Elektronisk signatur og GDPR: guide for datvernombud

Hvilke personopplysninger behandler en signeringsløsning?

En elektronisk signeringsplattform behandler flere kategorier av personopplysninger.

• Signatarens identitet: navn, fornavn, e-post, telefonnummer
• Dokumentinnhold: potensielt sensitive personopplysninger (arbeidskontrakter, helseopplysninger, finansielle data)
• Revisjonsdata: IP-adresse, timestamp, user-agent
• Atferdsmessige data: håndskriftsignatur på nettbrett (hvis biometrisk QES)

Hosting og overføringer utenfor EU

GDPR krever at personopplysninger ikke overføres utenfor EU unntatt til land som tilbyr tilstrekkelig beskyttelse eller under passende garantier (SCCs, BCRs). For signeringsløsninger betyr dette:

• EU-hosting → innebygd overføring, ingen ekstra formaliteter
• US-hosting med SCCs → mulig men restrisiko Cloud Act
• US-enhet (Cloud Act) → ikke eliminérbar risiko selv med EU-hosting

Amerikansk Cloud Act og elektronisk signatur

Cloud Act (2018) tillater amerikanske myndigheter å få tilgang til data som er lagret av amerikanske bedrifter, selv om dataene er lagret i Europa. DocuSign, Adobe Sign og Dropbox Sign er amerikanske bedrifter underlagt Cloud Act. Certyneo er en fransk enhet, ikke underlagt denne ekstraterritorialiteten.

Anbefalinger for datvernombud

1. 1Velg en leverandør hvis juridiske enhet er domisiliert i EU eller Storbritannia (post-Brexit med adequacy-vedtak)
2. 2Kontroller at hosting er eksklusivt i EU, uten replikering på servere utenfor EU
3. 3Innhent og underskriv en DPA som er samsvarende med GDPR artikkel 28
4. 4Dokumenter konsekvensanalysen (AIPD) hvis du behandler sensitive data i dokumentene dine
5. 5Kontroller dataoppbevaringstid og slettingspolicy ved kontraktsslutt

GDPR-spørsmål om elektronisk signatur

Medfører elektronisk signatur behandling av personopplysninger?

Ja. E-posten, navnet og potensielt telefonnummeret til signataren samles inn. Dokumentinnholdet kan også inneholde personopplysninger. Signeringleverandøren er en databehandler etter GDPR, underlagt forpliktelsene i artikkel 28.

Er DocuSign GDPR-samsvarende?

DocuSign hevder å være GDPR-samsvarende og tilbyr SCCs. Som amerikansk selskap er den imidlertid fortsatt underlagt Cloud Act. Den franske datatilsynet (CNIL) har påminnet om at Cloud Act skaper en ikke-eliminerbar risiko for europeiske data som er lagret av amerikanske enheter, selv i EU.

Er Certyneo GDPR-samsvarende?

Ja. Certyneo er en fransk enhet, lagret i EU (IONOS Tyskland), ikke underlagt Cloud Act. Data er kryptert i transit (TLS 1.3) og i hvile. Certyneo tilbyr en DPA som er samsvarende med GDPR artikkel 28.

Må en AIPD gjennomføres ved bruk av en signeringsløsning?

En AIPD er ikke systematisk påkrevd for standard elektronisk signatur. Den pålegges hvis du signerer dokumenter som inneholder sensitive data (helse, HR med fagforeningsdata osv.) eller hvis signaturbruken din innebærer profilering eller storskala overvåking.