Blog / PDF Samenvoegen
🔒

Waarom je PDF's niet moet uploaden naar willekeurige online tools

Online PDF-tools zijn ongelooflijk gemakkelijk - en een van de stilste bronnen van documentlekken. Dit is wat er echt met je bestanden gebeurt en hoe je veilig blijft.

· 7min leestijd

Stel je het voor: je hebt drie PDF’s die je moet combineren voor een e-mail. Je googelt “merge PDF online”, klikt op het eerste resultaat, uploadt je bestanden, downloadt de samengevoegde output en gaat door met je dag. Totale tijd: 90 seconden.

Wat je misschien niet hebt overwogen is wie je documenten net nog heeft aangeraakt.

Voor de meeste mensen, de meeste tijd, is uploaden prima. Maar er zijn specifieke categorieën documenten waar uploaden een slecht idee is, en er bestaat een gratis alternatief — browser-based verwerking — dat het risico volledig wegneemt.

Wat er echt gebeurt als je upload

Als je een PDF op een typische online tool dropt, is de volgorde:

  1. Je browser verstuurt het bestand over HTTPS naar de server van de tool. Encryptie tijdens transport is standaard.
  2. De server schrijft het bestand naar disk, meestal in een tijdelijke directory geïdentificeerd door een willekeurige ID.
  3. Een backend-proces leest het bestand en voert de bewerking uit — merge, convert, compress, split.
  4. De output wordt naar disk geschreven in hetzelfde tijdelijke gebied.
  5. De server stuurt je een downloadlink, vaak met een kort geldig token.
  6. Uiteindelijk worden bestanden verwijderd — meestal binnen 1-24 uur, soms langer.

Bij stappen 2-6 bestaat je document op iemand anders’ infrastructuur, meestal een shared cloudserver. Alles wat die server raakt — de eigen code van de tool, personeel met toegang, elk backupsysteem, elke logging-pipeline, elke aanvaller die de service hackt — heeft toegang tot je bestand.

Dit is niet sinister; het is gewoon hoe webapplicaties werken.

Wat het privacybeleid van de tool echt belooft

De meeste online PDF-tools hebben een privacybeleid dat een van deze dingen zegt:

  • “Bestanden worden binnen 1 uur verwijderd” (de goede)
  • “Bestanden worden binnen 24 uur verwijderd” (de typische)
  • “Bestanden worden verwijderd na verwerking” (vaag; betekent meestal nog steeds 1+ uur)
  • Geen specifieke belofte (slechtst)

Opvallend afwezig in de meeste policies:

  • Of backups het bestand langer bewaren dan de primaire opslag (vrijwel altijd ja)
  • Of medewerkers toegang hebben tot het bestand binnen het bewaarvenster (meestal ja, voor debugging)
  • Of bestandsmetadata apart wordt gelogd en langer bewaard (bestandsnamen, groottes, timestamps, IP-adressen)
  • Of de inhoud van het bestand wordt geanalyseerd voor productverbetering of AI-training

Voor een willekeurige receptenpdf maakt niets hiervan uit. Voor een vertrouwelijk contract zeker wel.

Het praktische aanvalsoppervlak

De service verzamelt opzettelijk data. Sommige gratis tools bestaan specifiek om de content te verzamelen die erdoorheen gaat. Het businessmodel is “gratis tool, betaalde dataset.” Dit is zeldzaam bij de hoogstgerankte resultaten maar gebruikelijk in de lange staart van kleinere tools.

Een beveiligingslek legt opgeslagen bestanden bloot. Services worden gehackt. In 2020 bleek een populaire online PDF-tool bestanden te serveren met voorspelbare URL’s — een derde partij kon de documenten van iemand anders downloaden door gewoon te gokken. Vergelijkbare problemen zijn bij meerdere services door de jaren heen opgetreden. Zelfs als de service volledig legitiem is, zijn de bestanden op hun disk een doelwit.

Staff-toegang. Voor debugging of klantenondersteuning kan personeel bij de meeste tools bij geüploade bestanden tijdens het bewaarvenster. De meeste medewerkers zijn betrouwbaar; er is er maar één nodig die dat niet is.

Welke documenten ertoe doen

Niet alle PDF’s dragen hetzelfde risico.

