Säkra elektroniskt signerade dokument: guide 2026

Introduktion

Den elektroniska signaturen har blivit standarden för B2B-utbyten i Europa. Men att signera ett dokument räcker inte: du måste också säkra, arkivera och bevara dessa elektroniskt signerade dokument i enlighet med gällande juridiska ramverk. I Frankrike och Europa ställer förordningar från eIDAS, GDPR och Civillagen strnga krav på integritet, spårbarhet och bevarandeperioder. Den här guiden förklarar steg för steg hur du implementerar en robust arkiveringsstrategi för dina elektroniska signerade dokument — och varför denna åtgärd är oavskiljbar från en seriös elektronisk signeringspolicy.

---

Varför säkring av signerade dokument är högsta prioritet

Risker förknippade med dålig arkivering

Ett elektroniskt signerat dokument förlorar all bevisvärde om det ändras, blir skadad eller är otillgängligt när det måste framvisas — under en juridisk tvist, revision eller skatteövervakning. De konkreta riskerna inkluderar:

• Förlorad integritet: vilken ändring efter signeringen, även mindre, invaliderar signaturen och därmed dokumentets juridiska värde.
• Utgångna certifikat: ett kvalificerat certifikat har en begränsad livslängd (vanligtvis 1 till 3 år). Om dokumentet inte är tidsstämplat eller arkiverat korrekt innan utgångsdatumet kommer dess framtida verifiering att äventyras.
• Teknisk föråldring: filformat utvecklas. Ett PDF-dokument signerat 2018 med en SHA-1-algoritm, som nu anses sårbar, kan orsaka valideringsproblem på lång sikt.
• GDPR-överträdelser: signerade dokument innehåller ofta personuppgifter (namn, förnamn, IP-adress, e-post). Dålig hantering av dessa uppgifter exponerar företaget för CNIL-sanktioner som kan nå 4 % av den globala omsättningen.

Enligt en KPMG-studie från 2024 har 34 % av franska företag ingen formaliserad policy för elektronisk arkivering, vilket exponerar dem för betydande juridiska risker vid tvister.

Bevisvärde: en central fråga

Bevisvärdet för ett elektroniskt signerat dokument vilar på tre grundläggande pelare:

1. Autenticitet: signeraren är verkligen den han eller hon utgör sig för att vara (identitetsverifiering, kvalificerat certifikat).
2. Integritet: innehållet har inte ändrats sedan signeringen (kryptografisk fingeravtryck, SHA-256 eller högre hashing).
3. Icke-förnekning: signeraren kan inte förneka att ha signerat (kvalificerad tidsstämpel, revisionsspår).

Dessa tre pelare måste kunna underhållas över tid, vilket innebär en aktiv och inte passiv arkiveringsstrategi.

---

Tekniska normer för att säkra dina signerade dokument

Långtidssignaturformat: PAdES, XAdES, CAdES

För att garantera ett signerat dokuments långsiktighet definierar normerna ETSI EN 319 132 (XAdES), ETSI EN 319 122 (CAdES) och ETSI EN 319 142 (PAdES) signaturformat lämpade för långtidsarkivering. Det mest använda i praktisk B2B är formatet PAdES (PDF Advanced Electronic Signatures), med dess nivåer:

• PAdES-B: basnivå, lämplig för korta perioder.
• PAdES-T: lägger till en kvalificerad tidsstämpel för att bevisa dokumentets existens vid en specifik tidpunkt.
• PAdES-LT: inkluderar certifikatåterkallningdata, vilket möjliggör validering utan åtkomst till onlinetjänster.
• PAdES-LTA: högsta nivå, lägger till en arkivtidsstämpel som möjliggör periodiska förnyelser. Rekommenderas för alla bevarandetider över 3 år.

För långtidsarkivering är nivån PAdES-LTA referensstandarden som rekommenderas av ANSSI och kvalificerade tjänstleverantörer för betrodda tjänster (QTSP).

Kvalificerad tidsstämpel: hörnstenen i arkiveringen

En kvalificerad tidsstämpel, definierad i artikel 42 i eIDAS-förordningen, utgör juridisk bevis för ett dokuments existens vid en specifik tidpunkt. Den utfärdas av en kvalificerad tidsstämpelsmyndighet (TSA - Time Stamping Authority) registrerad på den europeiska förtroendelistan (EU Trust List).

Konkret gör tidsstämpeln följande:

• Binder kryptografiskt dokumentets fingeravtryck till ett certifierat datum och tid.
• Gör det möjligt att bevisa att signaturen var giltig vid tidpunkten för dess skapelse, även om certifikatet sedan har gått ut.
• Är oumbärlig för att säkerställa dokumentets tillåtlighet i domstol år efter signeringen.

