DocbyteFacebookPixel
Linkedin Facebook X-twitter
nl_BE Dutch
nl_BE Dutch en_US English fr_BE French
Docbyte logo
Docbyte Logo
Contact

De verborgen risico's achter uw digitale handtekeningen

  • 1 september 2025

[tta_listen_btn]

beeld-voor-het-verstopte-risico-achter-je-digitale-handtekeningen

Inhoudsopgave

Waarom zijn gekwalificeerde elektronische handtekeningen en gekwalificeerde elektronische archivering belangrijk?

Elektronische handtekeningen worden nu algemeen aanvaard als vervanging voor handgeschreven handtekeningen. In Europa heeft de Verordening (EU) nr. 910/2014 betreffende elektronische identificatie en vertrouwensdiensten voor elektronische transacties in de interne markt (eIDAS-verordening, aangenomen in juli 2014) een duidelijke juridische hiërarchie gecreëerd. Een gekwalificeerde elektronische handtekening (QES) heeft in alle lidstaten dezelfde rechtsgevolgen als een handgeschreven handtekening. Andere soorten handtekeningen, zoals geavanceerde elektronische handtekeningen, kunnen nog steeds geldig zijn, maar genieten niet automatisch van deze gelijkwaardigheid.

Met de herziening van eIDAS in mei 2024 door middel van Verordening (EU) 2024/1183 heeft de Europese wetgever ook het volgende geïntroduceerd gekwalificeerde elektronische archivering (QeA), (QEA). Deze nieuwe vertrouwensdienst erkent dat het niet genoeg is om een document één keer te ondertekenen en dan te hopen dat het voor altijd geldig blijft. QEA zorgt ervoor dat elektronische documenten en de handtekeningen die ze dragen duurzaam, leesbaar en verifieerbaar blijven zo lang als nodig is. Een document dat bewaard wordt in een QEA geniet een wettelijk vermoeden van integriteit en oorsprong voor de volledige bewaarperiode. Wanneer het document wordt opgehaald, bevestigt een geautomatiseerd ondertekend rapport dat vermoeden.

 

Wat er mis kan gaan zonder QES en QEA

De risico's van het niet gebruiken van een QES of het niet goed bewaren van ondertekende documenten zijn groter dan velen zich realiseren.

Het meest voor de hand liggende risico is dat het cryptografisch bewijs dat de handtekening ondersteunt na verloop van tijd vervalt. Certificaten verlopen, algoritmen worden afgeschreven en vertrouwensankers veranderen. Zonder een conserveringsproces dat dit bewijs actief vernieuwt, kan de verificatie in de toekomst mislukken.

Een ander groot risico is intrekking. Het certificaat van een ondertekenaar kan de volgende dag al worden ingetrokken als de sleutel gecompromitteerd is of als de uitgevende instantie het vertrouwen opzegt. Als je bijvoorbeeld je eID verliest en de diefstal meldt bij de politie, zal de uitgevende instantie het certificaat onmiddellijk intrekken. Elk document dat kort voor de intrekking is ondertekend, kan later worden aangevochten, want zonder een goed archief waarin de intrekkingstatus op het moment van ondertekening is opgeslagen, kun je niet bewijzen dat het certificaat nog geldig was op het moment van uitvoering. Dit toont aan dat risico's niet pas na jaren optreden, maar mogelijk al de volgende dag.

Er zijn ook risico's in de manier waarop documenten worden bekeken. In 2020 demonstreerden onderzoekers van de Ruhr Universiteit Bochum zogenaamde "schaduwaanvallen" op PDF's. Deze aanvallen maakten het mogelijk om inhoud in een ondertekende PDF te wijzigen zonder de zichtbare handtekeningindicator in Adobe Reader en andere veelgebruikte viewers ongeldig te maken. Door deze kwetsbaarheid kon gebruikers worden wijsgemaakt dat een gemanipuleerd document nog steeds authentiek was. Een vergelijkbare reeks PDF handtekening validatie fouten werd in 2019 in Duitsland misbruikt, waarbij vervalste facturen als echt werden geaccepteerd. Zonder een vertrouwd archief en integriteitscontroles kunnen dergelijke manipulaties onopgemerkt blijven en aanzienlijke financiële gevolgen hebben.

