← Tillbaka till katalogen
e_signing / contract_management

DocuSign IAM / DocuSign AI

Begränsad riskMulti-regionVerifierad
Leverantör
DocuSign, Inc. (USA, San Francisco)
Kategori
e_signing / contract_management
Webbplats
https://www.docusign.com/products/iam
Hosting
EU-region tillgänglig för Agreement Data (sedan migrationen till Microsoft Azure EU i april 2026). *Behöver verifieras:* exakt vilket EU-datacenter (Dublin/Frankfurt nämns i tredje-parts-källor men inte uttryckligen på DocuSigns egen sida). Regionsval görs vid account-provisioning — kan **inte** flyttas senare.

Vad det är

DocuSigns "Intelligent Agreement Management"-plattform som kompletterar den klassiska e-signing-tjänsten. Centrala AI-features:

  • Navigator — agreement repository med AI-extraktion av nyckelfält (datum, parter, värden, klausuler) från redan signerade avtal
  • Iris (Agreement AI) — AI-motorn som driver Navigators dataextraktion + insikter
  • Maestro — workflow-orkestrering med AI-steg
  • AI Assist i CLM (Contract Lifecycle Management) — riskanalys och klausul-jämförelser

Navigator finns inkluderad i alla IAM-planer enligt DocuSign och stödjer engelska, franska, tyska med fler språk planerade. Behöver verifieras: om svenska stöds av AI-extraktion 2026.

Typisk dataaccess

  • Alla avtal som signas eller laddas upp till Navigator
  • Avtalstext, parter, datum, belopp, klausulinnehåll
  • Metadata om signeringsflöde, åtkomstlogg, status
  • Vid CLM AI Assist: hela kontraktslivscykeln inkl. tidigare versioner och kommentarer
  • Vid integrationer (Salesforce, MS Dynamics, Workday): kopplad CRM-/HR-data

EU AI Act-bedömning

Risknivå: Limited (GPAI för dataextraktion + transparensplikt enligt Article 50)

Motivering: Iris/Navigator är smal scopad dataextraktion på avtalstext — inte general chatbot. Article 50-transparensplikt gäller för AI-output (extraherade fält bör markeras som AI-genererade). Annex III-gränsfall: om Iris används för automatiserad utvärdering av avtal i kontexter som anställning, kredit, försäkring (Annex III punkt 4 om sysselsättning, punkt 5 om essentiella tjänster) kan high-risk-skyldigheter aktiveras på användarsidan. För revisorbyrå-bruk är detta sällsynt men inte uteslutet.

GDPR-överväganden

Datalagring:

  • Agreement Data lagras i den region som valts vid provisioning — fem regioner: US, Kanada, Europa, Australien, Japan (bekräftat 2026-05-26). Regionen är permanent: "Docusign cannot move customer Agreement Data from one region to another after the initial account provisioning."
  • AI-träning (consent-based, default nej — verifierat 2026-05-26): "Your data is only used for AI/ML training with your consent, and you have the flexibility to manage your consent." Om man samtycker: data "aggregated and anonymized before use", och resulterande modeller "are only available for DocuSign to use". Källa: https://www.docusign.com/products/platform/ai/ai-trust
  • AI-prompts till Iris processas i samma region som account (regional AI-residency, NA/EU/CA/AU). Iris kör på "flexible model infrastructure"; underliggande modeller ej namngivna på AI-sidorna. Azure är långvarig infra-sub-processor; IAM kopplar till frontier-modeller (Claude/Gemini/ChatGPT) via Model Context Protocol enligt rapportering — verifiera mot Trust-sidans sub-processor-lista.
  • Certifieringar (verifierat 2026-05-26): ISO 27001:2022, ISO 27017:2015, ISO 27018:2019, PCI-DSS, SOC 1 Type 2, SOC 2 Type 2 (https://www.docusign.com/trust/compliance/certifications)
  • Retention för AI-extraktions-output separat från avtalsdata — behöver verifieras

Datatransfer: Vid EU-region: data stannar i EU för core operations. Support, telemetry och vissa övriga tjänster kan fortfarande gå till US — behöver verifieras per service. SCC + EU-US Data Privacy Framework tillämpas där överföring sker. DocuSign har Binding Corporate Rules (BCR) som extra lager.

