Elektronisk signatur og RGPD: guide til DPO'er
Indførelse af en elektronisk signaturløsning rejser flere RGPD-spørgsmål: hvor er dataene gemt? Hvem kan få adgang? Er der risiko for Cloud Act? Denne guide besvarer disse spørgsmål og forklarer, hvordan I vælger en RGPD-kompatibel løsning til jeres organisation.
Hvilke persondata behandler en signaturløsning?
En elektronisk signaturplatform behandler flere kategorier af persondata.
- Signatarens identitet: navn, fornavn, email, telefonnummer
- Dokumentindhold: potentielt følsomme persondata (arbejdskontrakter, sundhedsdata, økonomiske data)
- Audit trail-data: IP-adresse, timestamp, user-agent
- Adfærdsdata: håndskriftsignaturen på tablet (hvis biometrisk QES)
Hosting og overførsler uden for EU
RGPD foreskriver, at persondata kun må overføres uden for EU til lande, der tilbyder et tilstrækkeligt beskyttelsesniveau, eller under passende garantier (SCC'er, BCR'er). For signaturløsninger betyder det:
- EU-hosting → native overførsel, ingen ekstra formaliteter
- US-hosting med SCCs → muligt men resterende Cloud Act-risiko
- US-enhed (Cloud Act) → ikke-eliminérbar risiko selv med EU-hosting
Amerikansk Cloud Act og elektronisk signatur
Cloud Act (2018) giver amerikanske myndigheder adgang til data, som er hostet af amerikanske virksomheder, selv hvis dataene er lagret i Europa. DocuSign, Adobe Sign og Dropbox Sign er amerikanske virksomheder underlagt Cloud Act. Certyneo er en fransk enhed, ikke underlagt denne ekstraterritorialitet.
| Solution | Cloud Act-risikoniveau pr. løsning |
|---|---|
| Certyneo | Ingen risiko — fransk enhed |
| Yousign | Ingen risiko — fransk enhed |
| DocuSign | Resterende risiko — amerikansk enhed |
| Adobe Acrobat Sign | Resterende risiko — amerikansk enhed |
| Dropbox Sign | Resterende risiko — amerikansk enhed |
DPA og retlige grundlag
Databehandling gennem en signeringsløsning skal baseres på et gyldigt retligt grundlag (kontrakt, legitim interesse eller samtykke). En Data Processing Agreement (DPA) skal indgås med signeringsudbyder. Certyneo tilbyder en RGPD-kompatibel DPA, der kan underskrives elektronisk, med de elementer, der kræves i artikel 28 i RGPD.
Anbefalinger til databeskyttelsesombud
- 1Vælg en udbyder, hvis juridiske enhed er hjemmehørende i EU eller Storbritannien (post-Brexit med tilstrækkeligheidsbeslutning)
- 2Kontroller, at hosting udelukkende er i EU uden replikering på servere uden for EU
- 3Indhent og underskriv en DPA, der overholder artikel 28 i RGPD
- 4Dokumenter konsekvensanalyse (DPIA) hvis du behandler følsomme data i dine dokumenter
- 5Kontroller dataopbevaringsvarighed og sletningspolitik ved kontraktens udløb
RGPD-spørgsmål om elektronisk signatur
- Medfører elektronisk signatur behandling af personoplysninger?
- Ja. Email, navn og potentielt telefonnummeret på underskriveren indsamles. Dokumenternes indhold kan også indeholde personoplysninger. Signeringsudbyder er en databehandler ifølge RGPD og underlagt artikel 28's forpligtelser.
- Er DocuSign RGPD-kompatibel?
- DocuSign hævder at være RGPD-kompatibel og tilbyder SCCs. Som amerikansk virksomhed forbliver den dog underlagt Cloud Act. CNIL har understreget, at Cloud Act skaber en ikke-eliminérbar risiko for europæiske data hostet af amerikanske enheder, selv i EU.
- Er Certyneo RGPD-kompatibel?
- Ja. Certyneo er en fransk enhed, hostet i EU (IONOS Tyskland), ikke underlagt Cloud Act. Data krypteres under transport (TLS 1.3) og i hvile. Certyneo tilbyder en DPA, der overholder artikel 28 i RGPD.
- Er det nødvendigt at udføre en DPIA for brug af en signeringsløsning?
- En DPIA er ikke systematisk påkrævet for standard elektronisk signatur. Den påhviler dig hvis du underskriver dokumenter indeholdende følsomme data (sundhed, HR med fagforeningsoplysninger osv.) eller hvis din brug af signering indebærer profilering eller storskalaoversigt.