Tre niveauer af elektroniske signaturer
eIDAS-ramme for e-signering i EU
Tre niveauer af elektroniske signaturer
I eIDAS-forordningen defineres tre typer elektroniske signaturer: (Grundlæggende) elektronisk signatur, avanceret elektronisk signatur og kvalificeret elektronisk signatur.
Ifølge eIDAS defineres “elektronisk signatur” som “data i elektronisk form, som er knyttet til eller logisk forbundet med andre data i elektronisk form, og som anvendes af underskriveren til at underskrive”.
Grundlæggende elektronisk signatur
I praksis kan en grundlæggende elektronisk signatur være enhver form for underskrift, der foretages i et elektronisk miljø, hvor underskriveren har givet udtryk for sin hensigt (f.eks. ved at klikke på en knap eller sætte kryds i en boks) om at blive bundet af indholdet af det dokument, der således er underskrevet.
Avanceret elektronisk signatur
Ifølge eIDAS skal “en avanceret elektronisk signatur opfylde følgende krav:
- den er entydigt knyttet til underskriveren;
- den er i stand til at identificere underskriveren;
- den er oprettet ved hjælp af data til oprettelse af elektroniske signaturer, som underskriveren med høj grad af sikkerhed kan anvende under sin egen kontrol, og
- den er knyttet til de data, der er underskrevet med den, på en sådan måde, at enhver efterfølgende ændring af dataene kan påvises”.
I praksis kan disse elementer som unik identitet, enekontrol og integritet af det underskrevne dokument opnås på forskellige måder, uanset hvilken teknologi der anvendes. Det skal bemærkes, at identifikation med henblik på signering kan eller ikke kan være “elektronisk” for at nå op på det avancerede niveau for elektroniske signaturer. Et anerkendt eID sikrer en sikker autentifikation af underskriverens identitet i online-miljøet. I praksis påkalder brugen af kvalificerede elektroniske signaturer et ekstra lag af sikkerhed (eller tillid), der resulterer i en særlig retsvirkning, som skal anerkendes af domstolene i EU.
Kvalificeret elektronisk signatur
Ifølge eIDAS betyder “kvalificeret elektronisk signatur” en avanceret elektronisk signatur, der er oprettet af en kvalificeret enhed til oprettelse af elektroniske signaturer, og som er baseret på et kvalificeret certifikat for elektroniske signaturer”.
En juridisk ramme for elektroniske signaturer
De grundlæggende juridiske principper, der understøtter brugen af elektroniske signaturer, er ikke defineret i eIDAS. De findes snarere i aftaleretten, hvor et tilbud om at indgå en aftale efterfulgt af en accept heraf udgør en bindende aftale. I mangel af lovkrav, der specificerer aftalens form, signaturniveau eller autentifikationsmetode, kan en aftale således indgås på enhver måde, herunder på papir, mundtligt eller med en grundlæggende elektronisk signatur.
eIDAS-forordningen er en retlig ramme for brugen af elektroniske signaturer, men den foreskriver ikke brugen af dem i sig selv og har heller ikke nogen indvirkning på aftaleretten. I forordningen hedder det:
Denne forordning berører ikke national lovgivning eller EU-lovgivning vedrørende indgåelse og gyldighed af kontrakter eller andre retlige eller processuelle forpligtelser vedrørende form.
Faktisk er en grundlæggende elektronisk signatur tilstrækkelig og faktisk juridisk gyldig for langt de fleste private transaktioner, B2B, B2C og mellem privatpersoner. For at fjerne enhver tvivl i denne henseende fastslår eIDAS udtrykkeligt dette grundlæggende princip:
“En elektronisk signatur må ikke nægtes retsvirkning og gyldighed som bevismateriale i retssager alene med den begrundelse, at den er i elektronisk form, eller at den ikke opfylder kravene til kvalificerede elektroniske signaturer.”
Bemærk, at national lovgivning i nogle tilfælde kan kræve mere end en grundlæggende elektronisk signatur, f.eks. når der gælder specifikke KYC-krav (KYC – kend din kunde). Eller, selv om det ikke er et juridisk krav til en gyldig signatur, kan en part måske ønske at autentificere modparten med et vist sikkerhedsniveau, når transaktionen indebærer en høj forretningsrisiko.
Scrives løsning til elektroniske signaturer
eIDAS anerkender, at det at sætte dit navn på en simpel e-mail kan betragtes som en elektronisk underskrift. Dette kan endda være nyttigt og tilstrækkeligt som bevismateriale i retten, men e-mail er primært et kommunikationsværktøj og ikke en kvalitativ løsning til elektroniske signaturer.
En grundlæggende elektronisk signaturløsning af god kvalitet, som Scrive tilbyder, giver som minimum:
- bevis for, at det er hensigten at underskrive
- identitetsoplysninger, herunder IP-adresse, e-mail-adresse og revisionsspor (transaktionslog)
- tilknytning af signaturen til dokumentet
- beskyttelse af dokumentets integritet
Scrives løsning overgår faktisk disse grundlæggende kriterier: Vores avancerede bevispakke sikrer, at de dokumenter, du underskriver med Scrive, selv på det grundlæggende elektroniske signaturniveau, indeholder alle tilgængelige beviser fra underskriftsprocessen. Desuden er hvert dokument en integritetsbeskyttet bevisbeholder, der er praktisk talt uafhængig af Scrive, dvs. at du ikke behøver at stole på Scrive og vores optegnelser for at få adgang til beviserne. Alle beviserne befinder sig i det digitalt forseglede dokument.
Med andre ord er Scrives løsning i overensstemmelse med og langt overgår eIDAS-kravene til grundlæggende elektroniske signaturer.
Scrive’s avancerede elektroniske signaturer
Scrive integrerer lokale versioner af eID-midler i vores e-signeringstjeneste som et middel til sikkert at autentificere en underskriveres identitet ved signering. Dette opfylder de første tre eIDAS-krav til en avanceret elektronisk signatur, nemlig at den er “entydigt knyttet til underskriveren; i stand til at identificere underskriveren; (og) oprettet ved hjælp af data til oprettelse af elektroniske signaturer, som underskriveren med høj grad af sikkerhed kan bruge under sin egen kontrol”.
For at beskytte dokumentintegriteten anvender Scrive i samarbejde med vores leverandør Guardtime en digital signatur (dvs. en “forsegling”, ikke en underskrift i juridisk forstand) ved hjælp af Keyless Signature Infrastructure (KSI-teknologi). Dette opfylder det sidste af de fire eIDAS-krav til en avanceret elektronisk signatur, nemlig at “den er knyttet til de data, der er signeret med den, på en sådan måde, at enhver efterfølgende ændring af dataene kan påvises”.
Da eIDAS er teknologi-neutralt, kan der være flere metoder til at opfylde kravene til en avanceret elektronisk underskrift. Scrive tilbyder løsninger til både KSI-baserede avancerede elektroniske underskrifter, såvel som avancerede elektroniske underskrifter (AES) som er i overensstemmelse med PAdES-standarden (PDF Advanced Electronic Signature).
Scrive’s kvalificerede elektroniske signatur
Scrive tilbyder QES-tjenester i samarbejde med forskellige kvalificerede tillidstjenesteudbydere (QTSP), der er anerkendt af EU, hvilket sikrer, at vores kunder kan vælge den type e-signatur, der passer til deres behov. Hvis du vil have flere oplysninger, kan du kontakte os og læse mere om vores QES-løsning.