Terug naar blogi
    Beveiliging12.2.2026

    Audit trail, bewijs en GDPR-bewaring bij elektronische handtekening

    De audit trail van een elektronische handtekening is digitaal bewijs van wie, wanneer en hoe er is ondertekend. Het is een cruciaal onderdeel van de geldigheid van de handtekening en geschillenbeslechting. In dit artikel bespreken we wat een audit trail inhoudt, hoe de GDPR de gegevensopslag beïnvloedt en hoe een klein bedrijf zijn archief kan organiseren.

    Wat is een audit trail?

    Een audit trail (in het Nederlands: controle spoor) is een automatisch verzameld logboek van een ondertekeningsgebeurtenis. Het registreert elke stap van begin tot eind.\n\nEen audit trail is een essentieel onderdeel van het bewijskracht van een elektronische handtekening. Zonder een audit trail is een elektronische handtekening in wezen slechts een pixel op het scherm – de audit trail maakt deze juridisch relevant.

    Welke gegevens bevat een audit trail?

    Een uitgebreide audit trail bevat de volgende informatie:

    • Naam en e-mailadres van de ondertekenaar
    • Gebruikte authenticatiemethode (bank-ID, mobiele ID, e-mailbevestiging)
    • Tijdstempel (datum en tijd, tijdzone)
    • IP-adres van waaruit de handtekening is geplaatst
    • Apparaat- en browserinformatie
    • Cryptografische hash van het document (hash) – bewijst dat het document niet is gewijzigd
    • Verzendtijd en openingstijd van het ondertekenverzoek
    • Tijdstip van voltooiing van de handtekening

    Wat betekent dit in de praktijk: als een klant betwist dat hij een contract heeft ondertekend, toont de audit trail aan dat een specifieke persoon het document heeft geopend vanaf een specifiek IP-adres, zichzelf heeft geïdentificeerd met bank-ID en het document op een bepaald tijdstip heeft ondertekend.

    GDPR en het bewaren van elektronische handtekeningen

    Een audit trail bevat persoonsgegevens, dus de GDPR (Algemene Verordening Gegevensbescherming van de EU) bepaalt hoe deze mogen worden verwerkt en bewaard.\n\nBelangrijke principes van de GDPR met betrekking tot de audit trail:

    • Doelbinding: gegevens mogen alleen voor een specifiek doel worden verzameld (authenticatie van de handtekening)
    • Gegevensminimalisatie: alleen noodzakelijke gegevens worden verzameld
    • Opslagbeperking: gegevens worden alleen bewaard zolang als nodig is
    • Integriteit en vertrouwelijkheid: de gegevens moeten technisch worden beschermd

    In de praktijk hangt de bewaartermijn van handtekeningen en bijbehorende audit trail-gegevens af van de aard van de overeenkomst:

    DocumenttypeAanbevolen bewaartermijnMotivatie
    Commerciële overeenkomst6–10 jaar na afloop van het contractVerjaringstermijn (algemeen 3 jaar, handelsrecht 5 jaar)
    Arbeidsovereenkomst10 jaar na het einde van de dienstverbandVerjaring van arbeidsgeschillenvorderingen
    Boekhoudmateriaal6 jaar na afloop van het boekjaarBoekhoudwet 2:10
    VastgoedtransactiePermanent of minimaal 10 jaarEisen volgens de Landcode

    Archiefmodel voor kleine bedrijven

    Een kleine onderneming kan haar archief voor elektronische handtekeningen eenvoudig organiseren:

    1. Gebruik een ondertekeningsservice (zoals EpicSign) die ondertekende documenten en auditlogs automatisch archiveert
    2. Definieer bewaartermijnen per documenttype (zie tabel hierboven)
    3. Exporteer de belangrijkste overeenkomsten ook naar uw eigen back-upsysteem
    4. Controleer één keer per jaar of er verlopen documenten zijn die conform de GDPR verwijderd kunnen worden
    5. Documenteer uw bewaarbeleid in de gegevensbeschrijving

    Praktisch voorbeeld: accountantskantoor en klantcontracten

    Een accountantskantoor uit Tampere is overgestapt van papieren contracten naar EpicSign. Eerder waren de contracten in mappen — deels op kantoor, deels bij klanten. Niemand wist zeker waar de meest recente versie was. Na de elektronische handtekening veranderde de situatie:

    • Alle contracten zijn te vinden in het elektronische archief met een zoekfunctie
    • De auditlog bewijst wie er heeft ondertekend en wanneer
    • De GDPR-gegevensbeschrijving is bijgewerkt met de opslag van handtekeninggegevens
    • Oude contracten worden automatisch verwijderd na het verstrijken van de bewaartermijn

    Veelgestelde vragen

    Hoe lang moet de auditlog worden bewaard?

    De bewaartermi hangt af van het type contract. Voor commerciële contracten doorgaans 6-10 jaar, voor arbeidsovereenkomsten 10 jaar na beëindiging van het dienstverband.

    Bevat de audit trail persoonsgegevens?

    Ja. De naam, e-mail en IP-adres van de ondertekenaar zijn persoonsgegevens volgens de GDPR. Deze moeten worden verwerkt in overeenstemming met de privacywetgeving.

    Kan de auditlog achteraf worden bewerkt?

    Nee. Een cryptografische hash zorgt ervoor dat de gegevens niet onopgemerkt kunnen worden gewijzigd. Dit is een fundamentele vereiste voor een audit trail.

    Hoe beïnvloedt de GDPR het bewaren van ondertekeningsgegevens?

    De GDPR vereist dat gegevens alleen worden opgeslagen voor de noodzakelijke periode. Na afloop van de bewaartermijn moeten de gegevens worden verwijderd of geanonimiseerd.

    Slaat EpicSign de audit trail automatisch op?

    Ja. EpicSign genereert automatisch een uitgebreide audit trail voor elke ondertekeningsgebeurtenis.

    Dit artikel is van algemene aard en vormt geen juridisch advies.

    Probeer EpicSign

    Start een gratis proefperiode en verstuur uw eerste ondertekenverzoek in minder dan 20 seconden.

    Bekijk prijzen