DocuSign IAM / DocuSign AI
- Leverantör
- DocuSign, Inc. (USA, San Francisco)
- Kategori
- e_signing / contract_management
- Hosting
- EU-region tillgänglig för Agreement Data (sedan migrationen till Microsoft Azure EU i april 2026). *Behöver verifieras:* exakt vilket EU-datacenter (Dublin/Frankfurt nämns i tredje-parts-källor men inte uttryckligen på DocuSigns egen sida). Regionsval görs vid account-provisioning — kan **inte** flyttas senare.
Vad det är
DocuSigns "Intelligent Agreement Management"-plattform som kompletterar den klassiska e-signing-tjänsten. Centrala AI-features:
- Navigator — agreement repository med AI-extraktion av nyckelfält (datum, parter, värden, klausuler) från redan signerade avtal
- Iris (Agreement AI) — AI-motorn som driver Navigators dataextraktion + insikter
- Maestro — workflow-orkestrering med AI-steg
- AI Assist i CLM (Contract Lifecycle Management) — riskanalys och klausul-jämförelser
Navigator finns inkluderad i alla IAM-planer enligt DocuSign och stödjer engelska, franska, tyska med fler språk planerade. Behöver verifieras: om svenska stöds av AI-extraktion 2026.
Typisk dataaccess
- Alla avtal som signas eller laddas upp till Navigator
- Avtalstext, parter, datum, belopp, klausulinnehåll
- Metadata om signeringsflöde, åtkomstlogg, status
- Vid CLM AI Assist: hela kontraktslivscykeln inkl. tidigare versioner och kommentarer
- Vid integrationer (Salesforce, MS Dynamics, Workday): kopplad CRM-/HR-data
EU AI Act-bedömning
Risknivå: Limited (GPAI för dataextraktion + transparensplikt enligt Article 50)
Motivering: Iris/Navigator är smal scopad dataextraktion på avtalstext — inte general chatbot. Article 50-transparensplikt gäller för AI-output (extraherade fält bör markeras som AI-genererade). Annex III-gränsfall: om Iris används för automatiserad utvärdering av avtal i kontexter som anställning, kredit, försäkring (Annex III punkt 4 om sysselsättning, punkt 5 om essentiella tjänster) kan high-risk-skyldigheter aktiveras på användarsidan. För revisorbyrå-bruk är detta sällsynt men inte uteslutet.
GDPR-överväganden
Datalagring:
- Agreement Data lagras i den region som valts vid provisioning (US/EU/CA/AU/JP)
- AI-prompts till Iris processas i samma region som account enligt DocuSigns AI Globalization-blogg
- Behöver verifieras: om Iris använder OpenAI/Anthropic-modeller via API (i så fall sker delegerad processing i provider-region) eller DocuSigns egna modeller
- Sub-processor-lista publik är från augusti 2023 — kraftigt föråldrad, behöver aktuell version
- Retention för AI-extraktions-output separat från avtalsdata — behöver verifieras
Datatransfer: Vid EU-region: data stannar i EU för core operations. Support, telemetry och vissa övriga tjänster kan fortfarande gå till US — behöver verifieras per service. SCC + EU-US Data Privacy Framework tillämpas där överföring sker. DocuSign har Binding Corporate Rules (BCR) som extra lager.
DPA tillgänglig: Ja, via docusign.com/legal/data-processing-agreement. Standard för Business Pro och uppåt, behöver verifieras för lägre tiers (Personal/Standard).
