Elektronisk signatur og RGPD: guide for datvernombud
Innføring av en elektronisk signeringsløsning reiser flere RGPD-spørsmål: hvor er dataene lagret? Hvem kan få tilgang til dem? Er det Cloud Act-risiko? Denne guiden besvarer disse spørsmålene og forklarer hvordan du velger en RGPD-samsvarende løsning for organisasjonen din.
Hvilke personopplysninger behandler en signeringsløsning?
En elektronisk signeringsplattform behandler flere kategorier av personopplysninger.
- Signatarens identitet: navn, fornavn, e-post, telefonnummer
- Dokumentinnhold: potensielt sensitive personopplysninger (arbeidskontrakter, helseopplysninger, finansielle data)
- Revisjonsdata: IP-adresse, timestamp, user-agent
- Atferdsmessige data: håndskriftsignatur på nettbrett (hvis biometrisk QES)
Hosting og overføringer utenfor EU
RGPD krever at personopplysninger ikke overføres utenfor EU unntatt til land som tilbyr tilstrekkelig beskyttelse eller under passende garantier (SCCs, BCRs). For signeringsløsninger betyr dette:
- EU-hosting → innebygd overføring, ingen ekstra formaliteter
- US-hosting med SCCs → mulig men restrisiko Cloud Act
- US-enhet (Cloud Act) → ikke eliminérbar risiko selv med EU-hosting
Amerikansk Cloud Act og elektronisk signatur
Cloud Act (2018) tillater amerikanske myndigheter å få tilgang til data som er lagret av amerikanske bedrifter, selv om dataene er lagret i Europa. DocuSign, Adobe Sign og Dropbox Sign er amerikanske bedrifter underlagt Cloud Act. Certyneo er en fransk enhet, ikke underlagt denne ekstraterritorialiteten.
| Solution | Cloud Act-risikoinivå per løsning |
|---|---|
| Certyneo | Ingen risiko — fransk enhet |
| Yousign | Ingen risiko — fransk enhet |
| DocuSign | Restrisiko — amerikansk enhet |
| Adobe Acrobat Sign | Restrisiko — amerikansk enhet |
| Dropbox Sign | Restrisiko — amerikansk enhet |
DPA og rettslige grunnlag
Databehandlingen av en signeringsløsning må baseres på et gyldig rettslig grunnlag (kontrakt, berettiget interesse eller samtykke). En Data Processing Agreement (DPA) må inngås med signeringleverandøren. Certyneo tilbyr en RGPD-samsvarende DPA som kan signeres elektronisk, med elementer som kreves av RGPD artikkel 28.
Anbefalinger for datvernombud
- 1Velg en leverandør hvis juridiske enhet er domisiliert i EU eller Storbritannia (post-Brexit med adequacy-vedtak)
- 2Kontroller at hosting er eksklusivt i EU, uten replikering på servere utenfor EU
- 3Innhent og underskriv en DPA som er samsvarende med RGPD artikkel 28
- 4Dokumenter konsekvensanalysen (AIPD) hvis du behandler sensitive data i dokumentene dine
- 5Kontroller dataoppbevaringstid og slettingspolicy ved kontraktsslutt
RGPD-spørsmål om elektronisk signatur
- Medfører elektronisk signatur behandling av personopplysninger?
- Ja. E-posten, navnet og potensielt telefonnummeret til signataren samles inn. Dokumentinnholdet kan også inneholde personopplysninger. Signeringleverandøren er en databehandler etter RGPD, underlagt forpliktelsene i artikkel 28.
- Er DocuSign RGPD-samsvarende?
- DocuSign hevder å være RGPD-samsvarende og tilbyr SCCs. Som amerikansk selskap er den imidlertid fortsatt underlagt Cloud Act. Den franske datatilsynet (CNIL) har påminnet om at Cloud Act skaper en ikke-eliminerbar risiko for europeiske data som er lagret av amerikanske enheter, selv i EU.
- Er Certyneo RGPD-samsvarende?
- Ja. Certyneo er en fransk enhet, lagret i EU (IONOS Tyskland), ikke underlagt Cloud Act. Data er kryptert i transit (TLS 1.3) og i hvile. Certyneo tilbyr en DPA som er samsvarende med RGPD artikkel 28.
- Må en AIPD gjennomføres ved bruk av en signeringsløsning?
- En AIPD er ikke systematisk påkrevd for standard elektronisk signatur. Den pålegges hvis du signerer dokumenter som inneholder sensitive data (helse, HR med fagforeningsdata osv.) eller hvis signaturbruken din innebærer profilering eller storskala overvåking.