Gå til hovedinnhold
Certyneo

Elektronisk signatur HR & GDPR: komplett guide 2026

Mellom eIDAS, GDPR og håndtering av personopplysninger for ansatte, må elektronisk signatur av dine HR-dokumenter følge strenge regler. Oppdag hvordan du forblir i samsvar.

Certyneo-teamet12 min lesing

Certyneo-teamet

Redaktør — Certyneo · Om Certyneo

Digitaliseringen av menneskelige ressurser har akselerert betydelig siden 2020: arbeidskontrakter, tillegg, lønnsslipper, IT-retningslinjer, avtaler om hjemmearbeid — praktisk talt alle disse dokumentene går nå gjennom elektronisk form. Imidlertid betyr demateriisering ikke å unnslippe juridiske forpliktelser. Tvert imot: elektronisk signatur HR-dokument GDPR utgjør et emne med dobbel regulatorisk inngang, fordi det artikulerer eIDAS-rammen om bevisverdi av signatur og EU-forordningen om beskyttelse av personopplysninger. Hvis den ikke håndteres ordentlig, utsetter denne doble begrensningen virksomheten for juridiske risiko og CNIL-sanksjoner. Denne guiden presenterer de essensielle reglene, beste praksis og viktige punkter å kjenne absolutt i 2026.

Hvorfor gjelder GDPR for elektronisk signatur HR?

Elektronisk signatur behandler nødvendigvis personopplysninger

Å signere en arbeidskontrakt elektronisk innebærer å samle inn, overføre og lagre personopplysninger i betydningen av artikkel 4 i GDPR nr. 2016/679: navn, fornavn, e-postadresse, noen ganger mobiltelefonnummer, tidsstempel og IP-adresse for signering. I en HR-kontekst er disse dataene særlig følsomme fordi de identifiserer arbeidstakeren direkte og er knyttet til hans eller hennes kontraktsforhold til arbeidsgiver.

Tilbyderen av pålitelighetsserviser (PSC) som leverer signeringsløsningen er kvalifisert som databehandler i betydningen av artikkel 28 i GDPR. Arbeidsgiver forblir ansvarlig for behandling. Denne distinksjonen er fundamental: det er virksomheten som svarer overfor CNIL i tilfelle brudd, ikke programvareleverandøren.

Juridiske grunnlag som kan brukes i HR-kontekst

For hver kategori av demateriiserte HR-dokumenter må arbeidsgiver identifisere det juridiske grunnlaget for behandling som er mest hensiktsmessig:

  • Utførelse av kontrakten (art. 6.1.b GDPR): signering av arbeidskontrakt, lønnsavtale, avtale om dagspenger. Det er det mest robuste juridiske grunnlaget for kontraktsdokumenter.
  • Juridisk forpliktelse (art. 6.1.c GDPR): demateriisert utlevering av lønnsslipper (tillatt siden Macron-loven av 2015 under visse betingelser), personalregister.
  • Legitim interesse (art. 6.1.f GDPR): IT-retningslinjer, interne regler, dokumenter om intern politikk — under forutsetning av at du passerer test av balanse.

Grunnlaget samtykke (art. 6.1.a) skal unngås i HR-kontekst: CNIL og EDPB (European Data Protection Board) mener at underordningsforholdet mellom arbeidsgiver og arbeidstaker gjør samtykke sjelden fritt. En arbeidstaker som neker å signere elektronisk kan frykte faglige konsekvenser.

Konkrete forpliktelser for HR-ansvarlig for behandling

Oppdater registeret over behandlingsaktiviteter (RAT)

Artikkel 30 i GDPR pålegger alle organisasjoner som sysselsetter mer enn 250 ansatte (og små og mellomstore bedrifter som behandler følsomme data i stor skala) å føre et register over behandlingsaktiviteter. Innføringen av et elektronisk signeringsverktøy for HR-dokumenter må vises der med:

  • Formålet med behandlingen (f.eks.: demateriisering og arkivering av kontraktuelle HR-dokumenter)
  • Kategorier av data som behandles (identitet, kontaktdata, autentiseringsdata)
  • Oppbevaringsvarighet (juridisk oppbevaringsvarighet for arbeidskontrakt: 5 år etter kontraktens utgang i henhold til Arbeidskoden, art. L. 1234-20)
  • Kontaktopplysninger for databehandler (signeringsplattformen)
  • Sikkerhetstiltak som er iverksatt

