En elektronisk signaturs audit trail är ett digitalt bevis på vem som signerade, när och hur. Den är en kritisk del av signaturens giltighet och tvistlösning. I den här artikeln går vi igenom vad en audit trail innehåller, hur GDPR påverkar datalagringen och hur ett litet företag kan organisera sitt arkiv.
Vad är en audit trail?
En audit trail (sv. spårningskedja eller loggstig) är en automatiskt samlad registrering av en signeringshändelse. Den sparar varje steg från början till slut.\n\nAudit trailen är en väsentlig del av bevisvärdet för en elektronisk signatur. Utan den är en elektronisk signatur i praktiken bara en pixel på skärmen – audit trailen gör den juridiskt relevant.
Vilken information innehåller en audit trail?
En omfattande audit trail innehåller följande information:
- Undertecknarens namn och e-postadress
- Använd autentiseringsmetod (bank-ID, mobilt BankID, e-postbekräftelse)
- Tidsstämpel (datum och tid, tidszon)
- IP-adress från vilken signaturen gjordes
- Enhets- och webbläsarinformation
- Dokumentets kryptografiska hash – bevisar att dokumentet inte har ändrats
- Tidpunkt för utskick av signeringsbegäran och tidpunkt för öppning
- Tidpunkt då signaturen slutfördes
Vad detta innebär i praktiken: om en kund bestrider att ha signerat ett avtal, visar audit trail att en viss person öppnade dokumentet från en viss IP-adress, autentiserade sig med bank-ID och signerade dokumentet vid en specifik tidpunkt.
GDPR och lagring av elektroniska signaturer
En audit trail innehåller personuppgifter, så GDPR (EU:s allmänna dataskyddsförordning) definierar hur de får behandlas och lagras. De viktigaste GDPR-principerna för audit trail:
- Ändamålsbegränsning: data får endast samlas in för ett specifikt ändamål (verifiering av signatur)
- Dataminimering: endast nödvändig data samlas in
- Lagringsbegränsning: information lagras endast så länge som är nödvändigt
- Integritet och konfidentialitet: informationen måste skyddas tekniskt
I praktiken beror lagringstiden för signaturer och relaterad audit trail-information på avtalets natur:
| Dokumenttyp | Rekommenderad lagringstid | Motivering |
|---|---|---|
| Kommersiellt avtal | 6–10 år efter avtalets upphörande | Preskriptionstid (allmänt 3 år, köplagen 5 år) |
| Anställningsavtal | 10 år efter anställningsförhållandets upphörande | Preskription av anställningsfordringar |
| Bokföringsunderlag | 6 år efter räkenskapsårets utgång | Kirjanpitolaki 2:10 |
| Kiinteistökauppa | Pysyvästi tai vähintään 10 v | Maakaaren mukaiset vaatimukset |
Arkivmodell för småföretag
Ett småföretag kan organisera sitt arkiv för elektroniska signaturer på ett enkelt sätt:
- Använd en signeringstjänst (som EpicSign) som automatiskt arkiverar signerade dokument och audit trails
- Ange lagringstider per dokumenttyp (se tabellen ovan)
- Exportera även de viktigaste avtalen till ditt eget säkerhetskopieringssystem
- Kontrollera en gång om året om det finns föråldrade dokument som kan tas bort i enlighet med GDPR
- Dokumentera din lagringspolicy i registerbeskrivningen
Praktiskt exempel: revisionsbyrå och kundavtal
En revisionsbyrå från Tammerfors bytte från pappersavtal till EpicSign. Tidigare fanns avtalen i pärmar – en del på kontoret, en del hos kunderna. Ingen visste säkert var den senaste versionen fanns. Efter den elektroniska signaturen ändrades situationen:
- Alla avtal finns i det elektroniska arkivet med sökfunktion
- Audit trail bevisar vem som undertecknade och när
- GDPR-registerbeskrivningen uppdaterades för att inkludera lagring av signaturinformation
- Gamla avtal tas bort automatiskt efter att lagringstiden löpt ut
Vanliga frågor
Hur länge måste en audit trail bevaras?
Lagringstiden beror på avtalstypen. För kommersiella avtal typiskt 6–10 år, för anställningsavtal 10 år efter att anställningsförhållandet upphörde.
Innehåller audit trail personuppgifter?
Ja. undertecknares namn, e-post och IP-adress är personuppgifter enligt GDPR. De måste behandlas i enlighet med dataskyddsbestämmelserna.
Kan en audit trail ändras i efterhand?
Nej. En kryptografisk hash säkerställer att informationen inte kan ändras obemärkt. Detta är ett grundläggande krav för en audit trail.
Hur påverkar GDPR lagringen av signaturinformation?
GDPR kräver att uppgifter endast lagras under den tid som är nödvändig. När lagringstiden löper ut måste uppgifterna raderas eller anonymiseras.
Sparar EpicSign audit trail automatiskt?
Ja. EpicSign skapar automatiskt en omfattande audit trail för varje signaturtransaktion.
Källor
Denna artikel är av allmän karaktär och utgör inte juridisk rådgivning.
Prova EpicSign
Starta din kostnadsfria provperiod och skicka den första signeringsbegäran på under 20 sekunder.
Se priser