← Tillbaka till Labb
§

Provenans för "bevisa det"-eran

Skiftet

Något håller på att förändras i hur EU tänker kring förtroende.

I decennier har regelefterlevnad handlat om rapportering: fyll i siffrorna, skriv en berättelse, lämna in ett dokument och lita på att siffrorna stämmer. Den modellen fungerade när insatserna var lägre och systemen enklare.

Den fungerar inte längre.

Mellan 2024 och 2029 rullar EU ut en rad regleringar som delar en gemensam riktning: berätta inte bara vad som hände — visa oss bevisen.

  • Digitalt produktpass (ESPR, i kraft juli 2024) skapar ett ramverk för maskinläsbara produktpass — med data som sammansättning, koldioxidavtryck och andel återvunnet material — som rullas ut produktgrupp för produktgrupp genom delegerade akter. DPP-registret ska vara i drift senast den 19 juli 2026.
  • EU:s avskogningsförordning (stora operatörer från december 2025, enligt ändring) kräver geolokalisering av alla markområden där berörda råvaror producerades, med tillbörlig aktsamhet (due diligence) för att verifiera avskogningsfri status och efterlevnad av produktionslandets lagar.
  • Batteriförordningen (februari 2027) kräver digitala pass för elbils-, industri- (>2 kWh) och lätta transportmedelsbatterier — innehållande sammansättning, koldioxidavtryck och prestandadata, där koldioxidavtrycksdeklarationen ska verifieras av tredje part.
  • CBAM (definitiv fas sedan januari 2026) kräver att importörer rapporterar och betalar för de inbäddade utsläppen från cement, järn och stål, aluminium, gödselmedel, el och vätgas — helst baserat på faktiska produktionsdata, men standardvärden (satta på straffnivåer) tillämpas när faktiska data saknas.
  • EU:s AI-förordning (augusti 2026) kräver att AI-system med hög risk stöder automatisk loggning av händelser, med en grad av spårbarhet som är lämplig för systemets avsedda ändamål.
  • VSME-standarden (kommissionens rekommendation, 30 juli 2025) ger små och medelstora företag ett frivilligt men standardiserat språk för hållbarhetsrapportering — eftersom deras större kunder, som nu omfattas av CSRD-krav, behöver ESG-data från sina leverantörskedjor.

Mönstret i dessa regleringar är konsekvent: strukturerad, maskinläsbar data. Spårbarhet från resultat till källor. Dokumentation av process och metodik. Växande förväntningar på oberoende verifierbarhet.

Rapportering enbart räcker inte för att möta dessa krav. Det saknade lagret är provenans — förmågan att spåra varje resultat tillbaka genom de data, beräkningar och beslut som producerade det.

Gapet

Företagsplattformarna — SAP, Microsoft, Salesforce, Oracle — är starka på att samla in data och producera rapporter. De byggdes för det. Men de byggdes inte kring återspelbar, kryptografiskt förseglad provenans som en grundprincip.

När en revisor frågar “varifrån kommer den här Scope 3-utsläppssiffran?” kan de flesta företagssystem svara “den matades in av den här användaren vid det här datumet.” De kan inte svara “den beräknades från dessa 47 leverantörsdatapunkter, med just den här versionen av emissionsfaktorer, genom den här sekvensen av beräkningar, och här är ett kryptografiskt bevis på att inget av detta har ändrats.”

Företagssystem har granskningsspår, periodlåsningar, versionshantering och åtkomstkontroller. Dessa är nödvändiga men inte tillräckliga. De är policykontroller, inte matematiska garantier. Det finns ingen hashkedja som kopplar ihop varje steg. Inget fingeravtryckssystem som säkerställer dataidentitet. Ingen oföränderlig händelselogg som en extern part kan verifiera oberoende.

Under tiden har företagen längst ner i leverantörskedjan — de små och medelstora företag som all denna data ytterst kommer ifrån — ännu mindre. Leverantörer får allt oftare förfrågningar om hållbarhetsdata från sina kunder, ofta i olika format med olika omfattning. De flesta svarar med kalkylblad. Det finns inget sätt för det mottagande företaget att verifiera varifrån siffrorna kommer.