Underskriv en DPA (databehandleravtale) med leverandøren

I samsvar med artikkel 28 i GDPR må enhver bruk av en databehandler for behandling av personopplysninger formaliseres ved en databehandleravtale (DPA). Denne avtalen må spesifisere:

  • Formål og varighet av behandlingen
  • Art og formål med behandlingen
  • Type personopplysninger og kategorier av berørte personer
  • Forpliktelser og rettigheter for ansvarlig for behandling
  • Dataplassering (lagring i EU anbefales for å unngå overføring utenfor EØS)
  • Tekniske og organisatoriske sikkerhetstiltak

En seriøs signeringsleverandør tilbyr systematisk en DPA som overholder GDPR. Dens fravær utgjør en umiddelbar ikke-samsvar som kan sanksjoneres.

Informer ansatte før første signering

Artikkel 13 i GDPR pålegger forhåndsvarsel til personer hvis data samles inn. Før du distribuerer elektronisk signatur for HR-dokumenter, må arbeidsgiver informere de ansatte:

  • Om identiteten til ansvarlig for behandling
  • Om formål og juridisk grunnlag
  • Om data bevaringsvarighet
  • Om deres rettigheter (tilgang, retting, sletting innenfor rammene av juridiske oppbevaringskrav, bæreevne)
  • Om kontaktdetaljene til DPO (databeskyttelsesombud) hvis utnevnt

Denne informasjonen kan integreres i signeringsprosessen selv (informasjonsfeltet før signering), i den oppdaterte arbeidsmiljøloven, eller via en servicekunngjøring som distribueres ved distribusjon.

Signeringsnivå som kreves for HR-dokumenter: SES, AES eller QES?

Hierarkiet i eIDAS-nivåer

Forordning eIDAS nr. 910/2014 definerer tre elektronisk signatursnivåer, hver med økende bevisverdi:

  • SES (Simple Electronic Signature / Enkel elektronisk signatur): lav bevisverdi, egnet for dokumenter med lav innsats (mottak av mottak, interne skjemaer)
  • AES (Advanced Electronic Signature / Avansert elektronisk signatur): knyttet unikt til undertegneren, opprettet fra data under hans eller hennes eksklusive kontroll. Egnet for de fleste vanlige HR-dokumenter.
  • QES (Qualified Electronic Signature / Kvalifisert elektronisk signatur): høyeste nivå, tilsvarende håndskreven signatur i henhold til art. 25.2 eIDAS. Krever forsterket identitetsverifisering (ansikt-til-ansikt eller video-identifikasjon).

Hvilket nivå for hvilke HR-dokumenter?

Det anbefalte kartlautet i 2026, under hensyntagen til stillingene til fransk rettspraksis og bransjespesifikke anbefalinger:

| HR-dokument | Anbefalt nivå | Begrunnelse | |---|---|---| | Arbeidskontrakt CDI/CDD | AES minimum, QES anbefalt | Sterk kontraktsverdi, arbeidsrettighetsrisiko | | Kontraktsavtale | AES minimum, QES anbefalt | Samme logikk som hovedkontrakt | | Prøveperiode (fornyelse) | AES | Kort frist, begrenset formalisme | | IT-retningslinje for hjemmearbeid / BYOD | SES eller AES | Kollektiv avtale eller arbeidsmiljøloven | | Avtale om dagspenger | QES sterkt anbefalt | Juridispraksis innen arbeid krever | | Konvensjonell oppsigelse | QES obligatorisk | Homologert Cerfa-skjema, høy innsats | | Mottatt kvittering for full oppgjør | AES eller QES | Frigjørende verdi, art. L. 1234-20 CT |

For dokumenter med høy risiko for tvist (avtale om dagspenger, konvensjonell oppsigelse), er QES praktisk pålagt for å garantere motstridighet foran arbeidsdomstolene. Høyesterett har gradvis strammet kravene til bevis for arbeidstakerens avtale.

Oppbevaring, arkivering og personrettigheter: fallgruvene å unngå

Juridiske oppbevaringskrav for signerte HR-dokumenter

Oppbevaring av elektronisk signerte HR-dokumenter følger tvungne juridiske varigheter. Disse varighetene tar prioritet over retten til å bli glemt i GDPR (art. 17.3.b):

  • Arbeidskontrakt: 5 år etter kontraktens utgang (arbeidsrettighetsresepsjon, art. L. 1471-1 Arbeidskoden)
  • Lønnsslipper: 5 år (resepsjon av lønn), men oppbevaring anbefales inntil pensjonering av arbeidstaker
  • Dokumenter relatert til arbeidstilskader: 30 år (lang risiko for tvist)
  • Yrkesforberedelse (planer, attester): 3 år
  • Personalregistre: 5 år etter datoen den ansatte forlot etablissementet

Elektronisk arkivering av bevisverdi må oppfylle kravene i standarden NF Z 42-013 og ideelt sett standarden ETSI EN 319 162 (langsiktig arkivering av elektroniske signaturer). Enkel lagring på server er ikke tilstrekkelig: du må garantere integritet, lesbarhet og kvalifisert tidsstempel av dokumentene over hele oppbevaringsvarigiligheten.

