Hur blir vi väck papper och bläck?

It- och informationssäkerhet
TOMAS RIMMING
12.03.2021

Jag hade nyligen förmånen att tillsammans med kravspecialister och jurister, delta i en teamleverans till en av våra svenska myndigheter. Myndigheten ifråga hanterar mycket pengar och bedriver verksamhet i många länder även utanför Europa. Precis som många andra organisationer arbetar man hårt för att digitalisera och effektivisera verksamheten och nu var turen kommen till den kostsamma hanteringen av papper med bläckunderskrifter.

Vi människor är vana vid att en överenskommelse sluts genom att vi tecknar ner vad vi kommit överens om på ett papper och sedan skriver våra namnteckningar under. Sedan skakar vi hand. Så gjorde farmor och hennes farmor och hennes farmor som kanske var ättling till Englands Prins John som under en paus i kampen mot Robin Hood, år 1215 med sin bästa fjäderpenna, kanske mot sin vilja, men tillsammans med en illuster skara biskopar och baroner undertecknade Magna Charta, dokumentet som sägs ligga till grund för vår tids FN-deklaration om mänskliga rättigheter. Mycket bra papper och mycket bra bläck alltså. Fungerande metod värdig att följa.

Men. I en framgångsrikt digitaliserad verksamhet blir papper och bläck lite som när man år 1865 (ja, England igen) lagstiftade om att de allt snabbare ångfordonen skulle ha en person med en röd flagga gående framför. För att förebygga svindel och andnöd hos passagerarna och så att inga mötande hästar riskerar råka i sken.

Åter till tjugohundratalet och vår myndighet. Önskemålet är att kunna signera dokument digitalt och sedan lagra dem arkivbeständigt, återsökningsbart och tryggt. Oavsett om parterna befinner sig i Sverige, EU eller i en annan del av världen. Och förstås att signaturen ska vara legalt bindande. Idag, men även imorgon.

Uppgiften var alltså att reda ut om det finns lämpliga lösningar givet myndighetens krav och om hur en i så fall kravställer och upphandlar. Det korta svaret är ja, dvs: det finns lämpliga lösningar och en upphandling är inte orimligt arbetskrävande. För den som vill ha ett lite utförligare svar följer här några av våra insikter i FAQ-format:


Q: Finns det kommersiella signeringslösningar på marknaden?
A: Javisst, jättemånga! Sök på ”Elektroniska underskrifter” så får du se.


Q: Är en digital signatur lika valid och bindande som en bläckunderskrift?

A: Bra fråga som kan behöva delas upp i flera svar.

  1. Ja, i Sverige har vi fri bevisprövning vilket betyder att om någon vill åberopa en digital signatur i en tvist så går det alldeles utmärkt.

  2. Ja, Enligt EU:s eIDAS-förordning får inte en underskrift förvägras rättslig verkan enkom för att den inte är handskriven

  3. Men, det finns några ovanliga undantag där en handskriven underskrift krävs. Det kan också finnas formuleringar i t.ex. bolagsstadgar som gör att man låst fast sig vid handskrivna signaturer.


Q: Finns det olika kvalitetsnivåer på signaturer?
A: Ja, i EU:s eIDAS-förordning skiljer man på E-underskrifter i allmänhet, avancerade E-underskrifter och kvalificerade E-underskrifter. Av praktiska skäl är det oftast lämpligt att kravställa på avancerade E-underskrifter.

Q: Vad är egentligen ett digitalt signerat dokument i praktiken?
A: Det vanligaste formatet är PDF-dokument. Sådana går att signera så att signaturen och annan intressant metadata sparas i själva dokumentet.


Q: Men hur kan en kontrollera signaturen i en PDF?
A: Det finns faktiskt en sådan funktion i den vanliga Adobe-läsaren.

 

Q: Vi skulle vilja signera våra styrelseprotokoll, men det betyder att flera personer ska signera. Funkar det?
A: Javisst, det går bra att ha flera signaturer i ett och samma dokument.

Q: Jag brukar tänka mig att signaturen görs i mitt BankID med min hemliga signeringsnyckel. Men den typen av säkerhetsklient finns ju inte överallt. Hur gör man då?
A: Bra fråga, igen. Svaret är att man får använda en signeringstjänst. De fungerar så att de använder information från själva inloggningen (allt från BankID till Facebook-ID) som grund för att skapa en signatur vilket ger mycket större flexibilitet. Notera dock att kvalitén på signaturen inte blir bättre än kvalitén på inloggningslösningen. 


Q: Vi har verksamhet utanför Sverige, hur ska våra samarbetspartners kunna signera, de har ju inte BankID och kanske inte heller någon av de godkända identifieringslösningarna inom eIDAS?
A: Det går bra, se frågan ovan. Det ni behöver göra är att endera kvalitetssäkra någon av de lokala id-lösningarna eller förse era partners med en sådan som ni själva upphandlar.

Q: Vi är en svensk myndighet som behöver en signeringslösning men vi vill inte ägna mer tid än nödvändigt åt kravarbete och upphandling. Finns det några genvägar?
A: Ja faktiskt. Myndigheten för digital förvaltning, DIGG, har gjort väldigt mycket av grovjobbet. Om ni ställer som krav att era tilltänkta leverantörer ska vara granskade och godkända av DIGG så slipper ni en hel del jobb. Men ni kommer förstås inte undan arbetet med att bena ut hur E-underskrifterna ska integreras i era verksamhetsprocesser, hur lagring och återsökning av signerade dokument ska göras, etc.

 

Sammanfattningsvis är lärdomen att området är mer moget än vad många tror och att det finns hjälp och stöd att tillgå. DIGG nämndes ju i FAQ ovan men om du representerar en myndighet finns det också hjälp att hämta från andra myndigheter som redan gjort resan som ni står i begrepp att påbörja. Om du representerar ett privat företag så hindrar inget att du ändå använder DIGGs underlag. Ett annat tips är att kontakta några av leverantörerna av signeringslösningar. Vår erfarenhet är att de ofta är både kunniga och hjälpsamma.

Läs fler av våra blogginlägg

Fler inlägg