Betrust - OKSign Logo

X.509-handtekeningen in PDF: ingebakken certificaat bewijst wie ondertekend heeft

Onderteken een document met een X.509 handtekening | OKSign

19 april 2026

Digitale ondertekening is intussen standaard geworden in moderne organisaties. Contracten, bestelbonnen, notulen, HR-documenten en offertes worden steeds vaker volledig digitaal afgehandeld. Maar één vraag blijft cruciaal: hoe weet je zeker wie er precies getekend heeft, en hoe bewijs je dat later nog?

Het antwoord ligt in X.509-gebaseerde elektronische handtekeningen, die rechtstreeks in het PDF-document worden geïntegreerd. Wanneer een document met een X.509-certificaat wordt ondertekend, gaat het om een gekwalificeerde elektronische handtekening zoals gedefinieerd in deEuropese eIDAS-verordening. Dankzij deze gekwalificeerde handtekening kan je inAdobe Acrobat Reader op elk moment onomstotelijk verifiëren wie het document heeft ondertekend en dat de inhoud sinds de ondertekening niet werd gewijzigd.

Met OKSign kan je documenten (laten) ondertekenen met itsme® eSign en Smart‑ID. Deze oplossingen plaatsen een X.509‑certificaat van de ondertekenaar rechtstreeks in het PDF‑document, waardoor de handtekening automatisch een gekwalificeerde elektronische handtekening is volgens de eIDAS‑verordening.

Wat is een X.509-handtekening in een PDF?

X.509 is een internationale standaard voor digitale certificaten. Zo’n certificaat bevat onder meer:

  • De identiteit van de ondertekenaar (persoon of organisatie)
  • De publieke sleutel die hoort bij de private sleutel waarmee getekend wordt
  • De certificaatautoriteit (CA) die het certificaat heeft uitgegeven
  • De geldigheidsperiode en technische parameters

Wanneer iemand een PDF ondertekent met een X.509-certificaat, wordt er een cryptografische handtekening toegevoegd aan het document. Die handtekening is wiskundig gekoppeld aan zowel:

  • de inhoud van de PDF (integriteit)
  • het certificaat van de ondertekenaar (identiteit)

Belangrijk daarbij: het X.509-certificaat wordt ingebakken in het PDF-document zelf. Het reist dus altijd mee met het document, waar dat ook naartoe gestuurd wordt. Je hoeft geen aparte certificaatbestanden mee te bezorgen: alles zit in één enkel PDF-bestand.

Het ingebakken certificaat: altijd controle, voor iedereen

Doordat het X.509-certificaat in de PDF geïntegreerd is, kan iedereen die het document opent de handtekening controleren. Daarvoor is geen dure software nodig: de gratis Adobe Acrobat Reader volstaat.

In een ondertekende PDF kan je in Acrobat Reader:

  • De handtekening selecteren in het handtekeningenpaneel
  • De handtekeningdetails bekijken, inclusief de status (geldig, gewijzigd, verlopen…)
  • Het ingebakken certificaat van de ondertekenaar openen en de identiteit, uitgever en geldigheid controleren

Dat betekent concreet:

  • Je ziet wie er getekend heeft (naam, en vaak ook organisatie)
  • Je ziet door welke certificaatautoriteit het certificaat is uitgegeven
  • Je ziet of het certificaat nog geldig is en niet ingetrokken werd
  • Je ziet of het document na ondertekening nog gewijzigd werd

Omdat het certificaat in de PDF zelf zit, blijft deze controle mogelijk, zelfs als het document jaren later opnieuw wordt geopend, op een andere computer, bij een andere partij. Het bewijs reist letterlijk mee met het document.

Gekwalificeerde elektronische handtekening volgens eIDAS

Binnen de Europese Unie is de eIDAS-verordening het juridische kader voor elektronische identificatie en vertrouwensdiensten. eIDAS onderscheidt drie niveaus van elektronische handtekeningen:

  • Gewone elektronische handtekening
  • Geavanceerde elektronische handtekening
  • Gekwalificeerde elektronische handtekening

Een gekwalificeerde elektronische handtekening is het hoogste niveau en biedt de sterkste juridische zekerheid. Ze is gebaseerd op:

  • Een gekwalificeerd certificaat voor elektronische handtekeningen
  • Uitgegeven door een gekwalificeerde vertrouwensdienstverlener (QTSP)
  • En geplaatst met een gekwalificeerd middel (bijvoorbeeld een beveiligde smartcard, hardware token of gekwalificeerde cloud-handtekening)

Het grote voordeel: volgens eIDAS heeft een gekwalificeerde elektronische handtekening dezelfde rechtsgevolgen als een handgeschreven handtekening. In de EU moet een gekwalificeerde handtekening in principe op dezelfde manier worden aanvaard als een klassieke handtekening op papier.

