DocuSign IAM / DocuSign AI
- Leverantör
- DocuSign, Inc. (USA, San Francisco)
- Kategori
- e_signing / contract_management
- Hosting
- EU-region tillgänglig för Agreement Data (sedan migrationen till Microsoft Azure EU i april 2026). *Behöver verifieras:* exakt vilket EU-datacenter (Dublin/Frankfurt nämns i tredje-parts-källor men inte uttryckligen på DocuSigns egen sida). Regionsval görs vid account-provisioning — kan **inte** flyttas senare.
Vad det är
DocuSigns "Intelligent Agreement Management"-plattform som kompletterar den klassiska e-signing-tjänsten. Centrala AI-features:
- Navigator — agreement repository med AI-extraktion av nyckelfält (datum, parter, värden, klausuler) från redan signerade avtal
- Iris (Agreement AI) — AI-motorn som driver Navigators dataextraktion + insikter
- Maestro — workflow-orkestrering med AI-steg
- AI Assist i CLM (Contract Lifecycle Management) — riskanalys och klausul-jämförelser
Navigator finns inkluderad i alla IAM-planer enligt DocuSign och stödjer engelska, franska, tyska med fler språk planerade. Behöver verifieras: om svenska stöds av AI-extraktion 2026.
Typisk dataaccess
- Alla avtal som signas eller laddas upp till Navigator
- Avtalstext, parter, datum, belopp, klausulinnehåll
- Metadata om signeringsflöde, åtkomstlogg, status
- Vid CLM AI Assist: hela kontraktslivscykeln inkl. tidigare versioner och kommentarer
- Vid integrationer (Salesforce, MS Dynamics, Workday): kopplad CRM-/HR-data
EU AI Act-bedömning
Risknivå: Limited (GPAI för dataextraktion + transparensplikt enligt Article 50)
Motivering: Iris/Navigator är smal scopad dataextraktion på avtalstext — inte general chatbot. Article 50-transparensplikt gäller för AI-output (extraherade fält bör markeras som AI-genererade). Annex III-gränsfall: om Iris används för automatiserad utvärdering av avtal i kontexter som anställning, kredit, försäkring (Annex III punkt 4 om sysselsättning, punkt 5 om essentiella tjänster) kan high-risk-skyldigheter aktiveras på användarsidan. För revisorbyrå-bruk är detta sällsynt men inte uteslutet.
GDPR-överväganden
Datalagring:
- Agreement Data lagras i den region som valts vid provisioning — fem regioner: US, Kanada, Europa, Australien, Japan (bekräftat 2026-05-26). Regionen är permanent: "Docusign cannot move customer Agreement Data from one region to another after the initial account provisioning."
- AI-träning (consent-based, default nej — verifierat 2026-05-26): "Your data is only used for AI/ML training with your consent, and you have the flexibility to manage your consent." Om man samtycker: data "aggregated and anonymized before use", och resulterande modeller "are only available for DocuSign to use". Källa: https://www.docusign.com/products/platform/ai/ai-trust
- AI-prompts till Iris processas i samma region som account (regional AI-residency, NA/EU/CA/AU). Iris kör på "flexible model infrastructure"; underliggande modeller ej namngivna på AI-sidorna. Azure är långvarig infra-sub-processor; IAM kopplar till frontier-modeller (Claude/Gemini/ChatGPT) via Model Context Protocol enligt rapportering — verifiera mot Trust-sidans sub-processor-lista.
- Certifieringar (verifierat 2026-05-26): ISO 27001:2022, ISO 27017:2015, ISO 27018:2019, PCI-DSS, SOC 1 Type 2, SOC 2 Type 2 (https://www.docusign.com/trust/compliance/certifications)
- Retention för AI-extraktions-output separat från avtalsdata — behöver verifieras
Datatransfer: Vid EU-region: data stannar i EU för core operations. Support, telemetry och vissa övriga tjänster kan fortfarande gå till US — behöver verifieras per service. SCC + EU-US Data Privacy Framework tillämpas där överföring sker. DocuSign har Binding Corporate Rules (BCR) som extra lager.
DPA tillgänglig: Ja, via docusign.com/legal/data-processing-agreement. Standard för Business Pro och uppåt, behöver verifieras för lägre tiers (Personal/Standard).