Tot slot evolueert de technologie zelf. Bestandsformaten veranderen, software veroudert en toekomstige systemen zijn misschien niet meer in staat om de bestanden van vandaag te interpreteren. Als bij conservering de duurzaamheid van formaten en de integriteit van metadata niet actief wordt beheerd, kan een handtekening technisch geldig blijven, maar wordt het bewijs onleesbaar of onvolledig.

 

E-handtekeningen die aan eIDAS voldoen archiveren  

 

De gevolgen in de praktijk

Voor kleine overeenkomsten met een korte levensduur kunnen de risico's acceptabel zijn. Voor langlopende documenten zoals eigendomsakten, levensverzekeringscontracten of arbeidsgegevens zijn de gevolgen van een mislukt bewijs ernstig.

Als de inhoud van een arbeidsovereenkomst wordt betwist, kan een werknemer aanvoeren dat een bepaalde clausule niet is opgenomen in het contract dat hij heeft ondertekend. Als de werkgever geen QES-ondertekend en QEA-bewaard document kan overleggen, kan de rechtbank de werknemer gelijk geven. De financiële gevolgen kunnen een vergoeding voor onrechtmatig ontslag, herplaatsingsverplichtingen of schadevergoeding zijn.

In het geval van een levensverzekeringscontract kunnen begunstigden het verzekerde bedrag of de uitbetalingsvoorwaarden betwisten. Als de verzekeringsmaatschappij de exacte versie van het ondertekende contract niet kan bewijzen, riskeert ze veel meer uit te betalen dan voorzien. Omgekeerd kan een familie hun rechtmatige claim verliezen als de verzekeraar de geldigheid van een handtekening betwist. Beide scenario's kunnen gemakkelijk in de honderdduizenden euro's lopen.

 

Misbruik door slechte actoren

Het ontbreken van gekwalificeerde handtekeningen en archivering kan ook worden misbruikt. Een kwaadwillende kan een document wijzigen en beweren dat het de originele versie was. Ze kunnen beweren dat een handtekening later geplaatst is dan afgesproken, of dat de ondertekenaar de uiteindelijke inhoud nooit gezien heeft. Ze kunnen zelfs wachten tot de onderliggende cryptografie verouderd is en dan de geldigheid van het bewijs betwisten. Elk van deze scenario's wordt aannemelijker als de documenten niet goed zijn ondertekend en bewaard.

Er bestaan concrete voorbeelden. Onderzoekers hebben "schaduwaanvallen" op PDF's aangetoond, waarbij ondertekende documenten na ondertekening werden gewijzigd zonder dat de zichtbare handtekeningstatus ongeldig werd gemaakt. In Duitsland in 2019, Meerdere kwetsbaarheden in PDF-handtekening validatie werden misbruikt om gewijzigde facturen echt te laten lijken. In 2020 toonden beveiligingsonderzoekers van de Ruhr Universiteit Bochum aan dat ondertekende documenten konden worden gemanipuleerd om verificatiesystemen te misleiden, wat het praktische risico benadrukt wanneer behoud en integriteitscontroles ontbreken.

 

De rol van QES en QEA

Door gebruik te maken van QES krijgen organisaties automatische wettelijke erkenning in de hele EU, gelijkwaardig aan handgeschreven handtekeningen. Door dit te combineren met QEA, zorgen ze er ook voor dat het ondertekende document en het ondersteunende bewijs gedurende tientallen jaren verifieerbaar en betrouwbaar blijven. QEA biedt een gestructureerde aanpak voor cryptografische vernieuwing, tijdstempeling, bewijsbewaring en integriteitsrapportage. Dit betekent dat je zelfs over twintig jaar een document kunt terugvinden en de authenticiteit ervan kunt aantonen zonder kostbare geschillen.