Zeker niet uploaden:

  • Ondertekende contracten en juridische overeenkomsten
  • Belastingdocumenten, financiële afschriften, facturen met bankgegevens
  • Medische dossiers en verzekeringsdocumenten
  • Door de overheid uitgegeven ID’s, paspoortscans
  • Alles dat onder een geheimhoudingsclausule met een klant valt
  • Interne bedrijfsdocumenten met stempel “vertrouwelijk”
  • Personeelsdata (AVG, HIPAA, enz.)
  • Alles met BSN’s, creditcardnummers of andere directe PII

Waarschijnlijk prima om te uploaden:

  • Openbare rapporten, whitepapers, marketingmateriaal
  • Documenten die al online zijn gepubliceerd
  • Recepten, reisschema’s, gebruikershandleidingen
  • Concepten zonder gevoelige inhoud

Grijze zone — per geval beslissen:

  • CV’s (bevat persoonlijke data)
  • Persoonlijke foto’s geconverteerd naar PDF
  • Correspondentie met bedrijven (kan accountnummers bevatten)
  • Academische papers (meestal prima tenzij ongepubliceerd)

Bij twijfel: neem aan dat het document ertoe doet en gebruik een lokale tool.

Het veiligere alternatief: lokale verwerking

PDF’s kunnen volledig binnen de browser worden bewerkt, zonder server. Moderne browsers zijn krachtig genoeg om volwaardige PDF-libraries lokaal te draaien — onze eigen PDF Merge-tool is een voorbeeld.

Het model werkt zo: je opent de pagina en je browser downloadt de JavaScript van de tool. Je dropt je PDF’s op de pagina. Alles gebeurt in het geheugen van je browser — lezen, verwerken, schrijven. Je downloadt de output, die nooit op een andere server dan je eigen apparaat heeft gestaan.

Het bestand verlaat je computer nooit. De hostingprovider van de tool heeft geen toegang tot wat je verwerkt — vanuit ons perspectief heb je een statische webpagina gedownload en iets in je browser gedaan dat we niet kunnen zien.

Hoe herken je dat een tool lokaal draait

Lees hun privacybeleid. Een tool die lokaal draait, hoort expliciet te zeggen “er worden geen bestanden geüpload” of “verwerking gebeurt in je browser.”

Open DevTools → Network-tabblad voordat je de tool gebruikt. Start een merge-, compress- of convert-bewerking. Zie je een POST-request die je bestand uploadt, dan is het server-side. Stopt alle netwerkactiviteit na de initiële pagina-lading, dan is het lokaal.

Test met het netwerk afgekoppeld. Schakel wifi uit nadat je de pagina hebt geladen en probeer een bestand te verwerken. Een lokale tool werkt nog. Een server-based tool faalt.

De DevTools-check duurt ongeveer 30 seconden en is een goede gewoonte om op te bouwen.

Performance trade-offs

Voordelen van lokale verwerking: geen upload/download-tijd (voor een 10 MB-bestand op een trage verbinding een echte besparing), geen serverwachtrij, geen bestandsgroottelimiet door de service, geen privacyrisico.

Nadelen: je browser doet het werk, dus grote bestanden kosten lokale CPU-tijd. Sommige bewerkingen (OCR op gescande pagina’s, complexe image processing) zijn sneller op server-side tools met gespecialiseerde hardware. De eerste pagina-lading downloadt de code van de tool — maar dat is meestal slechts een paar honderd KB en wordt gecached.

Voor mergen, comprimeren en converteren van de meeste dagelijkse bestanden is lokaal sneller én veiliger. Voor zware industriële workflows hebben server-side tools nog steeds hun plaats.

Een simpele regel om te onthouden

Voor je een PDF naar een online tool uploadt, vraag jezelf: zou ik het prima vinden om dit document naar een vreemde te e-mailen?

Als ja, uploaden is prima. Als nee, gebruik een lokale tool.

De meeste documenten die je in de verleiding komt te uploaden zijn documenten die je eigenlijk niet prettig vindt om naar een vreemde te sturen. De online tool is gewoon een vreemde met een gemakkelijke interface.

Onze PDF Merge-tool laat dit concreet zien. Open DevTools, ga naar het Network-tabblad en draai een merge. Je ziet de pagina zijn JavaScript laden, en daarna niets meer — geen uploads, geen servercalls. Het samengevoegde bestand verschijnt in je downloads zonder je laptop ooit te hebben verlaten.

Hetzelfde geldt voor onze Image Compressor, JSON Formatter en Base64-encoder. Allemaal lokaal, allemaal privé by construction.