Audit trail, todisteet ja GDPR-säilytys sähköisessä allekirjoituksessa
Sähköisen allekirjoituksen audit trail on digitaalinen todiste siitä, kuka allekirjoitti, milloin ja miten. Se on kriittinen osa allekirjoituksen pätevyyttä ja kiistanratkaisua. Tässä artikkelissa käymme läpi, mitä audit trail sisältää, miten GDPR vaikuttaa tietojen säilytykseen ja miten pienyritys voi järjestää arkistonsa.
Mikä audit trail on?
Audit trail (suom. jäljitysketju tai lokipolku) on automaattisesti kerätty tietue allekirjoitustapahtumasta. Se tallentaa jokaisen vaiheen alusta loppuun. Audit trail on olennainen osa sähköisen allekirjoituksen todistusarvoa. Ilman sitä sähköinen allekirjoitus on käytännössä vain pikseli ruudulla – audit trail tekee siitä oikeudellisesti merkityksellisen.
Mitä tietoja audit trail sisältää?
Kattava audit trail sisältää seuraavat tiedot:
- Allekirjoittajan nimi ja sähköpostiosoite
- Käytetty tunnistustapa (pankkitunnukset, mobiilivarmenne, sähköpostivahvistus)
- Aikaleima (päivämäärä ja kellonaika, aikavyöhyke)
- IP-osoite, josta allekirjoitus tehtiin
- Laite- ja selaintiedot
- Dokumentin kryptografinen tiiviste (hash) – todistaa, ettei asiakirjaa ole muutettu
- Allekirjoituspyynnön lähetysaika ja avausaika
- Allekirjoituksen valmistumisaika
Mitä tämä tarkoittaa käytännössä: jos asiakas kiistää allekirjoittaneensa sopimuksen, audit trail osoittaa, että tietty henkilö avasi dokumentin tietystä IP-osoitteesta, tunnistautui pankkitunnuksilla ja allekirjoitti asiakirjan tiettynä ajankohtana.
GDPR ja sähköisten allekirjoitusten säilytys
Audit trail sisältää henkilötietoja, joten GDPR (EU:n yleinen tietosuoja-asetus) määrittelee, miten niitä saa käsitellä ja säilyttää. Keskeiset GDPR-periaatteet audit trailin kannalta:
- Käyttötarkoitussidonnaisuus: tietoja saa kerätä vain tiettyyn tarkoitukseen (allekirjoituksen todentaminen)
- Tietojen minimointi: kerätään vain tarpeelliset tiedot
- Säilytyksen rajoittaminen: tietoja säilytetään vain niin kauan kuin on tarpeellista
- Eheys ja luottamuksellisuus: tiedot on suojattava teknisesti
Käytännössä allekirjoitusten ja niihin liittyvien audit trail -tietojen säilytysaika riippuu sopimuksen luonteesta:
| Dokumenttityyppi | Suositeltu säilytysaika | Perustelu |
|---|---|---|
| Kaupallinen sopimus | 6–10 vuotta sopimuksen päättymisestä | Vanhentumisaika (yleinen 3 v, kauppalaki 5 v) |
| Työsopimus | 10 vuotta työsuhteen päättymisestä | Työsuhdesaatavien vanhentuminen |
| Kirjanpitoaineisto | 6 vuotta tilikauden päättymisestä | Kirjanpitolaki 2:10 |
| Kiinteistökauppa | Pysyvästi tai vähintään 10 v | Maakaaren mukaiset vaatimukset |
Pienyrityksen arkistomalli
Pienyritys voi järjestää sähköisten allekirjoitusten arkistonsa yksinkertaisesti:
- Käytä allekirjoituspalvelua (kuten EpicSign), joka arkistoi allekirjoitetut dokumentit ja audit trailit automaattisesti
- Määritä säilytysajat dokumenttityypeittäin (ks. taulukko yllä)
- Vie tärkeimmät sopimukset myös omaan varmuuskopiojärjestelmääsi
- Tarkista kerran vuodessa, onko vanhentuneita dokumentteja, jotka voi poistaa GDPR:n mukaisesti
- Dokumentoi säilytyskäytäntösi rekisteriselosteeseen
Käytännön esimerkki: tilitoimisto ja asiakassopimukset
Tamperelainen tilitoimisto siirtyi paperisopimuksista EpicSigniin. Aiemmin sopimukset olivat mapeissa – osa toimistolla, osa asiakkailla. Kukaan ei ollut varma, missä viimeisin versio on. Sähköisen allekirjoituksen jälkeen tilanne muuttui:
- Kaikki sopimukset löytyvät sähköisestä arkistosta hakutoiminnolla
- Audit trail todistaa, kuka allekirjoitti ja milloin
- GDPR-rekisteriseloste päivitettiin sisältämään allekirjoitustietojen säilytys
- Vanhat sopimukset poistetaan automaattisesti säilytysajan umpeuduttua
Usein kysytyt kysymykset
Kuinka kauan audit trailia pitää säilyttää?
Säilytysaika riippuu sopimuksen tyypistä. Kaupallisissa sopimuksissa tyypillisesti 6–10 vuotta, työsopimuksissa 10 vuotta työsuhteen päättymisestä.
Sisältääkö audit trail henkilötietoja?
Kyllä. Allekirjoittajan nimi, sähköposti ja IP-osoite ovat henkilötietoja GDPR:n mukaan. Ne on käsiteltävä tietosuojasäännösten mukaisesti.
Voiko audit trailia muokata jälkikäteen?
Ei. Kryptografinen tiiviste (hash) varmistaa, että tietoja ei voi muuttaa huomaamatta. Tämä on audit trailin perusedellytys.
Miten GDPR vaikuttaa allekirjoitustietojen säilytykseen?
GDPR edellyttää, että tietoja säilytetään vain tarpeellisen ajan. Kun säilytysaika päättyy, tiedot on poistettava tai anonymisoitava.
Tallentaako EpicSign audit trailin automaattisesti?
Kyllä. EpicSign luo automaattisesti kattavan audit trailin jokaisesta allekirjoitustapahtumasta.
Lähteet
Tämä artikkeli on yleisluontoinen eikä ole oikeudellista neuvontaa.
Kokeile EpicSignia
Aloita maksuton kokeilu ja lähetä ensimmäinen allekirjoituspyyntö alle 20 sekunnissa.
Katso hinnat