Bedrövliga Elektroniska Underskrifter (BES)

2020-11-27
Hur bra känns det när en myndighet skriver under sina beslut elektroniskt genom att lägga till meningen "Det här är en elektronisk signatur" i sitt beslut? Ni läste rätt! Det är ett dagsfärskt avtryck hämtat från november 2020. Beslutet innehåller alltså inte någon elektronisk underskrift utan enbart detta tillägg i text i dokumentets löptext. Vi borde väl ändå ha kommit längre än så här? Visserligen är implementationen enkel och tämligen kostnadsneutral, men jag undrar verkligen om den rimmar med omvärldens och eftervärldens förväntningar? Om det är handlingar som ska bevaras under lång tid så skulle man ju på samma tema med regelbundenhet addera dokumentet i ett nytt dokument och göra en notering att den är "Elektroniskt tidsstämplad" och för att visa äktheten skriva in aktuellt datum och klockslag!

 

I en elektronisk underskrift sker regelbundenheten utifrån den förväntade kryptografiska livslängden på den elektroniska underskriften. Kanske fem år. Men om den “elektroniska underskriften” i praktiken inte är elektronisk kanske det uppenbara blir än mer uppenbart. Förhoppningsvis!

Det har passerat ett antal krönikor här genom åren på detta tema och ingen skulle vara gladare än jag om det var ett uttömt ämne. Varje gång vi har tagit upp ämnet har vi hoppats att nu vänder det. För exakt tre år sedan var rubriken Äntligen äntligen äntligen en efterföljare till krönikan (e)IDAS sommarvisa som väckte viss uppmärksamhet sommaren 2017. Det har också passerat någon pekpinne, typ Sluta signera, för att inte blanda ihop den elektroniska underskriften med en signatur, där vi skriver våra initialer på varje sida i exempelvis ett avtal.

Ånyo har hoppets lampa tänts i och med den statliga utredningen Ökad och standardiserad användning av betrodda tjänster i den offentliga förvaltningen Dir. 2020:27/I 2020:01. Den ska bland annat tydliggöra när Avancerade Elektroniska Underskrifter (AES) respektive Kvalificerade Elektroniska Underskrifter (QES) bör användas i den offentliga förvaltningen. Det är ganska långt ifrån den Bedrövliga Elektroniska Underskriften (BES) som beskrevs i ingressen men ett välbehövligt klargörande. I Sverige har vi nöjt oss med Avancerade Elektroniska Underskrifter (AES) till skillnad mot många andra europeiska länder där den mer reglerade Kvalificerade Elektroniska Underskriften (QES) används.

PTS har tillsynsansvaret för tillhandahållare av kvalificerade betrodda tjänster, men eftersom det i praktiken inte finns några svenska aktörer på den nivån är det DIGG:s normerande arbete kring fristående elektroniska underskriftstjänster som har blivit en sorts de facto i Sverige. Åtminstone enligt DIGG och de aktörer som granskats och godkänts av DIGG.  Om inte DIGG hade tagit stafettpinnen här hade det varit ännu bedrövligare är jag rädd. Även om det skulle vara på sin plats att växla upp arbetet, göra hela underskriftslösningen granskningsbar och inte bara avgränsat till fristående tjänster. Det känns också högst rimligt att de elektroniska underskrifterna kan valideras oberoende av vem som är tillhandahållaren av underskriftstjänsten, vilket är  ytterligare ett tillkortakommande idag.

För att grumla bilden lite till kan vi addera Adobe:s roll på området. De har skapat en lista över betrodda certifikatutfärdare vid namn AATL (Adobe Approved Trust List) som innebär att Adobe Reader tänder upp den gröna lampan för underskrifter som är gjorda med, ett av dem, betrott nyckelpar. Det scenariot är absolut vanligast för stämplar, dvs en elektronisk underskrift gjord av en organisation. Det ska i sammanhanget sägas att grön lampa också tänds för kvalificerade elektroniska underskrifter. Det tackar vi för! De underskrifter som görs med de av DIGG godkända fristående underskriftstjänsterna ger inte grönt ljus i Adobes PDF-läsare. Adobe får så klart inte vara normerande på ett område som regleras av en EU-förordning, men i praktiken har de allt för stor inverkan på området.

Stämplarna är i sammanhanget intressanta att ge lite uppmärksamhet. Det är inte lätt att veta för var och en om en fysisk person som verkar i en myndighet, region eller kommun har behörighet att skriva under exempelvis ett beslut. Här gömmer sig en delegationsordning som är långt ifrån digitaliserad.  Om den offentliga organisationen reder ut sin delegationsordning internt och använder det som grund för behörighet till organisationsstämpeln så förenklar det inte bara valideringen utan bevarar också den personliga integriteten för berörda.

Det är ju också på sin plats att fundera på om pandemin har gjort någon nytta här, likt i flera andra fall när digitaliseringen satts på steroider. Pandemin har varit starkt drivande till att frågan har hamnat på dagordningen hos allt fler, men mot bakgrund av att färdvägen är långt ifrån glasklar har marknadens lycksökare samlat sig här och bjuder över varandra i att realisera det som tyvärr blir fler fall av Bedrövliga Elektroniska Underskrifter (BES) som inte går att bevara över tid och som är ljusår från eIDAS-förordningens ambitioner avseende rättssäkerhet.

För tydlighetens skull så är Bedrövliga Elektroniska Underskrifter (BES) inte reglerat i EU-förordningen utan bara ett exempel i mängden på hur illa ställt det faktisk är på det här området. En fördel när botten är nådd, är att det inte kan bli sämre utan bara  bättre. Glöm inte det!