Digitalt tresor: Fuldstændig definition 2026

Dematerialisering af dokumenter er blevet et strategisk krav for franske og europæiske virksomheder. Alligevel skaber en vedvarende forvirring praktikken uklart: den mellem digitalt tresor, elektronisk arkivering og simpel onlinelagring. Disse begreber, når de ikke skelnes korrekt, udsætter organisationer for alvorlige juridiske risici og tab af bevisværdien af deres dokumenter. Denne artikel giver en streng definition af elektronisk digitalt tresor, forklarer de tekniske mekanismer, detaljerer de grundlæggende forskelle med juridisk arkivering, og identificerer situationer hvor dets implementering bliver uomgørlig.

Digitalt tresor: Præcis definition og indsatser

Hvad er et digitalt tresor?

Et digitalt tresor (eller elektronisk tresor) er et sikkert onlinelagringsområde, der garanterer fortrolighed, integritet, tilgængelighed og sporbarhed af de dokumenter, der deponeres der. I modsætning til en simpel delt cloud-mappe eller en GED (elektronisk dokumentstyring) er det digitale tresor baseret på avancerede kryptografiske mekanismer, som på ethvert tidspunkt attesterer, at dokumentet ikke har været ændret siden dets deponering.

I fransk ret er begrebet stadfæstet af loven nr. 2016-1321 af 7. oktober 2016 for en digital republik (kaldet Lemaire-loven), som definerer det digitale tresor som en tjeneste, der gør det muligt at "modtage, gemme, sende og returnere digitale data på en sikker måde". Denne lov introducerede et regime med obligatorisk certificering for udbydere, der ønsker at påberåbe sig denne betegnelse, reguleret af normen NF Z42-020 udgivet af AFNOR.

Tre grundlæggende egenskaber skelner det digitale tresor fra simpel hosting:

• Garanteret integritet: hvert dokument bliver forsegleret med en kvalificeret tidsstempel og et kryptografisk fingeraftryk (hash SHA-256 eller højere), hvilket gør enhver ændring påviselig.

• Øget fortrolighed: udbyderen anvender et princip om streng adskillelse; ingen adgang til data er mulig uden autentificering af tresor-indehaveren.

• Bevisværdi: dokumenter, der bevares i et certificeret tresor, er modtagelige som bevis før franske og europæiske domstole i henhold til artikel 1366 i den franske civilkode.

Digitalt tresor versus klassisk cloud-lagring: de vigtigste forskelle

Klassisk cloud-lagring (Google Drive, Dropbox, OneDrive) tilbyder tilgængelighed og bekvemmelighed, men sikrer ingen juridisk garanti for integritet. Tjenestens administrator kan teknisk set ændre, slette eller få adgang til filerne uden, at brugeren bliver underrettet. Vilkårene for disse platforme udelukker eksplicit enhver bevisværdi.

Det digitale tresor påtvinger derimod kontraktligt og teknisk udbyderen:

• Umuligheden af at ændre et dokument efter deponering (uforanderlighed).

• Fuldstændig registrering af hver adgang (revisionsspor).

• Returnering af dokumenter i deres originale format uden ændringer.

• Kontinuerlig service og datapersistensi over lange perioder (10, 30 år eller mere).

Denne sondring er afgørende ved retssager: et dokument fra et certificeret tresor nyder godt af en formodning om pålidelighed, som en fil uddtaget fra standard cloud-hosting ikke har.

Digitalt tresor og juridisk arkivering: hvilke forskelle?

Juridisk elektronisk arkivering: en mere bindende ramme

Juridisk elektronisk arkivering (eller arkivering med bevisværdi) betegner alle de processer, teknikker og organisatoriske ordninger, der gør det muligt at bevare digitale dokumenter på en måde, der bevarer deres juridiske værdi over en længere periode. Det er reguleret i Frankrig af normen NF Z42-013 og, for offentlige arkiver, af generelt referencedokument for arkivstyring (RG2A) fra DINUM.

I modsætning til det digitale tresor, som er centreret omkring brugeren (indehaveren deponerer og konsulterer sine egne dokumenter), indebærer juridisk arkivering en struktureret dokumentstyring: klassificeringsplan, lovpligtige bevaringsperioder, indsendelsesprocedurer, kontrolleret kassering og kapacitet til at eksportere i varige formater (PDF/A, XML osv.).

Virksomheder, der er underlagt juridiske bevaringsforpligtelser – lønseddel (50 år), kommercielle kontrakter (5 år), regnskabsdokumenter (10 år) – skal klart skelne mellem:

• Det digitale tresor for daglig styring og tilgængeliggørelse af dokumenter til medarbejdere eller partnere.

