Den ultimata guiden till kvalificerade elektroniska signaturer
ZealiD:s uppdrag är att ge fysiska personer möjlighet att utnyttja en digital identitet och underskrift som är erkänd i hela EU och kan användas för tjänster i alla branscher.
Digitaliseringen av företagens produkter och verksamhet, i kombination med en arbetsmiljö som klännetecknas av distansarbete, har förändrat sättet organisation och processer. Behovet av legalt erkända autentiseringsmetoder och elektroniska signaturer ökar och marknaden för digitala underskrifter förväntas uppgå till 5 miljarder USD 2023.
Det råder stor okunskap om lagligheten i elektroniska underskrifter, vilka olika typer av underskrifter som finns och när och hur de ska användas. Det är en utmaning för såväl företag som användare.
ZealiD:s uppdrag är att ge fysiska personer möjlighet att utnyttja en digital identitet och underskrift som är erkänd i hela EU och kan användas för tjänster i alla branscher. Det ger användaren en stor frihet att att ingå alla typer av avtal, få tillgång till banktjänster på ett säkert sätt och registrera sig för reglerade tjänster i hela EU.
ZealiD har sammanställt en vägledning för både användare och tjänsteleverantörer för att hjälpa dem att förstå fördelarna med kvalificerade elektroniska underskrifter.
- Vad är en elektronisk underskrift?
- Finns det olika typer av elektroniska signaturer?
- Detaljer och skillnader för varje signaturtyp:
- Varför ska jag använda en kvalificerad elektronisk signatur?
- När ska jag använda en kvalificerad elektronisk underskrift?
- Vilka är de rättsliga effekterna av en kvalificerad elektronisk underskrift?
- När används kvalificerade elektroniska signaturer oftast?
Vad är en elektronisk underskrift?
EU definierar en elektronisk underskrift som den elektroniska motsvarigheten till en handskriven signatur. Detta innebär att en elektronisk underskrift, precis som sin handskrivna motsvarighet, är ett bevis på identitet och avsikt i en digital miljö och ett lagligt sätt att få samtycke eller godkännande av elektroniska dokument.
Den förordning som standardiserar elektroniska underskrifter i EU kallas eIDAS, vilket står för elektronisk identifiering, autentisering och betrodda tjänster (electronic Identification, Authentication and Trust Services). Observera att detta är en förordning som, i likhet med GDPR, blir nationell lag i alla medlemsstater inklusive Sverige. Genom eIDAS upprättas en struktur för elektronisk identifiering och underskrift i Europa. Dessutom pekar eIDAS på utförliga standarder på området (ETSI) som beskriver utförliga tekniska krav för:
- ID
- Signaturer
- Förseglingar
- Dokument
Elektroniska underskrifter har många fördelar. De gör det möjligt att skriva under dokument på distans när som helst och var som helst och ger större säkerhet och integritet eftersom det signerade dokumentet inte kan ändras. De minskar också koldioxidavtrycket och driftskostnaderna!
eIDAS är den viktigaste lagstiftningen efter PSD2 för EU:s leverantörer av finansiella tjänster. Tack vare ETSI, den viktigaste globala standarden för identitet och underskrifter, ger eIDAS specifik vägledning om hur en betrodda tjänsteleverantör ska ge ut certifikat och underskrifter på distans. Det finns två skäl till varför tjänsteleverantörer behöver kvalificerade underskrifter: 1) lagstiftningen kräver dem eller 2) de är en förutsättning för riskminimering. Den framtida infrastrukturen för finansiella tjänster bygger på ett identitetskoncept med en grund i eIDAS-certifikat och esignaturer.
Philip Hallenborg
CEO
Finns det olika typer av elektroniska signaturer?
Ja. Enligt eIDAS finns det tre erkända typer av elektroniska signaturer, som var och en erbjuder olika nivåer av säkerhet och trygghet:
- Enkel elektronisk underskrift (SES)
Den minst avancerade typen kan vara något som en "Jag accepterar"-knapp i en webbläsare. Även om den är enkel att använda garanterar den inte att signaturen är kopplad till dig och den är inte heller manipuleringssäker. - Avancerad elektronisk underskrift (AES)
Denna underskrift lägger till ytterligare ett säkerhetslager genom att identifiera varje unik undertecknare och upptäcka eventuella ändringar av dokumentet eller uppgifterna. Ofta används kryptografiska nycklar och det kan vara något som BankID, som används i Sverige, eller Signaturit, som används i Spanien. Avancerade underskrifter har höga tekniska standarder och hög kvalitet, men de omfattas inte av stränga krav på tillförlitlighet, pålitlighet eller säkerhet. Och går i princip inte att validera på ett standardiserat sätt. Det finns heller inga krav på att de certifieras och ingen myndighetstillsyn. - Kvalificerad elektronisk underskrift (QES)
Denna typ av signatur har alla säkerhetsfunktioner som en avancerad elektronisk signatur har, men dessutom används ett kvalificerat certifikat och en flerfaktorsautentisering för att identifiera undertecknaren. Det är den enda underskrift som uttryckligen erkänns som den rättsliga motsvarigheten till en handskriven signatur i alla EU:s medlemsstater. En QeS har en tredjepartsgaranti som kräver särskild certifiering och revision samt standardiserade metoder som kräver högsta möjliga säkerhetscertifiering. Dessutom står kvalificerade betrodda tjänsteutöverade under myndighetstillsyn. ZealiDs underskrifter är alltid kvalificerade.