Håndter ansatte rettigheter uten å kompromittere bevisverdi

En arbeidstaker kan rettmessig utøve sin tilgangsrett (art. 15 GDPR) for å få kopi av signeringsdata som gjelder ham eller henne. Han eller hun kan også be om retting av unøyaktige data.

Derimot kan retten til å bli glemt (art. 17 GDPR) ikke utøves på HR-dokumenter som er underlagt juridiske oppbevaringskrav. Arbeidsgiver må kunne forklare tydelig denne veigeringen ved å sitere det gjeldende juridiske grunnlaget. Dokumentering av disse utvelgelsene i registeret over rettighetskrav er en god praksis anbefalt av CNIL.

Portabilitet (art. 20 GDPR) gjelder data levert av arbeidstakeren basert på samtykke eller kontraktsutførelse. Konkret kan en arbeidstaker be om sine signeringsdata i et strukturert format — en forpliktelse å forutse ved valg av signeringsløsning.

Teknisk og organisatorisk sikkerhet: essensielle tiltak

Tekniske krav til signeringsplattformen

I samsvar med artikkel 32 i GDPR må sikkerhetstiltakene være passende for risikoen. For en elektronisk signeringsløsning for HR betyr dette særlig:

  • Kryptering av data under overføring (TLS 1.3 minimum) og i hvile (AES-256)
  • Multifaktor-autentisering (MFA) for tilgang til plattformen
  • Revisjonslogger (logs) tidsstemplet og forfalskningsmotstandsdyktige, som sporer hver handling på dokumentet
  • Lagring i EU (eller EØS) for å unngå overføring utenfor EØS uten tilstrekkelige garantier (adekvatetsbeslutning eller standard kontraktklausuler)
  • Gjennomgripende tester årlig og ISO 27001-sertifisering av leverandøren
  • Kontinuitetsplan som garanterer tjenestens tilgjengelighet og gjenoppretting av arkiver i tilfelle hendelse

Innvirkningsanalyse (DPIA): når er den obligatorisk?

Artikkel 35 i GDPR pålegger en innvirkningsanalyse på personvernbeskyttelsen (DPIA) når behandlingen sannsynlig vil medføre høy risiko. CNIL har publisert en liste over typer behandling som krever DPIA: behandling i stor skala av data relatert til yrkeslivet er nevnt der.

Konkret anbefales en DPIA (eller til og med obligatorisk for store bedrifter) ved distribusjon av en elektronisk signeringsløsning for HR som berører hele samarbeidsstyrken. Det må identifisere risikoer (tap av fortrolighet, identitetstyveri, dokumentendring), vurdere deres alvorlighetsgrad og sannsynlighet, og foreslå risikomitigationstiltak. Denne analysen må dokumenteres og gjennomgås i tilfelle endring av behandlingen.

Juridisk ramme som gjelder for elektronisk signatur HR og GDPR

Grunnleggende europeiske tekster

Forordning eIDAS nr. 910/2014 (og revisjon av eIDAS 2.0 i implementeringsfase): denne teksten definerer de tre nivaene av elektronisk signatur (SES, AES, QES) og deres juridiske verdi i alle medlemsstater. Artikkel 25 slår fast at QES har juridisk virkning tilsvarende håndskreven signatur. Artikkel 26 oppregner tekniske krav til avansert signatur. Leverandører av kvalifiserte pålitelighetsserviser er registrert på nasjonale tillitslister (i Frankrike administreres listen av ANSSI).

GDPR nr. 2016/679: gjelder siden 25. mai 2018, denne forordningen regulerer all behandling av personopplysninger i EU. Artikler 5 (prinsipper), 6 (juridiske grunnlag), 13-14 (informasjon), 28 (databehandlere), 30 (register), 32 (sikkerhet), 35 (DPIA) og 37-39 (DPO) er direkte relevante for elektronisk signatur HR.