Kryptering och åtkomstkontroll

Bortom de kryptografiska aspekterna relaterade till själva signaturen är den fysiska och logiska säkringen av arkiverade dokument lika kritisk:

• Kryptering i vila: dokument måste krypteras på värdservrar (AES-256 minimum).
• Kryptering under överföring: TLS 1.3-protokoll för all överföring.
• Rollbaserad åtkomstkontroll (RBAC): endast behöriga personer kan få åtkomst till arkiverade dokument.
• Åtkomstloggning: all åtkomst, visning eller nedladdning måste spåras (oföränderliga loggar).
• Geo-redundanta säkerhetskopior: minst två kopior på geografiskt distinkta platser, med regelbundna återställningstester.

---

Strategier för elektronisk arkivering med bevisvärde: SAE och digitalt kassaskåp

Elektroniskt arkiveringssystem (SAE)

Ett elektroniskt arkiveringssystem (SAE) är en infrastruktur dedikerad till långtidsbevarande av digitala dokument med garanti för deras integritet och tillgänglighet. I Frankrike är den tillämpliga standarden normen NF Z42-013 (homologerad till ISO 14641), som definierar kraven för utformning och drift av ett bevisbärt SAE.

Egenskaperna hos ett konformt SAE inkluderar:

• En klassificeringsplan strukturerad med bevarandeväxlingsregler per dokumentkategori.
• En integritetsfingeravtryck beräknad vid inmatningen och verifierad regelbundet.
• En oföränderlig loggning av alla operationer.
• Procedurer för teknikmigrering för att utveckla format utan integritetförlust.
• En säker och granskningsbar åtkomst med stark autentisering.

Att använda sig av ett SAE som hanteras av en kvalificerad tjänstleverantör (typ elektronisk arkivering med bevisvärde - AEVP) gör det möjligt för företag att delegera denna komplexitet samtidigt som de åtnjuter solida avtals- och regelbaserade garantier.

Digitalt kassaskåp: en kompletterande lösning

Det digitala kassaskåpet är en förenklad variant av SAE, orienterad mot slutanvändare. Det gör det möjligt för varje signerare att behålla en personlig, säker och tillgänglig kopia av sina signerade dokument. Denna metod är särskilt relevant för:

• Arbetskontrakt och ändringsprotokoll (tillgängliga för den anställde).
• Allmänna försäljningsvillkor accepterade elektroniskt.
• Onboarding-dokument för kund (KYC, SEPA-uppdrag).

Juridiska bevarandeperioder: vad lagen kräver

Bevarandeperioden för dokument varierar enligt deras juridiska karaktär. Här är de viktigaste datumen att känna till:

| Dokumenttyp | Minsta juridisk varaktighet | Juridisk grund | |---|---|---| | Kommersiella kontrakt | 5 år | Art. L110-4 handelslagstiftningen | | Skattedokument | 6 år | Art. L102 B skattekod | | Anställningskontrakt | 5 år efter uppsägning | arbetslagar | | Privata handlingar | 5 år (personlig åtgärd) | Art. 2224 Civillag | | Bokföringsdokument | 10 år | Art. L123-22 handelslagstiftningen | | Hälsoupplysningar | 20 år minimum | Art. R1112-7 hälsokod |

Dessa perioder måste integreras i arkiveringspolicyn och konfigureras i dokumenthanteringsverktygen.

---

Integrera säkerhet i ditt arbetsflöde för elektronisk signering

Välj en signeringsplattform med inbyggd arkivering

Den bästa strategin är att välja en elektronisk signeringslösning som innehåller arkivering inbyggt, snarare än att hantera två separata verktyg. De väsentliga urvalskriterierna är:

• eIDAS-kvalificering: plattformen måste vara eller förlita sig på en kvalificerad tjänstleverantör för betrodda tjänster (QTSP) registrerad på EU Trust List.
• GDPR-överensstämmelse: datavärd i Europeiska unionen, DPA (databearbetningsavtal) tillgängligt, möjlighet att utöva personers rättigheter.
• Certifierade arkiveringsformat: inbyggt stöd för PAdES-LTA eller motsvarande.
• Fullständigt revisionsspår: varje steg i signeringsprocessen måste spåras och kunna exporteras.
• Integrerings-API: för att koppla plattformen till din befintliga DMS (dokumenthanteringssystem) eller ERP.

För att jämföra tillgängliga marknadsplaceringslösningar, se vår jämförelse av elektroniska signeringslösningar.

