sajn
BloggSäkerhetGDPR och dokumenthantering för företag – så lagrar du dokument säkert
Säkerhet

GDPR och dokumenthantering för företag – så lagrar du dokument säkert

GDPR ställer hårda krav på dokumenthantering. Den här guiden förklarar hur företag ska hantera avtal, personuppgifter och säker dokumentlagring enligt GDPR – och vad du ska leta efter när du väljer en plattform.

Andreas Enemyr

Andreas Enemyr

02 aug. 2025 - 5 min läsning

Alla företag som hanterar dokument med personuppgifter omfattas av GDPR – och avtal är inget undantag. Anställningsavtal, kundavtal, leverantörsavtal och offerter innehåller namn, personnummer, e-postadresser och ibland känsligare uppgifter. Hur du lagrar, delar och raderar dessa dokument är inte bara en praktisk fråga, utan en juridisk skyldighet. I den här guiden går vi igenom vad GDPR faktiskt kräver av er dokumenthantering och vad ni ska titta efter när ni väljer en plattform för säker dokumentlagring.

Vad säger GDPR om dokumenthantering?

GDPR (General Data Protection Regulation) är EU:s dataskyddsförordning som trädde i kraft 2018. Den reglerar hur personuppgifter får samlas in, behandlas, lagras och raderas. För företag som hanterar dokument innebär det i praktiken sex nyckelprinciper:

  1. Laglighet, korrekthet och öppenhet – du måste ha en rättslig grund för att behandla personuppgifterna, och personen ska förstå hur de används.
  2. Ändamålsbegränsning – personuppgifterna får bara användas för det syfte de samlades in.
  3. Uppgiftsminimering – lagra bara de uppgifter som faktiskt behövs.
  4. Korrekthet – uppgifter ska hållas uppdaterade och felaktiga uppgifter ska rättas.
  5. Lagringsminimering – uppgifter får inte sparas längre än nödvändigt.
  6. Integritet och konfidentialitet – uppgifter ska skyddas mot obehörig åtkomst, förlust och förstörelse.

Det är punkt 6 som driver kraven på säker dokumentlagring: kryptering, åtkomstkontroll, loggning och tydliga rutiner för vem som får se vad.

Var ska företagets dokument lagras?

GDPR kräver inte att alla dokument lagras i EU, men överföringar till länder utanför EU/EES är strikt reglerade efter att Schrems II-domen (2020) underkände Privacy Shield-ramverket mellan EU och USA. I praktiken betyder det att om du använder en dokumentplattform som lagrar data i USA eller anlitar amerikansk molninfrastruktur utan adekvata skyddsåtgärder, riskerar du GDPR-brott.

Det säkraste – och enklaste – är därför att välja en plattform som:

  • Lagrar all data på servrar inom EU/EES
  • Har ett tydligt personuppgiftsbiträdesavtal (DPA) med dig som kund
  • Listar sina underleverantörer öppet
  • Krypterar data både under överföring (TLS) och i vila (AES-256)

Personuppgiftsbiträdesavtal (DPA) – varför det är avgörande

När ni använder en extern plattform för att hantera dokument blir leverantören ett personuppgiftsbiträde. Ni som företag är personuppgiftsansvariga. Relationen mellan er måste regleras i ett personuppgiftsbiträdesavtal (DPA).

Ett DPA ska bland annat reglera:

  • Vilka typer av personuppgifter som behandlas
  • Vilka ändamål som är tillåtna
  • Vilka tekniska och organisatoriska skyddsåtgärder som gäller
  • Vilka underleverantörer som används och hur de är reglerade
  • Vad som händer med datan vid avtalets slut (radering/retur)
  • Hur incidenter ska rapporteras

Innan ni signerar ett avtal med en dokumentplattform: begär deras DPA och läs den. Om leverantören inte kan uppvisa ett DPA, eller om de baseras i USA utan adekvata skyddsåtgärder, är det en röd flagga.

Säker dokumentlagring – checklista för företag

Här är vad du ska kräva av en plattform för dokumenthantering ur ett GDPR-perspektiv:

  1. Datalagring inom EU/EES. All kunddata – dokument, metadata, loggar – ska lagras på servrar inom EU.
  2. Kryptering i vila och under överföring. Minst TLS 1.2 för trafik och AES-256 för lagrad data.
  3. Åtkomstkontroll på rollnivå. Bara de som behöver se ett dokument ska kunna göra det. Två-faktorsautentisering ska vara tillgängligt.
  4. Fullständig revisionslogg. Varje åtkomst, ändring och delning ska loggas med tidsstämpel och IP.
  5. Raderingsrutiner. Ni ska kunna radera dokument på begäran enligt rätten att bli bortglömd.
  6. Backuprutiner med retention. Säkerhetskopior ska vara krypterade och ha tydliga livscykler.
  7. Personuppgiftsbiträdesavtal. Tydligt, läsbart och signerbart.
  8. Lista över underleverantörer. Offentligt tillgänglig – så ni vet exakt var datan hamnar.
  9. Certifieringar och standarder. ISO 27001, SOC 2 eller motsvarande är starka indikatorer på ett moget säkerhetsarbete.
  10. Incidenthantering. Tydlig process för att rapportera intrång inom 72 timmar, i linje med GDPR art. 33.

Hur länge får avtal sparas?

GDPR säger inte exakt hur länge dokument får sparas – det beror på ändamålet och eventuella andra lagar. I Sverige är bokföringslagen ofta styrande: räkenskapsinformation ska sparas i sju år efter räkenskapsårets slut. För anställningsavtal pekar Arbetsmiljöverket och SKR oftast mot tio år efter anställningens slut, för att dokumentera arbetsgivarrelationen vid eventuella anspråk.

Nyckeln är att ha en tydlig gallringspolicy: dokument ska raderas automatiskt när lagringstiden löpt ut, och varje typ av dokument ska ha en dokumenterad retentionsperiod.

Säker dokumenthantering i sajn

sajn är byggt för den svenska marknaden och följer eIDAS, GDPR och svensk avtalsrätt i grunden. För er dokumenthantering innebär det:

  • All data lagras inom EU med tydliga underleverantörsavtal.
  • AES-256-kryptering i vila och TLS 1.3 under överföring.
  • PAdES-försegling av varje färdigsignerat dokument, vilket gör manipulation omedelbart synlig.
  • Fullständig revisionslogg med tidsstämpel, IP och BankID-transaktions-ID för varje händelse.
  • Rollbaserad åtkomst med två-faktorsautentisering som standard.
  • Publik lista över underleverantörersajn.se/underleverantorer.
  • Färdigt personuppgiftsbiträdesavtal som ni kan läsa och signera direkt på sajn.se/personuppgiftsbitradesavtal.
  • Gallringspolicies så att dokument kan raderas automatiskt enligt era retentionsregler.

Sammanfattning

GDPR gör säker dokumentlagring till en grundkompetens – inte en bonusfunktion. För er som företag handlar det om att välja en plattform där datan lagras inom EU, där underleverantörerna är tydliga, där kryptering och åtkomstkontroll är standard och där ett personuppgiftsbiträdesavtal finns på plats.

Med sajn får ni en dokument- och signeringsplattform som uppfyller dessa krav i grunden – utan att ni behöver koppla ihop separata verktyg för kryptering, arkivering och loggning. Vill ni läsa mer om hur vi jobbar med säkerhet? Besök vårt trust-center eller läs om hur vi uppfyller eIDAS-kraven.

Snabbnavigation

Sök efter en sida eller artikel