När ett digitalt dokument behöver signeras kan organisationer och privatpersoner använda sig av elektroniska signaturer.
Dessa är digitala motsvarigheter till handskrivna signaturer och fyller samma funktion.
Men alla elektroniska signaturer är inte skapade på samma sätt.
Låt oss gå igenom de tre nivåerna av elektroniska signaturer enligt eIDAS och var de elektroniska stämplar passar in.
Vilka är de tre typerna av elektroniska signaturer?
eIDAS definierar en elektronisk signatur på följande sätt:
“An electronic signature is a data in electronic form which is attached to or logically associated with other data in electronic form and which is used by the signatory to sign, where the signatory is a natural person.”
Samtidigt beror den juridiska tyngden en elektronisk signatur har på vilken typ det är.
Enligt eIDAS-förordningen delas elektroniska signaturer in i tre olika nivåer, med olika krav på verifiering och juridisk giltighet.
Dessa hänger ihop med de tre säkerhetnivåerna i EUDI-ramverket - låg, betydande eller hög - som avser graden av tillit till en persons uppgivna identitet.
Låt oss gå igenom de tre typerna av signaturer och deras användningsområden.
Mer information om de olika tillitsnivåerna finns i "eIDAS Levels of Assurance i olika nationella systemen för e-legitimationer".
De tre nivåerna av elektroniska signaturer förklarad
En enkel signatur på en pekskärm är tekniskt sett en elektronisk signatur. Den är också en kryptografisk verifierad signatur som är knuten till en nationell e-legitimation.
Vad du ska använda beror på din situation och hur säker du behöver vara på undertecknarens identitet. De tre nivåerna bygger på varandra, och varje nivå måste uppfylla minimikraven för nivån under.
Nivå 1: Enkla elektroniska signaturer (SES)
Detta avser varje elektronisk indikation på en avsikt att signera. På denna nivå finns inga specifika krav på identitetsverifiering, certifikat eller skydd mot ändringar.
Exempel på enkla elektroniska signaturer:
- Klistra in en skannad handskriven signatur i ett dokument, till exempel en PDF
- Skriva ditt namn i ett e-postmeddelande som rör avtal
- Klicka på "Jag godkänner" i ett onlineformulär
- Rita ett på en pekskärm
Enkla elektroniska signaturer räcker för de flesta situationer med låg risk, till exempel kvittenser, samtyckesformulär för anställda och användarvillkor online.
Men i situationer där starkare bevis på identitet krävs behövs en mer avancerad lösning.
Nivå 2: Avancerade elektroniska signaturer (AES)
Avancerade elektroniska signaturer är ett tydligt steg upp från SES och ger ett kryptografiskt bevis på undertecknarens identitet.
Enligt eIDAS måste en signatur uppfylla vissa krav för att betraktas som AES:
- Den ska vara unikt kopplad till undertecknaren och kunna identifiera denna
- Undertecknaren ska ha kontrollen över signeringen
- Alla efterföljande ändringar i den ursprungliga signaturen ska kunna upptäckas
I praktiken innebär detta ofta att undertecknaren använder en nationell e-legitimation för att autentisera sig. Signaturen kopplas då kryptografiskt till dokumentet, vilket gör framtida ändringar enkla att upptäcka.
När någon öppnar ett AES-signerat dokument visas undertecknarens namn direkt i signaturpanelen. Mottagaren kan därmed direkt se vem som har signerat utan att behöva kontrollera externa källor.
Avancerade elektroniska signaturer används ofta för avtal, låneansökningar och andra överenskommelser där en verifierad personlig signatur krävs.
Idura arbetar med att erbjuda personbaserad AES. Om du är intresserad kan du anmäla dig för early access.
Nivå 3: Kvalificerade elektroniska signaturer (QES)
För de flesta avtal räcker avancerade elektroniska signaturer.
Men i vissa branscher kräver regelverk en ännu starkare metod.
Det är där QES kommer in i bilden. Kvalificerade elektroniska signaturer har två ytterligare krav:
- En QES måste skapas med en kvalificerad enhet för skapande av signaturer (QSCD). Dessa är smartkort, SIM-kort, USB-minnen etc. som kan skydda personens data för skapande av elektronisk signatur.
- QES måste baseras på ett kvalificerat certifikat som utfärdas av en leverantör med en officielt "kvalificerad" status från en nationell myndighet. Dessa leverantörer finns på EUs Trusted List.
Ett exempel på där QES behövs är den norska energissektorn. Här kräver regelverk att elbolag samlar in QES som bevis på kundens samtycke vid byte av leverantör.
Detta är möjligt eftersom Stø, bolaget bakom norska BankID, finns med på EU:s Trusted List, medan danska MitID och svenska BankID ännu inte omfattas av motsvarande kvalificerade standarder.
QES behövs endast när regelverk kräver det, till exempel vid skattedeklarationer, regulatoriska rapporter och journalföring inom vård. Den extra komplexiteten motiveras inte när AES redan uppfyller behoven.
