Elektronisk signering av avtal: Tänk på detta innan du väljer leverantör

Det finns en mängd aktö­rer som till­han­da­hål­ler tjäns­ter för elektro­nisk under­skrift av doku­ment och avtal. Vi får många frå­gor om vil­ken lös­ning man bör använ­da sig av och vad som skil­jer dem åt. I den här arti­keln delar jag med mig av våra erfa­ren­he­ter inom områ­det och ger lite väg­led­ning i valet av lös­ning för elektro­nisk signering.

För att kun­na utvär­de­ra de oli­ka lös­ning­ar­na för elektro­nisk sig­ne­ring som finns på mark­na­den är det nöd­vän­digt att för­stå de lega­la grun­der­na för elektro­nisk under­skrift. Låt oss bör­ja där.

Vad är en elektronisk underskrift?

En elektro­nisk under­skrift utgörs av upp­gif­ter i elektro­nisk form som används för att kon­trol­le­ra att inne­hål­let i en elektro­nisk hand­ling kom­mer från den som under­teck­nat hand­ling­en. Hur en elektro­nisk under­skrift fram­ställs och vad den får för rätts­lig sta­tus regle­ras ytterst i den så kal­la­de eIDAS-för­ord­ning­en. Det är en EU-för­ord­ning som är direkt tillämp­lig som lag i EU:s medlemsstater.

En elektro­nisk under­skrift fram­ställs genom elektro­nisk auten­ti­se­ring och föl­jan­de meto­der är vanliga:

• Auten­ti­se­ring genom att per­so­nen skri­ver sin under­skrift med en stylus (tänk App­le Pen­cil) eller med fing­ret på en datorskärm.
• Auten­ti­se­ring via e‑post eller sms-kod (ofta i kom­bi­na­tion med föregående).
• Auten­ti­se­ring genom e‑legitimation.

Tre typer av elektroniska underskrifter

Hur autentiseringen/​identifieringen sker får rele­vans för vil­ken rätts­lig sta­tus under­skrif­ten får.

Enligt eIDAS-för­ord­ning­en finns det tre huvud­sak­li­ga typer av elektro­nis­ka underskrifter:

• Avan­ce­rad elektro­nisk under­skrift: Elektro­nisk under­skrift på vil­ken det ställs höga krav på säker­het och kryptering.
• Kva­li­fi­ce­rad elektro­nisk under­skrift: Unge­fär som avan­ce­rad elektro­nisk under­skrift, men med än hög­re krav i vis­sa delar.
• Elektro­nisk under­skrift: En elektro­nisk under­skrift som var­ken är kva­li­fi­ce­rad eller avancerad.

I svensk lag­stift­ning ställs för när­va­ran­de inte någ­ra krav på att använ­da kva­li­fi­ce­rad elektro­nisk under­skrift och det finns ing­en part som till­han­da­hål­ler tjäns­ter för att fram­stäl­la såda­na under­skrif­ter i Sve­ri­ge. När det i svensk lag anges att hand­ling­ar kan under­teck­nas elektro­niskt (till exem­pel i års­re­do­vis­nings­la­gen eller aktie­bo­lags­la­gen) anges istäl­let att under­skrift ska ske genom avan­ce­rad elektro­nisk underskrift.

Formkraven styr

Elektro­nisk under­skrift som var­ken är kva­li­fi­ce­rad eller avan­ce­rad kan endast använ­das om det sak­nas form­krav enligt lag.

Utgångs­punk­ten är att en elektro­nisk under­skrift har sam­ma rätts­li­ga sta­tus som en hand­skri­ven under­skrift och såle­des kan ersät­ta en hand­skri­ven under­skrift. Om det finns form­krav för under­skrift enligt lag eller prax­is, och såda­na form­krav inte med­ger elektro­nisk under­skrift, gäl­ler form­kra­ven och elektro­nisk under­skrift är inte möjlig.

Såda­na form­krav före­kom­mer dock endast undan­tags­vis i svensk rätt. Exem­pel på hand­ling­ar som inte anses kun­na under­teck­nas elektro­niskt ur svenskt per­spek­tiv är avtal för fastighetsöverlåtelse.

Med för­stå­el­se för de lega­la grun­der­na för elektro­nisk under­skrift kan vi nu tit­ta på de saker du ska över­vä­ga vid val av leverantör.

Hur framställs en avancerad elektronisk underskrift?

För att fram­stäl­la en avan­ce­rad elektro­nisk under­skrift krävs en till­han­da­hål­la­re av en så kal­lad betrodd tjänst. Med en betrodd tjänst avses en elektro­nisk tjänst som består av ska­pan­de, kon­troll och vali­de­ring av elektro­nis­ka under­skrif­ter i enlig­het med de krav som upp­ställs i eIDAS-förordningen.

Det krävs även att under­teck­nan­de part iden­ti­fi­e­rar sig på ett sådant sätt att under­skrif­ten kan kny­tas till under­teck­na­ren. Om under­teck­nan­de part har iden­ti­fi­e­rat sig med hjälp av Ban­kID eller annan form av e‑legitimation anses det­ta upp­fyl­la kra­ven för att ska­pa en avan­ce­rad elektro­nisk underskrift.