• Elektronisk arkiveringssystem (SAE) for langsigtet bevaring med styring af dokumenters livscyklusser.

Komplementaritet mellem tresor og elektronisk signatur

Det digitale tresor får fuld betydning, når det kombineres med en løsning til elektronisk underskrift, der er i overensstemmelse med eIDAS. Et dokument, der er elektronisk signeret og straks arkiveret i et certificeret tresor, akkumulerer to væsentlige garantier:

• Ægthed: den kvalificerede eller avancerede signatur attesterer signatarets identitet og dennes samtykke på signeringstidspunktet.

• Integritet over tid: tresorbeholderen bevarer det signerede dokument i dets oprindelige tilstand med dets tidsstempelmærke, uafhængigt af udviklingen i formater og teknologier.

Denne kombination er særligt kritisk for langsigtet kontrakter (kommercielle lejemål, ansættelseskontrakter, afståelsesdokumenter), hvor beviset potentielt skal fremlægges år efter signeringen. For at dykke dybere ned i forpligtelserne fra eIDAS 2.0-forordningen, udfolder vores dedikerede guide signaturens niveauer og deres respektive juridiske virkninger.

Certificeringskriterier for et digitalt tresor

Normen NF Z42-020: referencestandardens norm

Udgivet af AFNOR definerer normen NF Z42-020 minimumskravene for, at en tjeneste kan gøre krav på betegnelsen "digitalt tresor" i henhold til loven om digital republik. Den dækker:

• Funktionelle krav: deponering, konsultation, download, sikker deling og kontrolleret destruktion af dokumenter.

• Sikkerhedskrav: kryptering af data under transit (TLS 1.3 minimum) og i hvile (AES-256), styring af kryptografiske nøgler, stærk autentificering (MFA).

• Organisatoriske krav: dokumenteret sikkerhedspolitik, kontinuitetsberedskabsplan, regelmæssige revisioner foretaget af en uafhængig tredjepart.

• Portabilitetskrav: indehaveren kan hente alle sine data på ethvert tidspunkt i åbne og interoperable formater.

Siden 2023 er AFNOR-certificering af det digitale tresor gradvist tilpasset kravene til europæisk cybersikkerhedscertificeringsskema (EUCS) udviklet af ENISA, hvilket letter gensidig anerkendelse af certificeringer inden for Den Europæiske Union.

Indikatorer at verificere før valg af udbyder

Givet multiplikationen af tilbud, der kræver "digitalt tresor" uden reel certificering, skal virksomheder systematisk verificere:

• NF Z42-020-certificering udstedt af en COFRAC-akkrediteret organisation.

• Dataplaceringslokation: hosting på servere i Den Europæiske Union (GDPR-forpligtelse og ANSSI-anbefaling).

• SecNumCloud-kvalificering fra ANSSI til følsom brug (sundhedsdata, finansielle data).

• SLA'er (Service Level Agreement), der garanterer minimum 99,9% tilgængelighed og returneringsfrist under 24 timer.

• Reversibilitetsbetingelser i tilfælde af skift af udbyder: eksportformat, stilling til rådighed tidsfrist, eventuelle omkostninger.

For virksomheder, der vurderer flere markedsløsninger, integrerer sammenligningen af elektroniske signaturløsninger fra Certyneo en analyse af de arkiveringsfunktioner, som de vigtigste aktører tilbyder.

Operationel implementering i virksomheden

Integration i eksisterende dokumentprocesser

Integreringen af et digitalt tresor reduceres ikke til en teknisk implementering: det kræver en revision af eksisterende dokumentprocesser. De trin, der anbefales af specialiserede firmaer inden for digital transformation, er følgende:

• Dokumentkortlægning: identificer kategorier af dokumenter med høj bevisværdi (kontrakter, lønsedler, SEPA-mandater, bestyrelsesmødeprokotokoller, HR-dokumenter).

• Definering af bevaringsperioder: tilpasse tresorparametrene til juridiske bevaringsforpligtelser sektorbetinget.

• Brugeruddannelse: succesen med adoptionen hviler på brugervenlighed; en intuitiv grænseflade og automatiserede arbejdsgange reducerer indsendingsfejl.

• Forbindelse til eksisterende værktøjer: via REST API eller native connectors med virksomhedens GED, ERP eller SIRH.

Løsninger til elektronisk signatur for virksomheder integrerer nu hyppigt et tresormodul, der muliggør en end-to-end dokumentkæde: oprettelse, signering, arkivering og returnering i et samlet miljø.

Digitalt tresor og Human Resources-styring

HR-sektoren udgør et af de mest modne anvendelsestilfælde for det digitale tresor. Siden forordningen nr. 2017-1387 af 22. september 2017 og dets gennemførelsesdekreter er overgivelsen af elektronisk lønseddel juridisk gyldig, forudsat at medarbejderen har vedvarende adgang til sine dokumenter i et sikkert område.