Idura erbjuder QES i Norge. Läs mer här: "Idura tillhandahåller kvalificerade elektroniska signaturer genom norska BankID"
De tre nivåerna jämförda sida vid sida
Här är en översikt över signaturnivåerna och hur de skiljer sig:
|
SES |
AES |
QES |
|
|
Identitetsverifiering |
Nej |
Ja (nationell e-legitimation) |
Ja (e-legitimation på förtroendelistan) |
|
Manipulationsskydd |
Nej |
Ja |
Ja |
|
Juridisk tyngd |
Giltig (men kan ifrågasättas) |
Stark |
Motsvarande handskriven signatur |
|
Krav på underskrift |
Inga |
Nationell integration av e-legitimation |
QSCD + kvalificerat certifikat |
|
Implementeringsinsats |
Minimal |
Medel |
Hög |
Var passar "stämpling" in?
Hittills har vi fokuserat på elektroniska signaturer från individer.
Men eIDAS har ett separat spår för stämpling för juridiska personer. Här är den officiella definitionen av en elektronisk stämpling (betoning vår):
“An electronic seal is a data in electronic form, which is attached to or logically associated with other data in electronic form to ensure the latter’s origin and integrity, where the creator of a seal is a legal person (unlike the electronic signature that is issued by a natural person).”
Med andra ord är en signatur kopplad till en person, och uttrycker samtycke, medan en stämpling är kopplad till en organisation och bekräftar dokumentets ursprung och integritet.
En parallell struktur i tre nivåer för stämpling
Precis som elektroniska signaturer följer elektroniska stämplingar en liknande struktur: enkel, avancerad och kvalificerad. Kraven på varje nivå motsvarar i stort sett kraven för signaturer, med några mindre skillnader.
Den viktigaste skillnaden är vilket certifikat som visas på dokumentet.
När du öppnar ett stämplat dokument i till exempel Adobe Reader visas organisationens namn i signaturfältet i stället för en enskild undertecknare. Undertecknarens identitet fångas fortfarande i processen, till exempel via e-legitimation, men lagras som bevis i dokumentet i stället för att visas direkt.
Varför B2B-kunder kan föredra autentiserad signering
Många leverantörer av signeringstjänster, inklusive Idura Signatures, använder i praktiken stämplingsspåret i stället för signaturspåret.
Det beror på att de flesta B2B-kunder upplever att stämpling är både praktiskt och tillräckligt för deras behov. Till exempel använder danska investeringsplattformen Tobi Idura Signatures "authenticated sealing"-produkt för att låta kunderna signera med MitID, vilket uppfyller juridiska krav som KYC.
Så fungerar Idura Signatures i praktiken:
- Ett dekrypterat dokument som ska signeras visas för undertecknaren
- Undertecknaren autentiserar sig med sin nationella e-legitimation och signerar dokumentet
- Idura bäddar in undertecknarens identitet som bevis i dokumentet
- Idura stämplar dokumentet med sitt eget EUTL-certifikat
- Den stämplade PDF-filen krypteras igen och lagras på säkra servrar
Resultatet är ett juridiskt bindande dokument med manipulationsskydd och en fullständig revisionshistorik. Undertecknarens identitet verifieras i bakgrunden och ”Signed by Idura Signature Service” visas i PDF-panelen.
När räcker det inte med stämpling?
Stämpling täcker de flesta av våra kunders behov.
Men om du eller dina motparter behöver visa identiteten på person som signerat dokumentet, i stället för på signaturtjänsten bakom, krävs en signatur med ett personligt certifikat.
Då visas undertecknarens namn tydligt i dokumentet i stället för att enbart finnas som inbäddat bevis.
Idura arbetar med att erbjuda personbaserade elektroniska signaturer. Om du är intresserad kan du registrera dig för early access.
Så väljer du rätt alternativ
Vad som är rätt för din verksamhet beror på ditt svar på två viktiga frågor:
- Behöver du visa undertecknarens namn på dokumentet?
- Vilken tillitsnivå behöver du?
Det första svaret avgör om du behöver en elektronisk signatur eller en elektronisk stämpel.
Det andra avgör vilken nivå du ska välja, enkel, avancerad eller kvalificerad.
Så här passar Iduras nuvarande produkter in:
|
Underskrifter |
Stämpling |
|
|
Enkel |
Ritningsbara (SES) |
- |
|
Avancerad |
||
|
Kvalificerad |
- |
Välja leverantör av elektroniska signaturer
När du har valt mellan stämpling och signaturer och vet vilken nivå du behöver är nästa steg att välja en signaturtjänst.
Rätt val beror ofta på om du vill designa ditt eget flöde eller använda en färdig plattform.
Idura Signatures ger dig white label-lösningar med e-legitimation för signering och stämpling.
För att testa själv kan du skapa ett kostnadsfritt konto och komma igång på några klick.
Vill du förstå mer om hur Idura Signatures fungerar kan du kolla in vår dokumentation.
Varför tappar företag kunder precis vid signering?
Så integrerar du white-label signaturer med e-legitimation i din tjänst
