eIDAS – överblick över olika nivåer av digitala signaturer
De viktigaste punkterna i ett nötskal:
- Juridiskt giltigt. Europeiska unionens eIDAS-förordning garanterar juridisk giltighet för digitala signaturer. Därmed kan en digital underskrift inte förvägras giltighet som bevis enbart på grund av att underskriften har elektronisk form eller inte uppfyller kraven för kvalificerade elektroniska underskrifter.
- Tre kategorier av signaturer. Digitala signaturer delas in i tre grupper: enkla elektroniska signaturer (SES), avancerade elektroniska signaturer (AES) och kvalificerade elektroniska signaturer (QES). Digital signatur på AES-nivån nyttjar starka identifieringsmetoder såsom BankID och är därför oftast lämpligast.
- Formkrav. I Sverige finns det inga formkrav som kräver användning av kvalificerad elektronisk underskrift. Däremot finns det formkrav om digital signatur i lagstiftningen som ställer krav på avancerade elektroniska underskrifter.
Digital signatur har motsvarande rättslig verkan som traditionella underskrifter enligt lagstiftningen
Enligt artikel 25 i Europeiska unionens eIDAS-förordning , som föreskriver om elektronisk identifiering och betrodda tjänster, har en kvalificerad elektronisk underskrift motsvarande rättsliga verkan som en handskriven underskrift. Endast kvalificerade elektroniska underskrifter (QES) nämns separat i eIDAS-förordningen som föreskriver om den motsvarande rättsliga verkan av elektroniska underskrifter. I artikeln fastställs det i första punkten att en elektronisk underskrift inte får förvägras giltighet som bevis vid rättsliga förfaranden enbart på grund av att underskriften har elektronisk form eller inte uppfyller kraven för kvalificerade elektroniska underskrifter.
Vad avses då med en kvalificerad elektronisk underskrift? Härnäst tar vi ett djupdyk i eIDAS-förordningens djungel och reder ut vad lagboken säger om de olika digitala signaturerna.
eIDAS tre kategorier för digitala signaturer – SES, AES & QES
I EU-lagstiftningen delas digitala signaturer in i tre olika kategorier: elektronisk signatur (electronic signature), avancerad elektronisk signatur (advanced electronic signature, AES) samt kvalificerad elektronisk signatur (qualified electronic signature, QES). Elektronisk signatur på den lägsta nivån kallas även enkel elektronisk signatur (simple electronic signature, SES).
I eIDAS-förordningen definieras en elektronisk underskrift som information i elektronisk form. Informationen är logiskt knutet till annan information i elektronisk form och används av undertecknaren för att skriva under. Med andra ord kan en elektronisk underskrift i sin enklaste form vara ett namn som antecknats på en PDF-fil. Det kallas för en enkel elektronisk signatur på SES-nivån.
Med avancerad elektronisk signatur (AES) avses en elektronisk underskrift som uppfyller kraven i artikel 26 i eIDAS-förordningen, nämligen:
- Undertecknaren ska kunna identifieras med hjälp av underskriften
- Signaturen skall skapas enligt krav för skapande av elektroniska underskrifter som undertecknaren med hög grad av tillförlitlighet kan använda uteslutande under sin egen kontroll
- Signaturen ska vara kopplad till de uppgifter som signeras så att att alla efterföljande ändringar av uppgifterna kan upptäckas.
I eIDAS-förordningen definieras en kvalificerad elektronisk underskrift (QES) som en avancerad elektronisk underskrift som skapas med hjälp av en kvalificerad anordning. Underskriftframställningen är baserad på ett kvalificerat certifikat för elektroniska underskrifter. En kvalificerad elektronisk signatur skiljer sig från de övriga elektroniska signaturerna i det att kvalificerade elektroniska signaturer innehåller kvalificerade certifikat.
AES och QES – certifikatet är skillnaden
Den största skillnaden mellan en kvalificerad elektronisk signatur (QES) och en avancerad elektronisk signatur (AES) är certifikatet. Med certifikat för en elektronisk signatur avses ett elektroniskt intyg som kopplar valideringsuppgifter för en elektronisk underskrift till en fysisk person och bekräftar åtminstone namnet eller pseudonymen på den personen.
Kraven för kvalificerade certifikat för elektroniska underskrifter fastställs i bilaga I till förordningen. I Sverige kan kvalificerade certifikat för elektroniska underskrifter endast beviljas av Post- och Telestyrelsen (PTS). I nuläget finns det inget brett kommersiellt utbud av tjänster för elektroniska signaturer på QES-nivån i Sverige.
Signaturer på QES-nivån med PTS’ certifikat används exempelvis av privatpersoner då invånare inom EU behöver uträtta ärenden med myndigheter i andra medlemsländer än där de är bosatta. QES signaturer fungerar så, att man i samband med signering skapar en krypterad underskrift som mottagaren kan läsa med en publik dekrypteringsnyckel. Dekrypreringsnyckeln möjliggör att mottagaren kan kontrollera undertecknarens uppgifter.
AES oftast bästa alternativet
I avancerade elektroniska signaturer (AES) bekräftas undertecknarnas identitet med metoder som används för stark identifiering, såsom BankID. Dessa kallas också för betrodda tjänster och möjliggör elektroniska signaturer såväl med bärbara datorer som med smarttelefoner. Därför är en elektronisk signeringstjänst på AES-nivån det bästa – och i praktiken det enda – alternativet för bred användning av digital signering hos företag och organisationer i Sverige. Stark identifiering är en digital motsvarighet till uppvisning av en identitetshandling och kopplad till personens officiella identitet. Bakom denna ideologi ligger en tanke om en betrodd aktör som alltid bekräftar personens identitet i samband med identifieringen.
Läs mer: En snabbkurs i enkel och stark identifiering
Elektroniska signaturer på AES-nivån har brett godkännande inom samhällets olika sektorer, bland annat inom finanssektorn – i banker och försäkringsbolag samt i organ inom offentlig förvaltning. Vissa myndigheter har dock lagkrav som styr hur signaturen ska se ut, och det är den myndighet som tar emot det signerade dokumentet som bedömer ifall den digitala signaturen uppfyller deras krav.
Till exempel ska fastighetsöverlåtelser än så länge skötas med signatur på papper. För att ändra på detta bör en förändring göras i lagstiftningen i 4 kap. 1 §, enligt Lantemäteriet. Normaliseringen av elektronisk underskrift framskrider dock med stormsteg i Sverige. Till exempel har Mäklarsamfundet framfört ett förslag till regeringen om att besluta om tillfälliga lagändringar för att avtal skulle kunna genomföras på ett tryggare sätt med digitala signaturer under pandemitid. Lagändringen har dock inte än stigit i kraft men tyder på att digitaliseringen är på god väg att normaliseras i alla sektorer.
Dock är det viktigt att förstå, att i enlighet med artikel 25.1 i eIDAS-förordningen kan en elektronisk underskrift inte förvägras rättslig verkan eller giltighet som bevis vid rättsliga förfaranden enbart på grund av att underskriften har elektronisk form eller inte uppfyller kraven för kvalificerade elektroniska underskrifter. Med andra ord är en elektronisk signatur giltig som bevis i rätten oberoende av signaturens nivå.
Visma Sign – ett nordiskt program för digital signering
Visma Sign erbjuder i första hand digitala signaturer på AES-nivån, men även signaturer på SES-nivån. En signatur med stark identifiering är det överlägset bästa alternativet inom Norden. Svag identifiering på SES-nivån möjliggör global användning av Visma Sign till exempel vid internationella företagskontakter.