Särskilda risker:
- Regionsval kan inte ändras efter provisioning — fel val vid setup är permanent (eller kräver helt ny account + migrering)
- Sub-processor-lista publikt tillgänglig är från 2023 — kund kan inte enkelt verifiera aktuell stack
- AI-extraktion av "person-mappad" data i avtal (motpartsrepresentanter, undertecknare) är personuppgiftsbehandling
- Iris stöder begränsad uppsättning språk — svenska AI-extraktion behöver verifieras, annars risk för felaktig kategorisering av svenskspråkiga avtal
Vanliga risker
- Klient-avtal med tystnadsplikt-information laddas upp till Navigator → AI-extraktion ser hela innehållet
- AI extraherar belopp/datum fel — byrå förlitar sig på extraktionen utan stickprov, fattar fel beslut
- Avtal med personuppgifter om tredje part (anställda i klientföretaget, motparter) — Navigator skapar dataset med extraherade fält
- Integration med CLM-system där byrå har klient-kontrakt blandade med interna avtal — gränser oklara
- Audit log för AI-extraktions-events behöver verifieras — kritiskt för revisorslagens dokumentationsplikt
Rekommenderade mitigeringar
- Välj EU-region vid initial account-provisioning — kan inte ändras senare
- Sätt up separata "rooms"/folders per klient om byrån hanterar klientavtal
- Behandla AI-extraherade fält som förslag, inte sanning — alltid manuell verifiering vid juridiskt bindande användning
- Begär aktuell sub-processor-lista skriftligen från DocuSign innan kontraktstecknande (2023-versionen offentligt är otillräcklig)
- Aktivera audit logging på högsta nivå — krav för revisorslagens dokumentationsplikt
- Konfigurera retention-policies för avtal som ska gallras enligt GDPR/klientkontrakt
Branschspecifik vägledning – revision/redovisning
Får användas för:
- E-signering av byråns egna uppdragsavtal med klient (signaturen i sig är väletablerad)
- Lagring av byråns interna avtal: anställningsavtal, hyresavtal, leverantörsavtal
- AI-extraktion av byråns egna kontrakts-nyckelfält för internt översiktssyfte
- Signeringsflöde för klient-godkända handlingar där klienten själv är slut-mottagare
Får INTE användas för:
- Lagring av klient-konfidentiella avtal som inte är direkt relaterade till revisionsuppdraget (revisorslagen 19 §)
- AI-extraktion på avtal innehållande klientmedel-uppgifter, bankuppgifter eller skattekänslig info utan särskild riskbedömning
- Automatiserade beslut baserat på Iris-extraktion utan human review (Annex III-risk vid HR/kredit-användning)
- Avtal med svenska komplexa formuleringar där AI-extraktionen inte är språkverifierad
Särskild försiktighet vid:
- Account-provisioning — välj EU-region vid setup, fel val är inte reversibelt
- CLM AI Assist med riskanalys — kan generera juridiska påståenden som ser auktoritativa ut men är fel
- Integration mot CRM/HR — AI:n kan se all kopplad data, inte bara avtalsdokumentet
- Tredjeparts-avtal där motpart inte vet att AI-extraktion sker (Article 50-transparens kan beröra dem)
- Svenska språkspecifika klausuler — Iris dokumenterat stöd för EN/FR/DE 2026, svenska behöver verifieras
Källor
- DocuSign IAM produktsida: https://www.docusign.com/products/iam
- DocuSign DPA: https://www.docusign.com/legal/data-processing-agreement
- DocuSign Data Residency: https://www.docusign.com/privacy/data-residency
- DocuSign Trust Center: https://www.docusign.com/trust
- DocuSign AI Globalization-blogg (Iris flerspråksstöd): https://www.docusign.com/blog/ai-globalization-at-docusign-empowering-customers-with-multilingual-ai
- Saknas: aktuell sub-processor-lista (publik version från augusti 2023 är föråldrad), specifikation av LLM-providers bakom Iris (egen modell eller OpenAI/Anthropic-API?), exakta EU-datacenter-städer, retention för AI-extraktions-output, Article 50-disclosure-formulering i UI:t, svenska språkstöds-status för AI-extraktion 2026.
Relaterade verktyg
Andra verktyg i samma kategori och fas — kan ha liknande överväganden.
Behöver ni hjälp att tolka detta för er specifika byrå?
Boka 30 min →