DPA tillgänglig: Ja, via docusign.com/legal/data-processing-agreement. Standard för Business Pro och uppåt, behöver verifieras för lägre tiers (Personal/Standard).

Särskilda risker:

  • Regionsval kan inte ändras efter provisioning — fel val vid setup är permanent (eller kräver helt ny account + migrering)
  • Sub-processor-lista publikt tillgänglig är från 2023 — kund kan inte enkelt verifiera aktuell stack
  • AI-extraktion av "person-mappad" data i avtal (motpartsrepresentanter, undertecknare) är personuppgiftsbehandling
  • Iris stöder begränsad uppsättning språk — svenska AI-extraktion behöver verifieras, annars risk för felaktig kategorisering av svenskspråkiga avtal

Vanliga risker

  • Klient-avtal med tystnadsplikt-information laddas upp till Navigator → AI-extraktion ser hela innehållet
  • AI extraherar belopp/datum fel — byrå förlitar sig på extraktionen utan stickprov, fattar fel beslut
  • Avtal med personuppgifter om tredje part (anställda i klientföretaget, motparter) — Navigator skapar dataset med extraherade fält
  • Integration med CLM-system där byrå har klient-kontrakt blandade med interna avtal — gränser oklara
  • Audit log för AI-extraktions-events behöver verifieras — kritiskt för revisorslagens dokumentationsplikt

Rekommenderade mitigeringar

  • Välj EU-region vid initial account-provisioning — kan inte ändras senare
  • Sätt up separata "rooms"/folders per klient om byrån hanterar klientavtal
  • Behandla AI-extraherade fält som förslag, inte sanning — alltid manuell verifiering vid juridiskt bindande användning
  • Begär aktuell sub-processor-lista skriftligen från DocuSign innan kontraktstecknande (2023-versionen offentligt är otillräcklig)
  • Aktivera audit logging på högsta nivå — krav för revisorslagens dokumentationsplikt
  • Konfigurera retention-policies för avtal som ska gallras enligt GDPR/klientkontrakt

Branschspecifik vägledning – revision/redovisning

Får användas för:

  • E-signering av byråns egna uppdragsavtal med klient (signaturen i sig är väletablerad)
  • Lagring av byråns interna avtal: anställningsavtal, hyresavtal, leverantörsavtal
  • AI-extraktion av byråns egna kontrakts-nyckelfält för internt översiktssyfte
  • Signeringsflöde för klient-godkända handlingar där klienten själv är slut-mottagare

Får INTE användas för:

  • Lagring av klient-konfidentiella avtal som inte är direkt relaterade till revisionsuppdraget (revisorslagen 19 §)
  • AI-extraktion på avtal innehållande klientmedel-uppgifter, bankuppgifter eller skattekänslig info utan särskild riskbedömning
  • Automatiserade beslut baserat på Iris-extraktion utan human review (Annex III-risk vid HR/kredit-användning)
  • Avtal med svenska komplexa formuleringar där AI-extraktionen inte är språkverifierad

Särskild försiktighet vid:

  • Account-provisioning — välj EU-region vid setup, fel val är inte reversibelt
  • CLM AI Assist med riskanalys — kan generera juridiska påståenden som ser auktoritativa ut men är fel
  • Integration mot CRM/HR — AI:n kan se all kopplad data, inte bara avtalsdokumentet
  • Tredjeparts-avtal där motpart inte vet att AI-extraktion sker (Article 50-transparens kan beröra dem)
  • Svenska språkspecifika klausuler — Iris dokumenterat stöd för EN/FR/DE 2026, svenska behöver verifieras

Källor

Relaterade verktyg

Andra verktyg i samma kategori och fas — kan ha liknande överväganden.

Behöver ni hjälp att tolka detta för er specifika byrå?

Boka 30 min →