Wanneer je een PDF-document ondertekent met een X.509-gebaseerde, gekwalificeerde elektronische handtekening, combineer je dus:

  • Technische zekerheid: cryptografie, integriteitscontrole en een ingebakken certificaat dat iedereen kan bekijken.
  • Juridische zekerheid: een eIDAS-conforme, gekwalificeerde handtekening met dezelfde waarde als een natte handtekening.

Waarom dit in de praktijk zo krachtig is

Voor bedrijven, overheden en organisaties levert deze aanpak een aantal zeer concrete voordelen op:

  • Transparante verificatie: iedereen met de gratis Adobe Acrobat Reader kan zelf de handtekening en het ingebakken certificaat controleren, zonder extra tools.
  • Betrouwbare identificatie: de identiteit van de ondertekenaar is gekoppeld aan een X.509-certificaat dat in het document zelf zit.
  • Integriteit van het document: elke wijziging na ondertekening wordt gedetecteerd en maakt de handtekening ongeldig.
  • Juridische kracht: een gekwalificeerde elektronische handtekening volgens eIDAS staat juridisch op hetzelfde niveau als een handgeschreven handtekening.
  • Archivering en overdraagbaarheid: het bewijs reist mee met het PDF-bestand; ook bij doorsturen, archiveren of delen met derden blijft alles verifieerbaar.

Hoe ziet de itsme® handtekening eruit in een PDF document?

Een X.509‑gekwalificeerde handtekening wordt achteraan toegevoegd op een aparte pagina in het document (zie screenshot).

Plaats een handtekening in een document met de itsme® esign service.

Op de plaats waar U handtekening vak(ken) geplaatst heeft in de OKSign Editor (of via de API) verschijnt een melding dat de handtekening terug te vinden is op de laatste pagina in het ondertekende document.

Bij elke vermelding 'handtekening zie laatste pagina' wordt een referentie (A,B,C,...) geplaatst en deze referentie wordt hernomen in de handtekening op de laatste pagina zodat je makkelijker kan zien welke handtekening overeenkomt met welke positie(s) in het document.

Het logo van de ondertekening wijze (EID logo of itsme® logo) wordt bij elke handtekening op de laatste pagina getoond.

Na de eerste X.509 handtekening zullen alle volgende handtekeningen steeds geplaatst worden op de laatste pagina, ook indien er ondertekend wordt met 'Pen' (handtekening op aanraakscherm) of via TAN/SMS):

Plaats een handtekening in een document met een aanraakscherm of SMS.

Hoe controleren wie een PDF document ondertekend heeft met itsme® eSign service?

In Acrobat Reader kan je op elk moment de details van het certificaat consulteren (zie screenshot hieronder).

Doe als volgt:

  1. Open het ondertekend OKSign document in A.Reader​ en klik op de handtekening op de laatste pagina
  2. Een Popup verschijnt: Klik op Signature Properties
  3. Klik op Show Signer's Certificate
  4. Klik op Details en dan op Subject om de details (naam, rijksregisternummer) van de ondertekenaar te kunnen lezen.

Merk ook op dat in screenshot 1 bovenaan Signed and all signatures are valid staat en op screenshot 2 The document has not been modified since this signature was applied.

Dit duidt aan dat de handtekening rechtsgeldig is en dat het document na ondertekening niet meer gewijzigd is.

De handtekening is ook voorzien van een Embedded timestamp, dit geeft een 'vaste datum' aan de handtekening.

Controleer itsme® handtekening in PDF

Conclusie

X.509-handtekeningen die in een PDF-document geïntegreerd zijn, vormen de basis van betrouwbare digitale ondertekening. Doordat het X.509-certificaat ingebakken zit in het PDF-bestand, reist het altijd mee met het document. Iedereen die het document opent met de gratis Adobe Acrobat Reader kan op elk moment controleren wie het document ondertekend heeft en of de inhoud nog ongewijzigd is.

Wanneer die handtekening bovendien een gekwalificeerde elektronische handtekening is volgens de Europese eIDAS-verordening, beschik je over een oplossing die zowel technisch als juridisch bijzonder sterk staat. Voor organisaties die hun processen willen digitaliseren zonder in te boeten aan zekerheid, vertrouwen en rechtsgeldigheid, zijn X.509-gebaseerde, gekwalificeerde handtekeningen in PDF dan ook een logische en toekomstbestendige keuze.

Gerelateerde artikels:

  1. De itsme® eSign-service – Gekwalificeerde elektronische handtekeningen (QES)
  2. itsme® activeren: Uw Veilige Digitale Identiteit Binnen Handbereik
  3. Smart-ID – Een nieuwe, veilige en naadloze manier om documenten te ondertekenen in OK!Sign
  4. Documenten ondertekenen met de Smart-ID App in België met OK!Sign

 Terug naar Blog

Copyright © 2026 Betrust N.V
Release: rel-10-17-29457-29457 - 2026-04-24 03:19 p.m.
F3E5AB65C11132084F9011CB2B1C3AA8.oksign_b96
Cookiebeleid, Privacybeleid en Gebruiksvoorwaarden