Konkret betyder det, at arbejdsgiveren skal garantere:

• Tilgængeliggørelse af lønsedlen i et certificeret digitalt tresor (ikke en simpel cloud-plads).

• Dokumentets tilgængelighed i 50 år eller indtil medarbejderens 75. år.

• Mulighed for medarbejderen at hente sine dokumenter ved afgang fra virksomheden.

HR-teams, der implementerer en elektronisk signaturløsning dedikeret til HR kombineret med et certificeret tresor, reducerer betydeligt risici for arbejdsretsprocesser relateret til tabte eller omstridte dokumenter.

Sektorer med høj regulatorisk betydning

Visse sektorer er underlagt forstærket arkiveringsforpligtelser, som gør det digitale certificerede tresor til en næsten obligatorisk forpligtelse:

• Sundhedssektoren: bevaringen af sundhedsdata er reguleret af HDS-referencerammen (sundhedsdatahostingarkitektur); tresorbeholderen skal være hosted af en HDS-certificeret operatør. Løsninger dedikeret til elektronisk signatur i sundhedsområdet integrerer disse begrænsninger.

• Juridisk sektor: advokatkontor og notarielkontor bevarer dokumenter, hvis bevisværdi skal garanteres over årtier. Elektronisk signatur for juridiske kontorer hviler naturligt på certificerede tresore.

• Ejendomssektor: mandater, byttekontrakter, lejemål – alle dokumenter med høj bevisværdi over lange perioder. Elektronisk signatur i ejendomsbranschen drager fuldt ud fordel af digitale tresore.

Gældende juridisk ramme for det digitale tresor

Grundlæggende tekster i fransk ret

Det juridiske regime for det digitale tresor er baseret på flere juridiske lag og regler, som det er vigtigt at forstå:

Lov nr. 2016-1321 af 7. oktober 2016 (lov om digital republik): det første tekst, der juridisk konsekrer det digitale tresor, giver det en definition og pålægger en certificeringsordning for udbydere. Dens artikel 65 foreskriver, at enhver tjeneste, der gør krav på denne betegnelse, skal certificeres af en akkrediteret organisation.

Civilkode, artikler 1366 og 1367: artikel 1366 opstiller princippet om ækvivalens mellem elektronisk skrift og papirskrift, under forudsætning af, at "personen, fra hvem den stammer, kan identificeres korrekt, og det fastlægges og bevares under omstændigheder, der er egnet til at garantere dets integritet". Artikel 1367 præciserer betingelserne for validitet af elektronisk signatur. Disse to bestemmelser udgør grundlaget for bevisværdien af dokumenter arkiveret i et certificeret tresor.

Forordning eIDAS nr. 910/2014: denne forordning gælder direkte i alle EU-medlemsstater og etablerer tillidsrammen for elektroniske transaktioner. Den definerer signaturniveauer (simpel, avanceret, kvalificeret) og anerkender kvalificerede betroede tjenester, herunder visse kvalificerede elektroniske tresore (QES). Forordning eIDAS 2.0 (revision under vedtagelse på redaktionstidspunktet) styrker disse bestemmelser og introducerer den europæiske digitale identitetsporteføllje (EUDIW), som kan interagere med digitale tresore.

GDPR-forpligtelser og datasikkerhed

Forordning GDPR nr. 2016/679: dokumenter, der bevares i et digitalt tresor, indeholder ofte personoplysninger. Dataansvarlig skal sikre, at tresorudbyderen præsenterer tilstrækkelige garantier (artikel 28 GDPR), især via en DPA (Data Processing Agreement) i overensstemmelse hermed. Bevaringsperioder skal være begrundede af en juridisk grundlag og dokumenteret i registeret over behandlinger.

Direktiv NIS2 (2022/2555/EU): overført til fransk ret ved lov nr. 2024-449 af 21. maj 2024, påtvinger direktiv NIS2 vigtige operatører af væsentlige tjenester og vigtige enheder stærkere krav til cyberfaren. Udbydere af digitale tresore, der betjener kritiske sektorer (sundhed, finans, infrastruktur), kan være omfattet af dets område.

Gældende tekniske normer

• NF Z42-020 (AFNOR): specifikke certificeringsreference for digitalt tresor i Frankrig.

• NF Z42-013 (AFNOR): funktionelle og tekniske specifikationer for elektroniske arkiveringssystemer.

• ETSI EN 319 132: europæiske normer for avancerede elektroniske signaturformater (XAdES, CAdES, PAdES) brugt i kontekst af tresore.

• ISO 14721 (OAIS): international referencemodul for langsigtet digital arkivering, gældende for tresore med formål for varig arkivering.

