Tilbage til bloggen
    Sikkerhed12.2.2026

    Audit trail, beviser og GDPR-opbevaring i elektronisk underskrift

    Et audit trail for en elektronisk underskrift er et digitalt bevis på, hvem der underskrev, hvornår og hvordan. Det er en kritisk del af underskriftens gyldighed og tvistbilæggelse. I denne artikel gennemgår vi, hvad et audit trail indeholder, hvordan GDPR påvirker dataopbevaring, og hvordan en lille virksomhed kan organisere sit arkiv.

    Hvad er et audit trail?

    Et revisionsspor (audit trail) er en automatisk indsamlet registrering af en underskriftshændelse. Det gemmer hvert trin fra start til slut. Et revisionsspor er en væsentlig del af bevisværdien af en elektronisk underskrift. Uden det er en elektronisk underskrift praktisk talt kun en pixel på skærmen – revisionssporet gør den juridisk relevant.

    Hvilke oplysninger indeholder en hændelseslog?

    En omfattende hændelseslog indeholder følgende oplysninger:

    • Underskriverens navn og e-mailadresse
    • Anvendt autentificeringsmetode (bank-id’er, mobilcertifikat, e-mailbekræftelse)
    • Tidsstempel (dato og tidspunkt, tidszone)
    • IP-adresse, hvorfra underskriften blev foretaget
    • Enheds- og browseroplysninger
    • Dokumentets kryptografiske hash – beviser, at dokumentet ikke er blevet ændret
    • Tidspunkt for afsendelse og åbning af underskriftsanmodningen
    • Tidspunkt for fuldførelse af underskriften

    Hvad betyder dette i praksis: Hvis en kunde bestrider at have underskrevet en aftale, viser revisionssporet, at en bestemt person åbnede dokumentet fra en bestemt IP-adresse, autentificerede sig med bank-id’er og underskrev dokumentet på et bestemt tidspunkt.

    GDPR og opbevaring af elektroniske underskrifter

    Et revisionsspor indeholder personoplysninger, så GDPR (EU's generelle databeskyttelsesforordning) definerer, hvordan disse må behandles og opbevares. Nøgleprincipper fra GDPR for revisionssporet:

    • Formålsbegrænsning: Oplysninger må kun indsamles til specifikke formål (verificering af underskrift)
    • Dataminimering: Kun nødvendige oplysninger indsamles
    • Opbevaringsbegrænsning: data opbevares kun så længe som nødvendigt
    • Integritet og fortrolighed: data skal beskyttes teknisk

    I praksis afhænger opbevaringstiden for underskrifter og de tilknyttede oplysninger i hændelsesloggen af kontraktens art:

    DokumenttypeAnbefalet opbevaringstidBegrundelse
    Kommersiel aftale6–10 år efter kontraktens udløbUdløbstid (generel 3 år, købelov 5 år)
    Ansættelsesaftale10 år efter ansættelsesforholdets ophørForældelse af ansættelseskrav
    Regnskabsmateriale6 år efter regnskabsperiodens afslutningRegnskabsloven 2:10
    EjendomshandlerPermanent eller mindst 10 årKrav i henhold til jordloven

    Arkivmodel for små virksomheder

    En lille virksomhed kan nemt organisere sit arkiv for elektroniske underskrifter:

    1. Brug en underskriftstjeneste (som EpicSign), der automatisk arkiverer underskrevne dokumenter og audit trails
    2. Definer opbevaringsperioder pr. dokumenttype (se tabel ovenfor)
    3. Eksporter de vigtigste aftaler til dit eget sikkerhedskopisystem
    4. Tjek én gang om året, om der er forældede dokumenter, der kan slettes i henhold til GDPR
    5. Dokumenter din opbevaringspraksis i registerbeskrivelsen

    Praktisk eksempel: et revisionsfirma og kundeaftaler

    Et Tampere-baseret revisionsfirma skiftede fra papiraftaler til EpicSign. Tidligere var aftalerne i mapper – nogle på kontoret, andre hos kunderne. Ingen var sikre på, hvor den seneste version var.\n\nEfter den elektroniske underskrift ændrede situationen sig:

    • Alle aftaler kan findes i det elektroniske arkiv med søgefunktion
    • Audit trail beviser, hvem der underskrev og hvornår
    • GDPR-registerbeskrivelsen blev opdateret til at omfatte opbevaring af underskriftsdata
    • Gamle aftaler slettes automatisk, når opbevaringsperioden udløber

    Ofte stillede spørgsmål

    Hvor længe skal et audit trail opbevares?

    Opbevaringsperioden afhænger af aftalens type. For kommercielle aftaler typisk 6-10 år, for ansættelseskontrakter 10 år efter ansættelsesforholdets ophør.

    Indeholder et audit trail personoplysninger?

    Ja. Underskriverens navn, e-mail og IP-adresse er personoplysninger i henhold til GDPR. De skal behandles i overensstemmelse med databeskyttelsesreglerne.

    Kan et audit trail redigeres efterfølgende?

    Nej. En kryptografisk hash sikrer, at data ikke kan ændres ubemærket. Dette er en grundlæggende forudsætning for et audit trail.

    Hvordan påvirker GDPR opbevaring af underskriftsdata?

    GDPR kræver, at oplysninger kun opbevares i den nødvendige periode. Når opbevaringsperioden udløber, skal oplysningerne slettes eller anonymiseres.

    Gemmer EpicSign automatisk audit trails?

    Ja. EpicSign opretter automatisk et omfattende audit trail for hver underskriftsbegivenhed.

    Denne artikel er af generel karakter og udgør ikke juridisk rådgivning.

    Prøv EpicSign

    Start en gratis prøveperiode og send den første underskriftsanmodning på under 20 sekunder.

    Se priser