Elke PDF draagt een onzichtbare informatielaag die de meeste mensen nooit zien. Naast de tekst en afbeeldingen op de pagina bevat een PDF metadata — gestructureerde gegevensvelden die vastleggen wie het bestand heeft gemaakt, wanneer, met welke software, en soms veel meer. Deze verborgen laag heeft politieke schandalen veroorzaakt, anonieme klokkenluiders ontmaskerd en compliance-problemen gecreëerd onder moderne privacywetgeving.
Welke metadata zit er in een PDF?
Een typische PDF bevat zes tot twaalf metadatavelden, waarvan de meeste automatisch worden ingevuld door de software die het bestand heeft gemaakt.
| Veld | Wat het onthult | Voorbeeld |
|---|---|---|
| Auteur | De OS-gebruikersnaam of softwarelicentiehouder | "Jean-Pierre Durand" |
| Creator | De applicatie die de bron heeft gemaakt | "Microsoft Word 2021" |
| Producer | De bibliotheek die de PDF heeft gegenereerd | "macOS Quartz PDFContext" |
| Aanmaakdatum | Wanneer het bestand voor het eerst is gegenereerd | 2026-01-15T09:42:00 |
| Wijzigingsdatum | Wanneer het bestand voor het laatst is opgeslagen | 2026-03-02T14:18:00 |
| Titel / Onderwerp | Vaak automatisch ingevuld vanuit het brondocument | "CONCEPT - Q3 Omzet - VERTROUWELIJK" |
| Trefwoorden | Tags, categorieën of zoektermen | "intern, bestuursbeoordeling" |
| XMP-data | Uitgebreide metadata: bewerkingsgeschiedenis, toolchain, rechten | Volledige revisietijdlijn |
Sommige PDF's bevatten ook bestandspaden van het bronsysteem (bijv. C:\Users\jan.jansen\Desktop\Klanten\AcmeCorp\voorstel_v3.docx), die mapstructuren, gebruikersnamen en klantnamen in één tekenreeks onthullen.
Goed om te weten Ingebedde lettertypen bevatten ook metadata. De lettertypenaam, versie en licentietype kunnen het besturingssysteem en de softwareomgeving aangeven waarmee het document is geproduceerd.
Praktijkincidenten veroorzaakt door PDF-metadata
Metadatalekken zijn niet hypothetisch. Ze hebben ernstige gevolgen gehad in journalistiek, recht en overheid.
- Het Irak-dossier (2003) — De Britse overheid publiceerde een Word-document over Iraks wapenprogramma. Metadata onthulde de namen van alle bijdragers en de volledige bewerkingsgeschiedenis, waaruit bleek dat delen waren gekopieerd uit een academisch artikel. De ontdekking leidde tot een groot politiek schandaal.
- Mislukte gerechtelijke redacties — In meerdere Amerikaanse federale zaken hebben advocaten gevoelige informatie "geredigeerd" door zwarte vlakken over tekst in een PDF te plaatsen. De onderliggende tekst bleef selecteerbaar en kopieerbaar. Metadata en documentstructuur legden namen, BSN-nummers en geheime details bloot die verborgen hadden moeten zijn.
- Identificatie van klokkenluiders — Inlichtingendiensten en bedrijven hebben het auteurveld, aanmaaktijdstempels en Producer-strings gebruikt om de herkomst van gelekte documenten te achterhalen, soms binnen enkele uren de bron identificerend.
- Schending van anonieme aanbestedingen — Bij overheidsopdrachten moeten biedingen vaak anoniem zijn. PDF-metadata met de auteursnaam of bedrijfsnaam heeft geleid tot diskwalificatie en juridische procedures.
Deze voorbeelden delen een rode draad: de mensen die de documenten maakten hadden geen idee dat de metadata bestond.
Waarom metadata belangrijk is voor AVG en privacy
Onder de Algemene Verordening Gegevensbescherming (AVG/GDPR) zijn persoonsgegevens alle informatie waarmee een natuurlijk persoon direct of indirect kan worden geïdentificeerd. Het auteurveld met een volledige naam, een e-mailadres in XMP-data, of een gebruikersnaam in een bestandspad vallen hier allemaal onder.
Dit heeft praktische gevolgen:
- PDF's extern delen zonder metadata te verwijderen kan het overdragen van persoonsgegevens zonder wettelijke grondslag inhouden.
- Verzoeken om verwijdering zouden zich theoretisch kunnen uitstrekken tot metadata in gearchiveerde PDF's.
- Dataminimalisatie — een kernprincipe van de AVG — vereist dat je alleen de gegevens deelt die nodig zijn voor het doel. Verborgen metadatavelden dienen vrijwel nooit het doel van de ontvanger.
Organisaties die routinematig PDF's delen met klanten, partners of het publiek zouden metadata-opschoning als onderdeel van hun gegevensbeschermingsworkflow moeten behandelen, niet als bijzaak.
De kloof tussen bewustzijn en praktijk
De meeste mensen weten niet dat PDF-metadata bestaat. Zelfs onder degenen die het weten, controleren weinigen het voor het delen. De kloof is deels een toolingprobleem — standaard PDF-lezers verstoppen metadata diep in menu's — en deels een gewoonteprobleem: metadata is onzichtbaar, dus het is makkelijk om het te vergeten.
Het risico groeit in organisaties. Een enkele medewerker die een onopgeschoonde PDF verstuurt kan interne structuren, softwarelicenties, werkpatronen en namen van collega's blootstellen. Vermenigvuldig dat met honderden gedeelde documenten per jaar, en de cumulatieve blootstelling is aanzienlijk.
Tip Maak metadata-inspectie een reflex, zoals proeflezen. Controleer de auteur, titel en datums vóór elke externe deling. Het kost seconden en voorkomt dat informatie die je nooit wilde delen de ontvanger bereikt.
Verder lezen
Om te inspecteren wat je eigen PDF's onthullen, probeer de PDF Metadata Viewer. Voor een complete handleiding over het verwijderen van gevoelige velden vóór het delen, zie de tutorial PDF-metadata opschonen. Beide tools draaien volledig in je browser — je bestanden verlaten nooit je apparaat.