Franske rettslig gjeldende lov

Sivilkode, artikler 1366-1367: artikkel 1366 legger ned prinsippet om funksjonslikhet mellom elektronisk og papirdokument. Artikkel 1367 erkjenner elektronisk signatur som bevismetode, forutsatt at den består av en pålitelig identifikasjonsprosess som garanterer forbindelsen med akten den er knyttet til. Pålitelighet antas for QES, men kan påvises for AES.

Arbeidskoden: artikkel L. 1221-1 pålegger ikke noen spesiell form for arbeidskontrakt (bortsett fra unntak: CDD art. L. 1242-12, lærlingskontrakt, etc.). Macron-loven av 2015 (lov nr. 2015-990) åpnet veien for elektronisk lønnsslipper. Artikkel L. 3243-2 regulerer dens modaliteter.

Lov om informasjonsteknologi og friheter endret (lov nr. 78-17 av 6. januar 1978): fransk implementering av GDPR, den gir CNIL myndigheter for etterforskninger og sanksjoner. Bøter kan nå 20 millioner euro eller 4 % av årlig verdensomfattende omsetning for de alvorligste bruddene.

Tekniske standarder som referanse

  • ETSI EN 319 132: elektronisk signeringsformat XAdES, gjelder for XML-dokumenter
  • ETSI EN 319 122: CAdES-format for elektronisk signering av CMS-dokumenter
  • ETSI EN 319 162: langsiktig arkivering av elektroniske signaturer (ASiC)
  • NF Z 42-013 (AFNOR): funksjonelle spesifikasjoner for et sannsynlig elektronisk arkiveringssystem
  • ISO/IEC 27001: styring av informasjonssikkerhet, sertifiseringsreferanseramme forventet av leverandører

Juridiske risiko ved manglende samsvar

Sammenslåingen av risikoer er betydelig: en arbeidskontrakt signert med utilstrekkelig signeringsnivå kan bli bestridt for arbeidsdomstolen, og utsetter arbeidsgiver for omklassifisering eller nullitet. På GDPR-siden kan fravær av DPA med leverandøren, manglende informasjon til de ansatte eller lagring utenfor EU uten tilstrekkelige garantier føre til en påminning fra CNIL, ja til en offentlig administrativ sanksjon.

Bruksscenarier: Elektronisk signatur HR i samsvar med GDPR

Scenario 1: et mellomstort industriselskap på 600 ansatte digitaliserer arbeidskontraktene sine

Et industriselskap med mellomstørrelse, fordelt på fire steder i Frankrike, behandlet hvert år ca. 180 ansettelser av CDI/CDD, som genererte like mange papirlister som skulle skrives ut, signeres i dobbelt eksemplar, skannes og arkiveres. Forsinkelsene mellom jobbløftet og faktisk kontraktsignering nådde i gjennomsnitt 8 virkedager.

Etter implementering av en avansert elektronisk signeringsløsning (AES) integrert i SIRH-systemet sitt, med en GDPR-kompatibel DPA signert med leverandøren og en dokumentert DPIA, reduserte selskapet denne perioden til mindre enn 24 timer. Andelen ufullstendige mapper falt med 34 % (kilder: bransjebenchmarks ANDRH 2024). Lagring av data i Frankrike ble valgt som kontraktskriterium, og eliminerte enhver risiko for overføring utenfor EØS. De ansatte informeres om behandlingen via en informasjonsblokk integrert i signeringsbanen, noe som garanterer overholdelse av artikkel 13 i GDPR.

Scenario 2: et detaljhandelsnettwerk distribuerer QES-signatur for dagspengeavtaler

Et distribusjonsnett med rundt seksti salgssted og hundre ledere på dagspenger hadde en identifisert arbeidsrettighetsrisiko: flere dagspengeavtaler kunne bare påvises ved hjelp av kopier av papirer av dårlig kvalitet. Høyesterett hadde strammet kravene til bevis på denne typen konvensjon, så risikoen for tvist ble estimert til flere hundre tusen euro.

Nettverket distribuerte en kvalifisert signeringsløsning (QES) for alle nye konvensjoner og tilbød ledere i stillingen å resignere eksisterende konvensjoner. Identitetsverifisering ble utført ved video-identifikasjon. Registeret over behandlingsaktiviteter ble oppdatert, og en ekstern DPO validerte GDPR-kompatibiliteten av banen. På 6 måneder ble hele dagspengeparken sikret. Kostnadene for innsatsen (omtrent 15 til 25 € per QES-signatur i henhold til markedsleverandører) ble ansett som langt lavere enn den dekket risikoen for tvist.