En arkitekturell ansats

Dessa problem har en gemensam struktur, och den strukturen har en känd lösning — den har bara inte tillämpats på regelefterlevnad ännu.

Content-addressed artifacts. Varje datapunkt — ett källdokument, ett beräkningsresultat, en färdig rapport — identifieras genom den kryptografiska hashen av dess innehåll. Samma innehåll, samma identitet, alltid. Så hanterar Git källkod och så säkerställer Nix reproducerbara byggen. Tillämpad på regelefterlevnad: varje siffra i en rapport har en stabil, verifierbar identitet.

Beslutsregister (decision records). När en process involverar genuina bedömningar — en LLM som klassificerar en utgift, en människa som avgör vilka upplysningar som är tillämpliga, en algoritm som väljer emissionsfaktorer — registreras det valet som ett oföränderligt beslutsregister. Det möjliggör två saker: man kan spåra varför ett specifikt resultat producerades, och man kan spela upp processen senare för att verifiera att den ger samma resultat.

Hashkedjade händelseloggar. Varje steg i processen registreras i en append-only-logg där varje post inkluderar den kryptografiska hashen av föregående post. Att ändra en post ogiltigförklarar alla efterföljande hashar. Den sista hashen — “seal” — är ett enda värde som binder till hela processhistoriken. En revisor kan verifiera kedjan med minimalt verktyg och utan att behöva lita på systemet som producerade den.

Stegklassificering. Varje steg i pipelinen klassificeras utifrån sitt beteende: deterministiskt (ger alltid samma resultat från samma indata), miljöberoende (deterministisk givet en låst verktygsversion), bedömningsbaserat (valet varierar men registreras) eller externt (interagerar med omvärlden). Denna klassificering styr vad som kan återanvändas, vad som måste köras om och vad som måste registreras — automatiskt.

Det här är inte teoretiska koncept. De är beprövade i praktiken: Git, Nix, Bazel och Certificate Transparency använder alla delar av denna ansats. Kombinationen — tillämpad på regulatoriska efterlevnadspipelines — är det som är nytt.

Provenans-hashkedja — hur händelser, artefakter och beslut kopplas samman genom kryptografiska hashar

Hur det ser ut i praktiken

Tänk dig ett svenskt SME som tillverkar komponenter åt en större kund som omfattas av CSRD. Kunden behöver ESG-data från sin leverantörskedja. Idag fyller SME:t i ett frågeformulär. I morgon, med rätt infrastruktur:

SME:t kör en efterlevnadspipeline som hämtar data från deras redovisningssystem, HR-register och energifakturor. Pipelinen validerar, beräknar, bedömer tillämplighet (“om tillämpligt” enligt VSME) och genererar en standardiserad rapport. Varje steg producerar förseglade, fingeravtrycksidentifierade artefakter. Varje bedömning registreras som ett beslut. Hela processen fångas i en manipuleringssäker granskningslogg.

Resultatet är två saker: (1) själva rapporten, och (2) en kryptografisk seal som bevisar hur den producerades.

Kunden tar emot det förseglade paketet och kan verifiera — med minimalt verktyg och utan att lita på SME:ts plattform — att datan producerades genom en definierad process och inte har ändrats. De kan spåra varje siffra tillbaka till dess källa. De behöver inte lita på SME:ts ord; de kan verifiera matematiken.

Det här är inte en ersättning för SAP eller något annat företagssystem. Det är ett annat lager — provenanslagret som sitter under rapporteringsplattformarna och tillhandahåller det de för närvarande inte kan: verifierbara bevisspår.

Liminara

Det är detta jag bygger. Liminara är en runtime som implementerar arkitekturen som beskrivs ovan. Fem kärnkoncept: Artifact (oföränderlig, fingeravtrycksidentifierad data), Op (typat steg med ett beteendeklasser), Decision (registrerat bedömningsval), Run (manipuleringssäker logg + exekveringsplan), Pack (domänspecifikt plugin som tillhandahåller steg och planeringslogik).