Manglende overholdelse af disse forpligtelser udsætter virksomheder for administrative sanktioner (CNIL-bøder op til 4% af det globale årsomsætning for GDPR-overtrædelser), men også for bevisværditabet af dokumenter i tilfælde af retssager, med potentielt ødelæggende konsekvenser for kommercielle eller arbejdsretssammenhænge.

Konkrete brugsscenarier for det digitale tresor

Scenario 1: en advokatkonto specialiseret i erhvervsret

En advokatkonto med omkring tolv samarbejdsparter, der behandler årligt flere hundrede dokumenter og korrespondancer med juridisk værdi: afståelsekontrakter, aktiepagter, aftalemeddelser, repræsentationsmandater. Før implementering af et certificeret digitalt tresor NF Z42-020, blev signerede dokumenter lagret i en intern netværksshare uden tidsstempel eller integritetsværdier. Under en retssag vedrørende den nøjagtige signaturdate for en aftalemeddelse var kontoen ude af stand til at fremlægge et uomtvisteligt bevis.

Efter implementering af et certificeret tresor kombineret med en kvalificeret elektronisk signaturløsning arkiveres hvert dokument automatisk med dets kvalificerede tidsstempelmærke på signeringstidspunktet. Adgangsrevisioner registreres og kan eksporteres. Resultat: tidsfristerne for dokumentproduktion i tilfælde af retssag blev reduceret med 70%, og kontoen kunne få sine digitale beviser godkendt af flere handelsdommer uden modstand.

Scenario 2: en mindre industrivirksomhed, der styrer høj mængde af leverandørkontrakter

En mindre industrivirksomhed med omkring 150 ansatte og mere end 300 aktive leverandørkontrakter hvert år stod over for en dobbelt problemstilling: hurtigt at finde en kontrakt i tilfælde af retssag og bevise, at kontraktvilkår ikke var blevet ændret efterfølgende. Kontrakterne blev signeret på papir, scannet og derefter gemt i fysiske mapper og usikret netværksmapper.

Migreringen til en fuldstændig demaaterialiseret proces – avanceret elektronisk signatur efterfulgt af automatisk arkivering i certificeret tresor – gjorde det muligt at reducere tidsfristen for kontraktbehandling fra i gennemsnit 8 dage til mindre end 48 timer. Omkostningerne til dokumentstyring (tryk, postforsendelse, fysisk arkivering) reduceredes med cirka 60% ifølge estimater baseret på branchebenchmarks udgivet af den nationale indkøbsføderation (FNA). Under en leverandørrevision kunne virksomheden tilgængeliggøre alle kontrakter fra de seneste fem år med deres tidsdata inden for mindre end en time.

Scenario 3: en sygehusgruppes mellemstore størrelse

En sygehusgruppes omkring 800 senge, underlagt HDS-referencestandarder og forpligtelser til bevaring af sundhedsdata, skulle sikre bevaringen af flere kategorier af følsomme dokumenter: patientinformeret samtykke, lægepraktikontrakter, fortrolighedsaftaler med eksterne prestatører. Heterogeniteten af de brugte værktøjer (e-mail, GED, netværksmapper) skabte sporbarhedsspørgsmål, der var uforenelige med HDS-certificeringskravene.

Vedtagelsen af et certificeret digitalt tresor HDS, forbundet med gruppens elektroniske signaturløsning via API, gjorde det muligt at samle dokumentbehandlingskæden. Patientsamtykker signeres nu på tablet, arkiveres i realtid med et kvalificeret tidsstempel og er tilgængelige for autoriseret sundhedspersonale på mindre end 30 sekunder. Gruppen reducerede sine dokumentkompliance-hændelser med mere end 80% over de 18 måneder, der fulgte implementeringen, ifølge dets interne styringsindikatorer.

Konklusion

Det digitale tresor er ikke et simpelt lagringværktøj: det er en juridisk og teknisk enhed på sin egen ret, hvis værdi beror på certificering, kryptografi og regulatorisk overholdelse. At forstå den præcise definition af elektronisk digitalt tresor, dets forskelle med klassisk juridisk arkivering og de forpligtelser, der omgiver det, er i dag uomgørlig for enhver organisation, der er bekymret over påliderligheden af sine digitale dokumenter.

Certyneo integrerer naturligt sikkerhedsfunktioner til arkivering i hver signaturflow, hvilket garanterer en eIDAS-conforme dokumentkæde fra ende til anden. For at opdage, hvordan man implementerer en løsning tilpasset din sammenhæng og beregne forventede operationelle gevinster, gå til ROI-kalkulator for elektronisk signatur eller kontakt vores teams for en personlig dokumentrevision.