Särskilda risker:
- Regionsval kan inte ändras efter provisioning — fel val vid setup är permanent (eller kräver helt ny account + migrering)
- Sub-processor-lista publikt tillgänglig är från 2023 — kund kan inte enkelt verifiera aktuell stack
- AI-extraktion av "person-mappad" data i avtal (motpartsrepresentanter, undertecknare) är personuppgiftsbehandling
- Iris stöder begränsad uppsättning språk — svenska AI-extraktion behöver verifieras, annars risk för felaktig kategorisering av svenskspråkiga avtal
Vanliga risker
- Klient-avtal med tystnadsplikt-information laddas upp till Navigator → AI-extraktion ser hela innehållet
- AI extraherar belopp/datum fel — byrå förlitar sig på extraktionen utan stickprov, fattar fel beslut
- Avtal med personuppgifter om tredje part (anställda i klientföretaget, motparter) — Navigator skapar dataset med extraherade fält
- Integration med CLM-system där byrå har klient-kontrakt blandade med interna avtal — gränser oklara
- Audit log för AI-extraktions-events behöver verifieras — kritiskt för revisorslagens dokumentationsplikt
Rekommenderade mitigeringar
- Välj EU-region vid initial account-provisioning — kan inte ändras senare
- Sätt up separata "rooms"/folders per klient om byrån hanterar klientavtal
- Behandla AI-extraherade fält som förslag, inte sanning — alltid manuell verifiering vid juridiskt bindande användning
- Begär aktuell sub-processor-lista skriftligen från DocuSign innan kontraktstecknande (2023-versionen offentligt är otillräcklig)
- Aktivera audit logging på högsta nivå — krav för revisorslagens dokumentationsplikt
- Konfigurera retention-policies för avtal som ska gallras enligt GDPR/klientkontrakt
Branschspecifik vägledning – revision/redovisning
Får användas för:
- E-signering av byråns egna uppdragsavtal med klient (signaturen i sig är väletablerad)
- Lagring av byråns interna avtal: anställningsavtal, hyresavtal, leverantörsavtal
- AI-extraktion av byråns egna kontrakts-nyckelfält för internt översiktssyfte
- Signeringsflöde för klient-godkända handlingar där klienten själv är slut-mottagare
Får INTE användas för:
- Lagring av klient-konfidentiella avtal som inte är direkt relaterade till revisionsuppdraget (revisorslagen 19 §)
- AI-extraktion på avtal innehållande klientmedel-uppgifter, bankuppgifter eller skattekänslig info utan särskild riskbedömning
- Automatiserade beslut baserat på Iris-extraktion utan human review (Annex III-risk vid HR/kredit-användning)
- Avtal med svenska komplexa formuleringar där AI-extraktionen inte är språkverifierad
Särskild försiktighet vid:
- Account-provisioning — välj EU-region vid setup, fel val är inte reversibelt
- CLM AI Assist med riskanalys — kan generera juridiska påståenden som ser auktoritativa ut men är fel
- Integration mot CRM/HR — AI:n kan se all kopplad data, inte bara avtalsdokumentet
- Tredjeparts-avtal där motpart inte vet att AI-extraktion sker (Article 50-transparens kan beröra dem)
- Svenska språkspecifika klausuler — Iris dokumenterat stöd för EN/FR/DE 2026, svenska behöver verifieras
Källor
- DocuSign IAM produktsida: https://www.docusign.com/products/iam
- DocuSign DPA: https://www.docusign.com/legal/data-processing-agreement
- DocuSign Data Residency: https://www.docusign.com/privacy/data-residency
- DocuSign Trust Center: https://www.docusign.com/trust
- DocuSign AI Trust (consent-based träning): https://www.docusign.com/products/platform/ai/ai-trust
- DocuSign certifieringar (ISO 27001/27017/27018, PCI, SOC 1/2): https://www.docusign.com/trust/compliance/certifications
- DocuSign AI Globalization-blogg (Iris flerspråksstöd): https://www.docusign.com/blog/ai-globalization-at-docusign-empowering-customers-with-multilingual-ai
- Saknas: aktuell sub-processor-lista (publik version från 2023 är föråldrad), namngivna LLM-providers bakom Iris, exakt EU-datacenter-stad, retention för AI-extraktions-output, svenska språkstöds-status 2026, Article 50-disclosure-formulering.
Relaterade verktyg
Andra verktyg i samma kategori och fas — kan ha liknande överväganden.
Behöver ni hjälp att tolka detta för er specifika byrå?
Boka 30 min →