Revisionsspåret: ditt bästa skydd vid tvister

Revisionsspåret (eller audit trail) är en kronologisk och oförändlig journal som registrerar alla åtgärder relaterade till ett dokument: sändning, öppning, signering, vägrande, påminnelser. Det utgör ett komplement till signaturen själv.

Ett bevisbärande revisionsspår måste innehålla:

• Kvalificerade tidsstämplar för varje åtgärd.
• IP-adresser och användarmeddelanden för signerare.
• Identifieringsverifieringsidentifierare som används.
• Dokumentmetadata (hash-fingeravtryck).

Vid tvister är det ofta revisionsspåret som gör skillnaden framför domstol, särskilt när en enkel eller avancerad (och inte kvalificerad) signatur har använts.

Automatisera påminnelser om förnyelse och arkivering

En effektiv arkiveringspolicy är framför allt en automatiserad policy. De bästa metoderna inkluderar:

• Automatiska varningar innan certifikat eller tidsstämplar går ut.
• Arbetetsflödesförnyelse för tidsstämpel (timestamp renewal) innan kryptografiska algoritmer blir föråldrade.
• Regelbundna granskningar av listan med arkiverade dokument, med slumpmässig integritetsverifiering.
• Efterlevnadskontrollpanel som gör det möjligt att identifiera dokument vars bevarandeperiod närmar sig slutet.

Dessa automatiseringar är tillgängliga inbyggt i nästa generationens elektroniska signeringsplattformar, som Certyneo för företag.

Juridiska ramverk för säkring och arkivering av signerade dokument

Säker lagring av elektroniskt signerade dokument följer ett tätt reglerat ramverk, vars behärskning är väsentlig för varje organisation som önskar upprätthålla dessa dokument gentemot tredje parter eller framhålla dem inför domstol.

eIDAS-förordningen nr 910/2014 och dess utveckling

Den europeiska förordningen eIDAS (Electronic IDentification, Authentication and trust Services), tillämplig sedan den 1 juli 2016 och som just nu revideras via eIDAS 2.0, fastställer förtroendeframen för elektroniska signaturtjänster i Europa. Den skiljer mellan tre signaturnivåer (enkel, avancerad, kvalificerad) och ställer strikta säkerhetskrav, gransknings- och kontinuerlighetskrav på kvalificerade tjänstleverantörer för betrodda tjänster (QTSP). Artikel 25 erkänner presumtionen om icke-förnekning för kvalificerad signatur. Artikel 42 reglerar kvalificerade tidsstämpeltjänster.

Fransk civillag: artiklarna 1366 och 1367

Artikel 1366 i Civillagen slår fast att "elektronisk text har samma bevisvärde som text på papper, under förutsättning att personen från vilken den kommer kan identifieras behörigen och att den upprättas och bevaras under sådana förhållanden som säkerställer dess integritet". Artikel 1367 klargör de elektroniska signaturernas giltighetsvillkor. Ansvaret för att bevara dokumentet under förhållanden som garanterar integriteten vilar på den organisation som innehar dokumentet.

GDPR nr 2016/679: personuppgiftsskydd i arkiv

Elektroniskt signerade dokument innehåller systematiskt personuppgifter (signerarens identitet, e-postadress, IP-adress, ibland beteenderelaterade biometriska uppgifter). GDPR kräver en juridisk grund för varje behandling, begränsning av bevarandeperioden till det absolut nödvändiga och implementering av lämpliga tekniska och organisatoriska åtgärder (artikel 32). I händelse av dataskada som påverkar arkiv med signerade dokument kräver artikel 33 anmälan till CNIL inom 72 timmar.

NIS2-direktivet (2022/2555/EU)

Implementerat i fransk rätt genom förordning 2024 ställer NIS2-direktivet förstärkta cybersäkerhetskrav på väsentliga och viktiga enheter, inklusive säkring av informationssystem som behandlar känslig data. Arkiveringsplattformar för signerade dokument från berörda organisationer faller inom tillämpningsomfånget.

ETSI-normer och NF Z42-013

Normerna ETSI EN 319 132 (XAdES), ETSI EN 319 122 (CAdES) och ETSI EN 319 142 (PAdES) definierar elektroniska signaturformat som är kompatibla med eIDAS. Standarden NF Z42-013 / ISO 14641 utgör den franska referensramen för utformning och drift av ett elektroniskt arkiveringssystem med bevisvärde. Dess följande rekommenderas starkt av ANSSI och utgör starkt skydd vid eventuell rättslig bestridning.