Detaljer och skillnader för varje signaturtyp:
Vill du få en kostnadsfri konsultation?
Get in touch
"Integritet är ett av de viktigaste förbättringsstegen från avancerade signaturer till kvalificerade signaturer. Den kvalificerade underskriften skapas i en kontrollerad och granskad miljö med hjälp av pålitliga processer och verifierad teknik."
Robert Hoffman Quotes
Säkerhetsansvarig ZealiD
Varför ska jag använda en kvalificerad elektronisk signatur?
För att avgöra vilken elektronisk signatur som passar dina behov bör du ta hänsyn till dessa fyra huvudfrågeställningar:
- Autenticitet - Måste underskriften vara unik för undertecknaren?
- Identitet - Kräver underskriften en kvalificerad (lagenlig) identitetskontroll?
- Integritet - Ska underskriften möjliggöra att eventuella senare ändringar av data upptäcks?
- Autentisering - Har undertecknaren fullständig kontroll över underskriften?
Om svaret är ja på alla ovanstående frågor är en kvalificerad elektronisk signatur (QES) lösningen. Det kan även finnas andra skäl (lagkrav eller riskhänsyn) som gör att QES skall användas. QES är den säkraste metoden och representerar den högsta underskriftslösningen i en digital miljö och kan till och med anses vara säkrare än en handskriven signatur. Den omvända bevisbördan (följer av ENISAs publikationer), möjligheten att validera underskriften och den garanterade verifieringen av identiteten ger stora säkerhetsfördelar. Valideringen gör det möjligt för en person att kontrollera när ett dokument undertecknades och tillhandahåller de kryptografiska uppgifterna för att bevisa detta. Inga svenska avancerade underskrifter i Sverige kan valideras på ett bra sätt för en oberoende förlitande part (ex BankID). Det är endast möjligt med en QES mot EUs betrodda lista, vilket innebär att det är den säkraste formen av underskrift och enda som ger äkta effekt av en handskriven underskrift.
En QES kan endast utfärdas av en kvalificerad tillhandahållare av betrodda tjänster (Qualified Trust Service Provider, QTSP), som övervakas av en tillsynsmyndighet i en medlemsstat (t.ex. Bundesnetzagentur i Tyskland) och som finns med i de nationella förteckningarna över betrodda tjänster (NationalTrusted Lists). QTSP:er är starkt reglerade och måste klara varje test för att uppfylla eIDAS-kraven. ZealiD är en QTSP och Sveriges första och enda utfärdare av kvalificerade certifikat och signaturer.
Kvalificerade elektroniska underskrifter kan dessutom endast skapas med hjälp av en kvalificerad signaturframställningsenhet (QSCD) med särskild programvara och hårdvara som säkerställer att:
- Endast undertecknaren har kontroll över sin nyckel.
- Den genererade underskriftens data hanteras av en QTSP.
- De skapade underskriftsuppgifterna är konfidentiella och skyddade mot förfalskning.
För närvarande är det mycket få leverantörer som kan tillhandahålla kvalificerade underskrifter i smartphones. Utan istället kräver många leverantörer användning av ett extra smartkort eller en extra enhet (dosa). Genom en unik infrastruktur erbjuder ZealiD en smartphone-lösning som utnyttjar specifik hårdvara, programvara och certifieringar för att hålla certifikat och nyckelpar på serversidan.
När ska jag använda en kvalificerad elektronisk underskrift?
En kvalificerad elektronisk signatur (QES) kan ofta vara ett juridiskt krav t ex vid konsumentlån. I Europa kräver många situationer en QES enligt lag och beroende på EU:s medlemsland kan det också vara den obligatoriska standarden för elektroniska underskrifter.
Eftersom en QES har samma rättsliga verkan som en handskriven underskrift kan den användas i alla situationer som vanligtvis skulle kräva en skriftlig signatur, t.ex. vid undertecknande av ett kontrakt.
I situationer där en QES inte är obligatorisk är det ändå en bra idé att använda en QES. Den höga säkerhetsnivån, möjligheten att validera underskriften, den omvända bevisbördan och den sinnesfrid som en QES ger är oöverträffbar.
Vilka är de rättsliga effekterna av en kvalificerad elektronisk underskrift?
Elektroniska underskrifter i alla former kan vara juridiskt giltiga i EU medlemsstaters domstolar, men icke-standardiserade simple och advanced signatures kan behöva bevisa underskriftens integritet om underskriften ifrågasätts i domstol. En kvalificerad elektronisk signatur (QES) är den enda signatur som ger undertecknaren en standardiserad lösning som inte kan förkastas.