Liminara är under aktiv utveckling och kommer att släppas som öppen källkod under Apache 2.0 när det når ett stabilt API. Kärn-runtimen fungerar — DAG-exekvering med parallell fan-out, beslutsregistrering, deterministisk replay, fingeravtrycksbaserad artefaktlagring, manipuleringssäkra händelseloggar, kraschåterställning.

Nästa steg: att bygga domänspecifika packs för regelefterlevnad — med start i VSME för svenska SME:er, sedan digitala produktpass, sedan bredare tillämpningar i leverantörskedjan.

Var jag söker hjälp

Jag är systemarkitekt med trettio års erfarenhet av komplexa system, men jag är inte expert på regelefterlevnad. Det jag har är en arkitektur som naturligt passar de tekniska krav som dessa regleringar skapar. Det jag behöver är domänexpertis:

  • Hållbarhetsrapporteringspraktiker som förstår VSME, CSRD och EU-taxonomin i praktiken — inte bara förordningstexten, utan de verkliga arbetsflödena företag följer och var de kämpar.
  • Leverantörskedjeprofessionella som hanterar DPP-, EUDR- eller batteriförordningskrav och kan hjälpa till att validera om provenansbaserade bevispaket löser en verklig smärtpunkt.
  • SME:er som får ESG-dataförfrågningar från större kunder och som skulle vara villiga att pilottesta en VSME-rapporteringspipeline.
  • Teknikpartners som är intresserade av att bygga verktyg för regelefterlevnad på provenansinfrastruktur.

Om något av detta resonerar — oavsett om du är djupt inne i regelefterlevnad, hanterar en leverantörskedja eller bygger verktyg i detta område — välkomnar jag samtalet.

Peter Bruinsma Proliminal AB | Sverige [E-post] | [LinkedIn] | [GitHub]

Liminara är ett Proliminal-projekt under aktiv utveckling. Kärn-runtimen kommer att släppas som öppen källkod under Apache 2.0. Domänspecifika packs för specifika regleringar är under utveckling.

Referenser

EU-regleringar som nämns:

  • ESPR / Digitalt produktpass — Förordning (EU) 2024/1781, i kraft 18 juli 2024. DPP-krav tillämpas produktgrupp för produktgrupp via delegerade akter. Registerdeadline: 19 juli 2026.
  • EU:s avskogningsförordning — Förordning (EU) 2023/1115, ändrad genom Förordning (EU) 2025/2650. Stora operatörer från 30 december 2025; SME:er från 30 juni 2026.
  • Batteriförordningen — Förordning (EU) 2023/1542. Digitalt pass från 18 februari 2027 för elbils-, industri- (>2 kWh) och lätta transportmedelsbatterier. Koldioxidavtrycksdeklaration på separat tidslinje via delegerade akter.
  • CBAM — Förordning (EU) 2023/956. Definitiv fas sedan 1 januari 2026. Omfattar cement, järn/stål, aluminium, gödselmedel, el, vätgas.
  • EU:s AI-förordning — Förordning (EU) 2024/1689. Artikel 12 (automatisk loggning för AI med hög risk) verkställbar 2 augusti 2026.
  • CSRD — Direktiv (EU) 2022/2464. Våg 1-rapportering aktiv. Omfattningen minskad genom Omnibus I-direktivet (föreslaget februari 2025, antaget februari 2026) till företag med >1 000 anställda och >450 M€ omsättning.
  • VSME — EFRAG Voluntary SME Standard. Kommissionens rekommendation antagen 30 juli 2025. Frivillig, inte bindande.

Arkitekturreferenser:

  • Certificate Transparency — RFC 9162, referensarkitekturen för publikt granskningsbara hashkedjade loggar.
  • JSON Canonicalization Scheme — RFC 8785, deterministisk JSON-serialisering för stabil hashning över plattformar.
Hör av dig →