Elektronische handtekening en AVG: gids voor DPO's

Welke persoonlijke gegevens verwerkt een handtekeningoplossing?

Een elektronisch handtekeningplatform verwerkt verschillende categorieën persoonlijke gegevens.

• Identiteit van de ondertekenaar: naam, voornaam, email, telefoonnummer
• Documentinhoud: potentieel gevoelige persoonlijke gegevens (arbeidsovereenkomsten, gezondheidsgegevens, financiële gegevens)
• Audittrail-gegevens: IP-adres, timestamp, user-agent
• Gedragsgegevens: handgeschreven handtekeningpatroon op tablet (indien biometrische QES)

Hosting en overdrachten buiten de EU

AVG vereist dat persoonlijke gegevens alleen buiten de EU worden overgedragen naar landen met een adequaat beschermingsniveau of onder passende waarborgen (SCC's, BCR's). Voor handtekeningoplossingen betekent dit:

• EU-hosting → native overdracht, geen aanvullende formaliteiten
• US-hosting met SCC's → mogelijk maar residueel Cloud Act-risico
• US-entiteit (Cloud Act) → risico niet verwijderbaar zelfs met EU-hosting

Amerikaanse Cloud Act en elektronische handtekening

De Cloud Act (2018) geeft Amerikaanse autoriteiten het recht om toegang te krijgen tot gegevens van Amerikaanse bedrijven, zelfs als deze gegevens in Europa zijn opgeslagen. DocuSign, Adobe Sign en Dropbox Sign zijn Amerikaanse bedrijven onderworpen aan de Cloud Act. Certyneo is een Franse entiteit, niet onderworpen aan deze extraterritoriale jurisdictie.

Aanbevelingen voor DPO's

1. 1Kies een provider waarvan de juridische entiteit in de EU of het Verenigd Koninkrijk is gevestigd (na Brexit met adequaatheidsbesluit)
2. 2Controleer of de hosting uitsluitend in de EU plaatsvindt, zonder replicatie op servers buiten de EU
3. 3Verkrijg en onderteken een DPA die voldoet aan artikel 28 van de AVG
4. 4Documenteer de impactanalyse (DPIA) als u gevoelige gegevens in uw documenten verwerkt
5. 5Controleer de opslagduur van gegevens en het verwijderingsbeleid aan het einde van het contract

AVG-vragen over elektronische handtekening

Impliceert een elektronische handtekening de verwerking van persoonlijke gegevens?

Ja. Het email, de naam en mogelijk het telefoonnummer van de ondertekenaar worden verzameld. De inhoud van documenten kan ook persoonlijke gegevens bevatten. De handtekeningprovider is een verwerker onder AVG, onderworpen aan de verplichtingen van artikel 28.

Is DocuSign AVG-conform?

DocuSign stelt AVG-conform te zijn en biedt SCC's aan. Als Amerikaanse onderneming is zij echter nog steeds onderworpen aan de Cloud Act. De CNIL heeft eraan herinnerd dat de Cloud Act een niet-suppressief risico voor Europese gegevens oplevert die door Amerikaanse entiteiten worden gehost, zelfs in de EU.

Is Certyneo AVG-conform?

Ja. Certyneo is een Franse entiteit, gehost in de EU (IONOS Duitsland), niet onderworpen aan de Cloud Act. Gegevens zijn versleuteld in transit (TLS 1.3) en in rust. Certyneo biedt een DPA die voldoet aan artikel 28 van de AVG.

Moet ik een DPIA uitvoeren voor het gebruik van een handtekeningoplossing?

Een DPIA is niet systematisch vereist voor standaard elektronische handtekening. Dit is verplicht als u documenten met gevoelige gegevens ondertekent (gezondheid, HR met vakbondsgegevens, enz.) of als uw handtekeninggebruik profilering of grootschalige surveillance inhoudt.