I praktiken innebär detta att en enkel eller avancerad signatur kan komma att bestridas i domstol - med alla tillhörande kostnader och resurser som krävs för att bevisa giltigheten. En QES-signatur å andra sidan bygger på de högsta standarder som fastställs i EU-förordningen och måste bevisas vara ogiltig av den tvistande parten snarare än giltig av undertecknaren (enligt ENISA). Det innebär att om en QES ifrågasätts ligger bevisbördan på den ifrågasättande parten snarare än på undertecknaren. Det gör användningen av en QES till ett säkrare och mer ekonomiskt val än att förlita sig på en mindre avancerad elektronisk signatur och riskera att behöva bevisa dess giltighet i en EU-domstol.
Vill du få en kostnadsfri konsultation?
Get in touch
När används kvalificerade elektroniska signaturer oftast?
Alla elektroniska signaturer har vissa gemensamma fördelar, t.ex. tidsbesparing, mindre pappersarbete och möjlighet att underteckna ett dokument på distans. Nedan följer några praktiska exempel på när du kan använda en kvalificerad elektronisk underskrift (QES).
- Underskrift av elektroniska kontrakt eller dokument där lagen kräver en QES. Det kan handla om till exempel ett konsumentkreditavtal, ett anställningsavtal eller en skattedeklaration.
- Underskrift av dokument med hög risk/högt värde. Även om ett dokument inte kräver användning av en QES enligt lag rekommenderas det starkt när det gäller dokument som digitaliserade inteckningar och lånegarantier, eftersom detta undanröjer risken för att någon avtalspart ifrågasätter den elektroniska underskriften.
- Att skriva under ett dokument för att bekräfta dess ursprung. Underskrift av dokument inom ett företag kan anses ha låg risk, men när det gäller utgående meddelanden och dokument kan företag och organisationer använda en QES för att validera dessa med hjälp av högsta möjliga säkerhet. I detta fall ger QES sinnesro genom sin juridiska giltighet och förmågan att garantera undertecknarens identitet.
- Underskrift av kommersiella anbud. Processer som kräver mycket pappersarbete är ofta tidskrävande, vilket innebär att de också är kostsamma, resurskrävande och skapar större utrymme för mänskliga fel. Användningen av en QES kan öka tillförlitligheten i offentliga upphandlingsprocesser och spara tid och pengar.
- Undertecknande av juridiskt tillstånd. Att överföra rätten att juridiskt agera på en undertecknares vägnar till en annan part kan vara användbart i många situationer. Ett företag kan till exempel vilja ge en revisor fullmakt att handla för företagets räkning. Andra sådana situationer kan vara att underteckna, välja in eller samtycka till villkor när man blir ny kund hos en bank.
- Undertecknande av konfidentiella eller juridiska dokument. Dokument av stor betydelse, t.ex. sekretessavtal, avtal om överföring av material, avtal om konkurrensförbud och anställningsavtal, bör alltid undertecknas och förseglas med en signatur som kan valideras fullt ut. Dessa kontrakt och dokument kan alla sluta med att bestridas i en domstol, vilket gör att en handskriven eller kvalificerad elektronisk signatur är det bästa valet för att säkerställa att de inte kan förkastas.
Hur vet jag om ett dokument har undertecknats med en kvalificerad elektronisk underskrift?
Validering är en av de största fördelarna med att använda en kvalificerad elektronisk signatur (QES). För kvalificerade underskrifter är valideringen standardiserad och framgår av en pdf. Kryptografiska bevis i kombination med den garanterade identitetsverifieringen är aspekter som är mycket värdefulla när det gäller att kontrollera och bekräfta en elektronisk underskrift. Den finns inte med avancerade underskrifter.
Det finns två sätt att validera en QES:
- Adobe Reader
Så länge programvaran är uppdaterad med en aktuell version av EU:s tillförlitliga lista kan Adobe Reader användas för att validera en QES utan kostnad. Denna åtgärd görs automatiskt när Adobe Reader startas och kräver ingen användarinteraktion. Du kan också välja att öppna signaturpanelen för att undersöka underskrifterna och de tillhörande certifikaten mer ingående. - EU DSS Tool
EU DSS Tool är en demonstrationswebbapplikation som förvaltas direkt av Europeiska kommissionen. För att validera en QES laddar du helt enkelt upp det underskrivna dokumentet och får en valideringsrapport.
Det finns olika fördelar med att använda varje verktyg. Adobe Reader är en allmänt integrerad programvara och kan validera dokument i en offlinemiljö, så länge den är uppdaterad. Det här alternativet lämpar sig bäst för skrivbordsanvändning och i fall där en valideringsrapport inte behövs. EU DSS-verktyget är mobilvänligt och eftersom det kräver en internetanslutning kan du ladda upp ditt dokument och ladda ner rapporten direkt till din enhet. Rapporten kan sedan användas som ett valideringsintyg i pappersform om du skulle behöva det.