Om auten­ti­se­ring endast sker med kod via e‑post eller sms blir den elektro­nis­ka under­skrif­ten som utgångs­punkt inte en avan­ce­rad elektro­nisk underskrift.

Att tänka på vid val av leverantör

Vid val av tjänst för elektro­nisk under­skrift finns ett fler­tal fak­to­rer att beak­ta. Till att bör­ja med är det vik­tigt att över­vä­ga vad det är för typ av dokument/​avtal som ska under­teck­nas elektro­niskt. Finns det lag­krav eller mot­sva­ran­de (i Sve­ri­ge eller utom­lands) som krä­ver viss typ av elektro­nisk underskrift?

Finns såda­na krav är det natur­ligt­vis vik­tigt att väl­ja en tjänst som kan fram­stäl­la en elektro­nisk under­skrift som upp­fyl­ler kra­ven. I den mån dokumentet/​avtalet invol­ve­rar oli­ka juris­dik­tio­ner mås­te man under­sö­ka kra­ven i respek­ti­ve jurisdiktion.

Det är även vik­tigt att fun­de­ra över var under­teck­nan­de par­ter kan antas ha sin hem­vist. Det säk­ras­te sät­tet att fram­stäl­la en avan­ce­rad elektro­nisk under­skrift i Sve­ri­ge är att använ­da en betrodd tjänst samt krä­va att under­teck­nan­de part iden­ti­fi­e­rar sig med hjälp av e‑legitimation.

För en per­son utan svenskt per­son­num­mer, till exem­pel någon med hem­vist utom­lands, är det dock svårt att skaf­fa en svensk e‑legitimation. I såda­na fall är det önsk­värt att tjäns­ten stö­der iden­ti­fi­ka­tion med mot­sva­ran­de utländsk form av e‑legitimation.

Välj etablerad lösning

Dess­utom är det vik­tigt att över­vä­ga om lös­ning­en verk­li­gen upp­fyl­ler tillämp­li­ga krav i eIDAS-för­ord­ning­en. Den som vill till­han­da­hål­la kva­li­fi­ce­ra­de betrod­da tjäns­ter ska anmä­la det­ta till Post- och Tele­sty­rel­sen (PTS) och sam­ti­digt läm­na in en rap­port utfär­dad av ett ackre­di­te­rat organ för bedöm­ning av tjäns­tens över­ens­stäm­mel­se med eIDAS-förordningen.

Hit­tills har dock ing­en såda­na anmä­lan inkom­mit till PTS under eIDAS-för­ord­ning­en. För till­han­da­hål­la­re av betrod­da tjäns­ter avse­en­de avan­ce­ra­de elektro­nis­ka under­skrif­ter sak­nas där­e­mot anmäl­nings­skyl­dig­het. Till­han­da­hål­la­re av betrod­da tjäns­ter för avan­ce­ra­de elektro­nis­ka står endast under till­syn av PTS.

I prak­ti­ken inne­bär det­ta att man gör klokt i att väl­ja en eta­ble­rad lös­ning som kan antas ha kon­trol­le­rats av PTS (eller mot­sva­ran­de organ utomlands).

Verifiering av tredje man

En annan aspekt att beak­ta är hur tred­je man kan veri­fi­e­ra att det doku­ment som påstås ha under­teck­nats elektro­niskt är auten­tiskt och exem­pel­vis inte har mani­pu­le­rats i efter­hand. Vid val av leve­ran­tör är det såle­des vik­tigt att klar­gö­ra hur sådan veri­fi­ka­tion kan ske i praktiken.

Till exem­pel före­kom­mer lös­ning­ar där ett under­teck­nat doku­ment kan skic­kas in till leve­ran­tö­ren som där­ef­ter bekräf­tar om doku­men­tet är auten­tiskt eller inte.

I det­ta sam­man­hang blir det även rele­vant att beak­ta vad som hän­der om leve­ran­tö­ren skul­le ham­na på obe­stånd eller annars avveck­lar sin verk­sam­het: Hur kan ett under­teck­nat doku­ment där­ef­ter veri­fie­ras? Ett sätt att ta höjd för en sådan situ­a­tion är att väl­ja en eta­ble­rad leve­ran­tör som kan antas fin­nas kvar över tid.

Funktionella och tekniska krav uppfyllda?

Vida­re är det vik­tigt att utvär­de­ra om lös­ning­en upp­fyl­ler grund­läg­gan­de funk­tio­nel­la och tek­nis­ka krav för det till­tänk­ta använd­nings­om­rå­det. Fle­ra lös­ning­ar på mark­na­den är rela­tivt enkelt utfor­ma­de och har bris­tan­de för­må­ga att han­te­ra mer kom­plexa avtal och bila­gor, enligt vår erfarenhet.

Sam­man­ta­get finns det en rad fak­to­rer att beak­ta vid val av tjänst för elektro­nisk sig­ne­ring. Sam­ti­digt kan använ­dan­det av elektro­nis­ka under­skrif­ter bidra till en väsent­ligt för­enklad admi­nist­ra­tion, sär­skilt i de fall där doku­ment av lik­nan­de slag ska under­teck­nas på åter­kom­man­de basis eller där under­teck­nan­de par­ter befin­ner sig på oli­ka håll.