Sluta signera
2019-10-25 Varför är det så många som talar om att signera när vi egentligen talar om elektroniska underskrifter?
Med elektronisk underskrift menas krypterade uppgifter i elektronisk form som är fogade till eller logiskt knutna till andra uppgifter i elektronisk form, för att säkerställa de senares ursprung och dataintegritet. Formen är reglerad inom ramen av eIDAS-förordningen. Vad som menas med signering är i juridisk mening en liten signatur på varje sida i exempelvis ett avtal.
Det finns en rad formkrav som torde vara enkla att ställa, exempelvis krav på format som PAdES och XAdES. Det torde också vara enkelt att ställa kvalitetskrav på den elektroniska underskriften som i praktiken finns i tre nivåer, men endast två är reglerade i förordningen, avancerade respektive kvalificerade elektroniska underskrifter.
I Sverige finns inte, i motsats till flera andra länder i EU, någon tradition att använda kvalificerade elektroniska underskrifter som har de högre kvalitetskraven. I svensk lagstiftning ställs för närvarande heller inte några krav på att använda kvalificerad elektronisk underskrift. När det i svensk lag anges att handlingar kan undertecknas elektroniskt är det avancerad elektronisk underskrift som omnämns.
Exempelvis 13 § i 1:a kapitlet Aktiebolagslag (2005:551) uttrycker att en handling som ska vara undertecknad får, om något annat inte anges, undertecknas med en sådan avancerad elektronisk underskrift som avses i artikel 3 i eIDAS-förordningen.
Fler exempel är Skolverkets föreskrifter om Betygskatalog (SKOLFS 2011:123) som uttrycker om betygskatalogen förs elektroniskt får uppgiften i stället skrivas under elektroniskt. Det ska ske med en sådan avancerad elektronisk underskrift som avses i artikel 3 i eIDAS-förordningen.
Certezza
har belyst detta flera gånger om. Redan 2017 gjordes två tydliga avtryck, lagom till sommaren publicerades krönikan som avslutades med (e)IDAS sommarvisa och senare under hösten krönikan Elektroniska underskrifter – Äntligen äntligen äntligen! Om (e)IDAS sommarvisa gjorde mig rörd till tårar när några kollegor framförde vårvintern 2017, så kände jag starkt när jag hösten 2017 uttryckte -Kanske är det också under denna höst som just eIDAS-förordningen äntligen vackert färgar av sig och gör många frågor till icke-frågor så som sig bör till hösten.
Hur blev det egentligen med den saken? Trots att det aldrig varit enklare att kravställa elektroniska underskrifter så verkar eIDAS förordningen hittills blåst förbi utan några större avtryck. Trots att EU-förordningen trädde i kraft redan juli 2016 och som alla vet gäller EU-förordningar som svensk lag.
eIDAS-förordningen innebär att det finns ett allmänt krav på att en underskrift inte får avvisas enbart baserad på det faktum att den är elektronisk. Det innebär att praxis ändrats, från att pappersdokument gäller om inte särskilda regler godkänner elektroniska dokument, till att elektroniska dokument gäller om inte särskilda formkrav förbjuder det.
I väldigt många sammanhang väcks frågan hur man i den analoga världen kan se om handlingen är elektroniskt underskriven. Visst, det går se det digitala beviset och det går att digitalt verifiera det, men önskan är att det ska finnas ett synligt bevis likt dem i den analoga värden. Kanske en inklippt namnteckning eller en bild som säger att “handlingen är elektroniskt underskriven”. Här finns en utmaning som inte ska underskattas i transformationen från att tänka analogt till att bli digital på riktigt. Denna utmaning ska inte underskattas även om det också väcker ett och annat leende.
Trots att det finns en tydlighet och att ambitionsnivån i Sveriges än så länge håller sig på nivån avancerad elektronisk underskrift, så återfinns detta inte i de upphandlingsunderlag som passerar. I praktiken riskerar allt fler att producera elektroniska underskrifter som inte har tillräcklig kvalité. Sedan ska de sägas att det råder fri bevisprövning i Sveriges så även en undermålig digital signatur kan ha ett värde.
Ni läste rätt, jag skrev signatur, för de som talar om signaturer när de menar elektroniska underskrifter följer sällan eller aldrig kraven, eller ens känner till kraven som eIDAS-förordningen ställer!