Sanktioner och risker för bristande efterlevnad

Riskerna är många: dokumentets otillåtlighet inför domstol, CNIL-sanktioner (upp till 20 miljoner euro eller 4 % av den globala omsättningen för större GDPR-överträdelser), ansvar för organisationens avtalsöverträdelse eller brott, och förlust av garantier som erbjuds av signeringsleverantören om bevarandekraven inte har uppfyllts.

Användningsscenarios: hur organisationer säkrar sina signerade dokument

Scenario 1 — Ett advokatbyrå som hanterar tusentals handlingar årligen

Ett affärsadvokatbyrå med 25 medarbetare behandlar i genomsnitt 3 000 handlingar och kontrakt som signeras elektroniskt årligen (transaktionsprotokoll, uppdrag, överlåtelsehandlingar). Inför kravet på att framhålla sju år gamla dokument under en skatteövervakning av en klient, konstaterar byrån att flera signaturer inte längre kan verifieras: certifikaten hade löpt ut och ingen arkivtidsstämpel (PAdES-LTA-nivå) hade tillämpats.

Efter att ha integrerat en signeringslösning med inbyggd arkivering i SAE kompatibel med NF Z42-013 åtnjuter byrån garanterad verifiering på 30 år. Tiden för att söka efter och framhålla ett dokument vid en tviste minskar från 4 timmar till mindre än 15 minuter. Delägarna uppskattar en minskning på 60 % av juridisk risk relaterad till dokumentbevarandeprocessen. För mer information om de specifika behoven hos juridiska byråer, se vår sida om elektronisk signering för juridiska byråer.

Scenario 2 — Ett mindre industriföretag som hanterar leverantörs- och kundkontrakt

Ett mindre industriföretag med 180 anställda genererar cirka 400 leverantörskontrakt och 250 kundkontrakt signerade elektroniskt årligen. Tidigare lagrades dess dokument i en okrypterad delad mapp på en intern server, utan revisionsspår, utan granulär åtkomstkontroll.

Efter en cybersäkerhetshändelse (ransomware) som krypterade en del av servern fick flera pågående kontrakt re-signeras, vilket genererade förseningar och kostnader uppskattade till 40 000 €. Efter migrering till en molnbaserad signeringsplattform med integrerat digitalt kassaskåp, suverän värd i Frankrike och geo-redundanta säkerhetskopior, eliminerar företaget denna risk. Det drar också nytta av automatiska varningar om kontraktets förfallodatum. För att uppskatta avkastningen på investeringen för en sådan åtgärd, använd vår ROI-kalkylator för elektronisk signering.

Scenario 3 — En sjukhusgrupp som hanterar patientsamtycken och personalskontrakt

En sjukhusgrupp med cirka 1 200 sängar måste bevara elektroniskt signerat informerat samtycke från patienter under minst 20 år (artikel R1112-7 i folkhälsokoden), samt anställningskontrakt för sina 2 500 agenter. Mångfalden av dokument och olika bevarandeperioder gjorde manuell hantering omöjlig och riskabel.

Genom att implementera en elektronisk signeringslösning med konfigurerbar arkiveringsmodul per dokumentkategori automatiserar juridiska avdelningen av sjukhusgruppen retentionsreglerna: 20 år för samtycken, 5 år efter uppsägning för personalkontrakt, 10 år för offentliga kontrakt. Interna GDPR-efterlevnadsgranskningar avslöjar att dokumentöverensstämmelsegraden ökar från 67 % till 96 % på mindre än ett år. För sektorspecifika särdrag beskriver vår guide om elektronisk signering inom hälsovård gällande regelbundna begränsningar.

Slutsats

Att säkra och bevara dina elektroniskt signerade dokument är inte ett tillval teknisk bikomst: det är en juridisk skyldighet och en strategisk imperativ för varje organisation som förlitar sig på elektronisk signering i sina affärsprocesser. Mellan eIDAS-efterlevnad, GDPR-krav, ETSI-normer och bevarandeperioder som föreskrivs av handelslagstiftningen är komplexiteten verklig — men helt hanterbar med rätt verktyg.

Nycklarna till en framgångsrik arkiveringsstrategi är tydliga: långtidsignaturformat (PAdES-LTA), systematisk kvalificerad tidsstämpel, säker och suverän värd, automatiserade bevaranderegler och ett komplett revisionsspår.

Certyneo innehåller alla dessa funktioner inbyggt i en molnbaserad plattform utformad för B2B-team. Upptäck hur du långsiktigt skyddar dina signerade dokument genom att testa Certyneo kostnadsfritt eller genom att utforska våra priser.