Viktiga lagar och rekommendationer vid upphandling av e-underskriftstjänst
När offentlig sektor ska implementera e-underskrifter är viktigt att vara väl informerad om vilka lagar och rekommendationer som finns. Visste ni tillexempel att det är lag på gränsöverskridande identifiering och tillgänglighet? Interaktion mellan offentliga aktörer förenklas avsevärt om alla använder samma standard, i det här blogginlägget hoppas vi kunna förenkla det hela en smula.
Ämnet kan angripas från två vinklar: lagar som måste följas, och rekommendationer som bör följas.
Lagar
Lag om gränsöverskridande identifiering innebär en skyldighet för offentliga organ att ansluta sina digitala tjänster till DIGGs (Myndigheten för digital förvaltning) eIDAS-nod för uppkoppling mot utländska e-legitimationer (Foreign eID). Lagen började gälla 2021-06-01.
Lag om tillgänglighet till digital offentlig service innebär att offentliga aktörers webbplatser och mobila applikationer ska vara åtkomliga, förståbara, samt möjliga för alla medborgare att använda. De kategorier som måste uppfyllas är följande: möjlig att uppfatta, hanterbar, begriplig, robust. Genom att följa europeisk standard EN 301 549 V3.2.1, som i sin tur bygger på WCAG 2.1 (Web Content Accessibility Guidelines) kan webbplatser och mobila applikationer leva upp till kraven.
När det gäller själva underskrifterna finns det egentligen inga lagar som reglerar området - det är fri bevisprövning i Sverige. Men, allt blir så mycket mer effektivt om alla följer samma standard. Ni skulle exempelvis slippa ställa frågor som ”kan jag lita på den här underskriften nu, eller för den delen om 10 års tid, om leverantören av tjänsten skulle ha blivit uppköpta eller inte längre är aktiva?”, ”Hur kan vi vara säkra på vem som egentligen skrev under?”. Även om det inte finns lagar för att säkerställa svaren på de frågorna så finns det ändå medel att ta till, något vi kommer gå in djupare på nedan.
Rekommendationer
Vad gäller rekommendationer kan vårt råd egentligen sammanfattas till DIGG. De har satt upp ett tekniskt ramverk och en normativ specifikation som grundas i eIDAS-förordningen. Om ni följer DIGGs tekniska ramverk så säkerställer ni per automatik att ni följer en rad internationella standarder för underskrifter. Specifikationerna hänvisar till viktiga standarder som bör följas för att vara säkra på att kunna använda dokumenten inom Sverige samt i Europa, nu och i framtiden.
Genom att ställa krav utefter deras rekommendationer vid upphandling säkerställer ni att leverantören av e-underskriftstjänsten faktiskt håller måttet.
Bra saker att känna till
Vissa delar lyder inte under lagkrav och är inte heller specificerade av DIGG, men de kan ändå vara bra att ha i åtanke vid upphandling så vi kände oss tvungna att även skicka med er dem.
- Ska det underskrivna dokumentet arkiveras hos Riksarkivet? Då behöver det vara i ett arkiverbart format. Detta har förändrats under åren men formatet PDF/A-1b gäller nu. Varför det här är viktigt att ha i åtanke redan från början är för att det inte är möjligt att ändra formatet i efterhand, efter att dokumentet skrivits under. Det är därför smidigt om underskriftstjänsten konverterar till rätt format redan från början.
- Hanterar ni känsliga dokument som inte får lämna er egen IT-miljö? Även om varje dokument i sig inte innehåller känslig information kan en större mängd av dem anses som känslig och extra skyddsvärd, så kalla aggregerad information. Det finns lösningar med lokal installation av vissa komponenter som löser detta. Leverantören av underskriftstjänsten tar då endast del av en kontrollsumma (även kallat Digest eller Hash) från dokumentet vid underskrift. Ytterligare en effekt är att ni då minskar attackytan för möjliga intrång och läckage av information.
- Hur kan vi vara säkra på vem som har skrivit under och vad som skrivits under? Det finns tjänster från leverantörer där underskrifter endast kan valideras i deras egna system, vilket då låser ute andra standardiserade metoder. Varför denna punkt ligger under ”bra saker att känna till” är för att alla enligt lag får upphandla valfritt system, men det skapar naturligtvis problem om underskriften inte kan valideras av andra än leverantören av just den underskriftstjänsten.
Ytterligare problem kan uppstå längre in i framtiden. Vad händer till exempel om 10 år? Tänk er att underskrifter utfärdas via en tjänst där leverantören sedan köps upp, eller av annan anledning inte finns kvar. Det blir då problem om det underskrivna dokumentet inte kan valideras självständigt enligt standarder, eftersom leverantören det är låst till nu inte finns kvar. Genom att baka in nödvändig information i det underskrivna dokumentet redan från början är det möjligt att validera även i framtiden. Underskrifterna blir inte utgångna även när certifikatets giltighet har gått ut. Detta bruka kallas långtidsvalidering, eller LTV i Adobe. - Grafisk anpassning, det är trevligt att kunna applicera sin egen grafiska profil på en webtjänst. Det är varken ett lagkrav eller rekommendation från DIGG, men gör stor skillnad i upplevelse för användaren.
- Vi vore inte Knowit, om vi inte också tar upp hållbarhet. Vårt sista råd kommer vara att ställa krav på hållbar IT med energieffektiv drift (lågt PUE-tal).
Det är mycket att hålla reda på, vi vet. Behöver ni ytterligare vägledning är ni välkomna att kontakta oss så guidar vi er vidare till säkrast möjliga e-underskriftstjänst!