGPD, onderworpen aan de verplichtingen van artikel 28.
Is DocuSign RGPD-conform?: DocuSign stelt RGPD-conform te zijn en biedt SCC's aan. Als Amerikaanse onderneming is zij echter nog steeds onderworpen aan de Cloud Act. De CNIL heeft eraan herinnerd dat de Cloud Act een niet-suppressief risico voor Europese gegevens oplevert die door Amerikaanse entiteiten worden gehost, zelfs in de EU.
Is Certyneo RGPD-conform?: Ja. Certyneo is een Franse entiteit, gehost in de EU (IONOS Duitsland), niet onderworpen aan de Cloud Act. Gegevens zijn versleuteld in transit (TLS 1.3) en in rust. Certyneo biedt een DPA die voldoet aan artikel 28 van de RGPD.
Moet ik een DPIA uitvoeren voor het gebruik van een handtekeningoplossing?: Een DPIA is niet systematisch vereist voor standaard elektronische handtekening. Dit is verplicht als u documenten met gevoelige gegevens ondertekent (gezondheid, HR met vakbondsgegevens, enz.) of als uw handtekeninggebruik profilering of grootschalige surveillance inhoudt.

→ Onze beveiligingsgaranties · → Gids elektronische handtekening · → eIDAS-verordening

Een RGPD-conforme handtekeningoplossing

Franse entiteit, exclusieve EU-hosting, DPA beschikbaar, buiten Cloud Act.