Scenario 3: en lokal myndighet dematerialiserer avtalene sine og IT-retningslinjer for hjemmearbeid

En lokal myndighet med omtrent 1 200 permanente ansatte ønsket å dematerialisere håndteringen av avtaler for hjemmearbeid etter den nasjonale rammeavtalen for 2021 om hjemmearbeid i offentlig sektor. Volumet som skulle behandles var omtrent 400 dokumenter per år, med spesifikke begrensninger: ansatte er juridiske personer hvis data er gjenstand for en særlig regulert behandling.

Myndigheten valgte avanserte signaturer (AES), med suveren lagring hos en leverandør kvalifisert SecNumCloud av ANSSI. DPIA ble sendt til myndighetens DPO før implementering. De ansatte ble informert via en servicekunngjøring publisert på intranett og en informasjonsblokk i den digitale banen. HR-tjenesten estimerte en besparelse på 3 FTE-dager per måned på administrativ styring av avtaler, dvs. en årlig økonomisk besparelse på omtrent 35 000 € i direkte kostnader, i samsvar med de oppgitte rekkene fra Observatoriet for digital transformasjon av lokalsamfunn (2025).

Konklusjon

GDPR-samsvar for elektronisk signatur for HR-dokumenter er ikke et valg: det betinger både juridisk verdi av handlingene dine og beskyttelsen av rettighetene til dine ansatte. I 2026 utsetter bedrifter som ikke ennå har oppdatert behandlingsregisteret sitt, signert en DPA med leverandøren sin og tilpasset signeringsnivået til hver dokumenttype seg for en dobbel risiko — arbeidsrettslig og administrativ — hvis økonomiske konsekvenser kan være betydelige.

Det gode nyhetene er: en godt valgt og konfigurert løsning tillater deg å kombinere operasjonell flytende, eIDAS-samsvar og GDPR-respekt uten friksjon for HR-teamene eller de ansatte.

Certyneo ledsager deg i denne prosessen: plattform i samsvar med eIDAS, DPA tilgjengelig, europeisk lagring og signeringsbaner designet for HR. Oppdag vår løsning dedikert til menneskelige ressurser eller beregn avkastningen på din overgang til fullt digitalt på noen få klikk.

Prøv Certyneo gratis

Send din første signeringskonvolutt på under 5 minutter. 5 gratis konvolutter per måned, uten bankkort.

Start gratisSe prisene
Alle artikler

Gå dypere inn i emnet

Referanseartikler om dette emnet.

GDPR i HR: Behandling av ansattes dataGDPR pålegger arbeidsgivere strenge regler for innsamling og behandling av personopplysninger for ansatte. Finn ut hvordan du sikrer samsvar og unngår sanksjoner.RGPD i HR: Behandling av ansattes dataRGPD pålegger HR-avdelinger strenge forpliktelser når det gjelder behandling av personopplysninger om ansatte. Finn ut hvordan du oppfyller disse kravene praktisk.Signatur elektronik helsesektoren: GDPR & HDSHelsesektoren underordnes de strengeste kravene til digital samsvar. Oppdag hvordan du implementerer en lovlig elektronisk signatur, GDPR-samsvar og HDS-sertifisert løsning for dine helseinstitusjoner.Beskyttelse av e-handelskundedata: GDPR-overholdelseOppbevaring av elektronisk signerte dokumenterLovlig varighet, arkivering med bevisverdi, arkivformater: hvordan lagre elektronisk signerte dokumenter på riktig måte.

Gå dypere inn i emnet

Våre omfattende guider for å mestre elektronisk signatur.

Anbefalte artikler

Utdyp kunnskapen din med disse artiklene om emnet.

Kvalifiserte eIDAS-leverandører: den offisielle listen 2026

Ikke alle kvalifiserte elektroniske signaturtilbydere er like. Finn ut hvordan du identifiserer dem, sammenligner og velger den sikreste løsningen for bedriften din.

8 min

Elektronisk segl eIDAS: nøkkelrolle for organisasjoner

Det elektroniske seglet eIDAS blir ofte forvekslet med signatur, men det dekker distinkte og strategiske bruksområder for bedrifter. Komplett dekoding.

8 min

Signatur elektronisk: ROI og målbare besparelser i 2026

Elektronisk signatur reduserer driftskostnader og akselererer dine kontraktsykler. Oppdag hvordan du beregner ROI-en og de virkelige besparelsene du kan oppnå fra 2026.

8 min