Digitale signaturer og sine respektive juridisk gyldighet – en oversikt over de ulike eIDAS-nivåene
- Juridisk gyldighet. EUs eIDAS-forordning garanterer juridisk gyldighet for digitale signaturer.
- Tre kategorier av signaturer. I denne forordningen deles elektroniske signaturer inn i tre grupper: enkle elektroniske signaturer (SES), avanserte elektroniske signaturer (AES) og kvalifiserte elektroniske signaturer (QES).
- Formkrav. I henhold til eIDAS-forordningen kan en digital signatur ikke betraktes som ugyldig bare fordi signaturen er i elektronisk form, eller fordi den ikke oppfyller kravene til kvalifiserte elektroniske signaturer.
Rettsvirkningen skal være den samme som en håndskrevet underskrift
I henhold til artikkel 25 i EU-forordningen (eIDAS) som omtaler elektronisk identifikasjon og tillitstjenester, har en kvalifisert digital signatur tilsvarende rettsvirkning som en håndskrevet signatur. Selv om det kun er kvalifiserte digitale signaturer (QES) som nevnes i artikkelen i eIDAS-forordningen om tilsvarende rettsvirkning av digitale signaturer, det første leddet i artikkelen påpeker at gyldigheten til en digital signatur ikke kan nektes gyldighet som bevis i rettssaker på bakgrunn av at signaturen er i elektronisk form eller at den ikke oppfyller kravene til kvalifiserte digitale signaturer.
Hva menes med uttrykket “kvalifisert digital signatur”? I denne bloggen fordyper vi oss i forordningsjungelen til eIDAS og utreder hva loven sier om digitale signaturer.
eIDAS tre kategorier av digitale signaturer – SES, AES, QES
Digitale signaturer deles inn i tre kategorier innen EU-lovgivningen eIDAS: digital signatur (electronic signature), avansert digital signatur (advanced electronic signature, AES) og kvalifisert digital signatur (qualified electronic signature, QES). Digital signaturer på laveste nivå kalles også for “enkel digital signatur” (simple electronic signature, SES).
I EU-forordningen defineres en digital signatur som data i elektronisk form som er lagt ved eller er logisk knyttet til andre data i digital form og som underskriveren bruker til å signere. Med andre ord kan den enkleste formen for en digital signatur være et navn som skrives på en PDF-fil. Dette kalles for en enkel digital signatur på SES-nivå.
Med “avansert digital signatur” (AES) menes det at en digital underskrift oppfyller kravene i artikkel 26 i eIDAS-forordningen, nemlig:
- Den kan identifisere underskriveren
- Den er framstilt ved hjelp av elektroniske signaturframstillingsdata som underskriveren, har enekontroll over bruken av med en høy grad av pålitelighet.
- Den er knyttet til dataene som er signert med denne signaturen, på en slik måte at eventuelle etterfølgende endringer i dataene kan oppdages.
I eIDAS-forordningen defineres en “kvalifisert digital underskrift” (QES) som en avansert digital underskrift som er basert på et kvalifisert sertifikat og fremstilt av et godkjent, sikkert signaturfremstillingssystem. Det bør nevnes at ordet “qualified” kan være villedende, siden det indikerer at en enkel signatur (SES) og en avansert signatur (AES) ikke er like juridisk bindende for signering av dokumenter. En kvalifisert digital signatur skiller seg ut fra de andre digitale signaturene ved at kvalifiserte digitale signaturer inneholder kvalifiserte sertifikater.
AES og QES – det er sertifikatet som skiller dem
Den største forskjellen mellom en kvalifisert digital signatur (QES) og en avansert digital signatur (AES) er sertifikatet. Sertifikat for en digital signatur refererer til et digital sertifikat som knytter signaturfremstillingsdata for en digital signatur til en fysisk person og i det minste bekrefter navnet eller pseudonymet til den personen. Det er verdt å merke at signaturene på AES nivå med for eksempel BankID har det samme sikkerhetsnivå som QES-nivå signaturer i følge Norsk lov.
Kravene for kvalifiserte sertifikater for digitale signaturer finner du i tillegg I til EU-forordningen. I Norge kan kvalifiserte sertifikat for digitale signaturer kun utstedes av Trust Service Providers. Commfides tilbyr digital signering med et smartkort, smartkortleser og PIN-kode. Buypass tilbyr signering ved hjelp av en USB-pinne og en PIN-kode. BankID/BankID på mobil krever ingen egen spesiell maskinvare utover “de vanlige enhetene” som en PC, nettbrett eller mobiltelefon.
AES er ofte det beste alternativet
For avansert digitale signaturer (AES) bekreftes underskriverens identitet ved hjelp av andre metoder som benyttes for sikker identifisering som for eksempel BankID og er tilknyttet vedkommendes fødsels- og personnummer fra Folkeregisteret (eller D-nummer). Disse kalles også for tillitstjenester og gjør det mulig å signere digitalt med bærbare PC-er og smarttelefoner. Derfor en digital signaturtjeneste på AES-nivå det beste og praktisk talt det eneste alternativet for utbredt bruk av digitale signeringsteknologier hos offentlige tjenester samt bedrifter i Norge. Sikker identifisering tilsvarer fremvisning av et identitetsdokument digitalt og det er koblet til personens offisielle identitet. Denne ideologien er bygget på at en pålitelig aktør kan alltid bekrefte identiteten til en person i sammenheng med autentiseringen.
Les mer: Et minikurs i enkel og sikker identifisering
Digitale signaturer på AES-nivå anerkjennes i mange av de ulike sektorene i samfunnet. Digitale signaturer på AES-nivå anerkjennes av blant annet finanssektoren hos banker og forsikringsselskap, samt den offentlige forvaltningen og folketrygden.
Man bør også ta artikkel 25.1 i EU-forordningen i betraktning: En digital signatur skal ikke betraktes som ugyldig bevis i rettsammenheng eller miste sin rettsvirkning bare fordi signaturen er i elektronisk form, eller den ikke oppfyller kravene til kvalifiserte digitale signaturer. Med andre ord er en digital signatur gyldig som bevis i en rettssak uavhengig av signaturens nivå.
Visma Sign – en nordisk tjeneste for digital signering
Visma Sign tilbyr digitale signaturer på AES-nivå hovedsakelig, men også på SES-nivå. En signatur med sikker identifisering er det desidert beste alternativet når alle parter bruker nordiske tjenester for sikker identifisering. Derimot muliggjør enkel identifisering på SES-nivå global bruk av Visma Sign ved signering av internasjonale forretningskontakter, for eksempel.