 

Docbyte's Geavanceerde Gekwalificeerde Elektronische Archiveringsoplossing   

 

Buiten Europa

In andere rechtsgebieden is er geen strikt equivalent van QES of QEA. De Verenigde Staten vertrouwen bijvoorbeeld op de Electronic Signatures in Global and National Commerce Act (ESIGN Act, aangenomen in juni 2000) en de Uniform Electronic Transactions Act (UETA, 1999), die elektronische handtekeningen algemeen toelaatbaar maken. In de praktijk kunnen geavanceerde elektronische handtekeningen en geavanceerde elektronische archivering ook standhouden in de rechtszaal, op voorwaarde dat ze ondersteund worden door degelijke technische en organisatorische maatregelen. Zonder het Europese systeem van wettelijke vermoedens zal de bewijslast echter altijd zwaarder blijven.

 

Digitaal vertrouwen waarborgen

De integriteit en bewijskracht van ondertekende documenten is geen vanzelfsprekendheid. Risico's kunnen direct na ondertekening ontstaan als herroeping optreedt, en ze nemen in de loop van de tijd gestaag toe naarmate de technologie verandert en cryptografische mechanismen evolueren. Voor documenten met langetermijnverplichtingen of een hoge waarde, zoals eigendomsakten, arbeidscontracten of verzekeringscontracten, is vertrouwen op eenvoudige handtekeningen en opslag een gevaarlijke keuze.

Gekwalificeerde Elektronische Handtekeningen en Gekwalificeerde Elektronische Archivering zijn ontworpen om deze risico's te beperken. Ze bieden een wettelijk erkend kader om ervoor te zorgen dat uw documenten authentiek, intact en bewijsbaar blijven zolang dat nodig is. Daarmee veranderen ze digitale handtekeningen van gemak in een betrouwbare basis voor vertrouwen in de digitale economie.

 

Verwijzingen naar echte incidenten:

Schaduwaanvallen: Hiding and Replacing Content in Signed PDFs paper (Ruhr-Universiteit Bochum):
Schaduwaanvallen: Inhoud verbergen en vervangen in ondertekende PDF's - NDSS Symposium

Kwetsbaarheidsrapport: Aanvallen die de validatie van handtekeningen in PDF omzeilen (Ruhr-Universiteit Bochum):

https://www.nds.ruhr-uni-bochum.de/media/ei/veroeffentlichungen/2019/02/12/report.pdf

Doorbreken van de specificatie: PDF-certificeringsdocument (Ruhruniversiteit Bochum):
https://pdf-insecurity.org/download/pdf-certification/paper.pdf

Signed PDF Documents Vulnerable to Manipulation threat memo (CERT-EU, CERT voor de instellingen, organen en agentschappen van de EU):
https://cert.europa.eu/static/threat-intelligence/TLP-WHITE-CERT-EU-TM-PDF-signing-attack-v1.0.pdf

PDF Insecurity website (speciale site van onderzoekers van de Ruhr Universiteit Bochum):
https://www.pdf-insecurity.org/

Afbeelding van Frederik Rosseel
Frederik Rosseel

Hallo, ik ben Frederik, CEO van Docbyte. Ik heb jarenlang baanbrekend werk verricht op het vlak van digitale archivering en gekwalificeerde vertrouwensdiensten. Die onschatbare ervaring verwerk ik in mijn teksten. Mijn doel is om bedrijven te helpen robuuste gegevensbeveiliging en naadloze naleving van de regelgeving te bereiken door middel van kristalheldere inzichten.

Contact


Bij Docbyte nemen we uw privacy ernstig. We gebruiken uw persoonlijke gegevens alleen om uw account te beheren en de producten en diensten te leveren die u bij ons hebt aangevraagd.

Contact
Heb je interesse om bij te dragen aan onze blog?
Schrijf ons
Recente blogs
Hoofdbeeld voor archivering van financiële diensten voor regelgeving die digitale bewaring stimuleert
Archivering van financiële diensten: Welke regelgeving stuurt digitale bewaring (MiFID II en daarna)?
afbeelding die de rol van digitale bewaring in de biowetenschappen toont
Digitale bewaring in de biowetenschappen: Waarom het belangrijk is, hoe het moet en hoe ‘goed’ eruit ziet
Hoofdafbeelding voor beginnersgids voor naleving van eIdas en langdurige digitale bewaring
Een beginnersgids voor naleving van eIDAS en digitale langetermijnbewaring