Att välja rätt digitala tjänster är inte alltid lätt. Det ställer höga krav på dig som ska köpa in och implementera ett system. Lagkraven, direktiven och bestämmelserna är många och behovet av standardisering och reglering ökar konstant. Att lita på att leverantören av ett system vet vilka krav som finns kan kännas självklart. Ändå är det få signeringslösningar som lever upp till svensk lagstiftning och de som hävdar att de gör det, har svårt att bevisa det.
Martin Thulin är bolagschef på Hogia Signit. Han berättar att vissa handlingar måste signeras med en så kallad Avancerad Elektronisk Underskrift* för att underskriften ska vara godkänd.
Martin Thulin bolagschef på Hogia Signit.
– Om man ska signera till exempel styrelseprotokoll, årsredovisningar eller ansökan av medlemskap i bostadsrättsförening digitalt, är lagen tydlig. Det måste ske med en så kallad Avancerad Elektronisk Underskrift som uppfyller kraven i EUs förordning eIDAS*, berättar Martin. Att använda en signeringslösning som inte klarar lagkraven kan bli ödesdigert vid en granskning.
Svårt för företag att veta vilka e-signeringsleverantörer de kan lita på
De få e-signeringsleverantörerna som DIGG i dagsläget har godkänt skapar Avancerade Elektroniska Underskrifter enligt eIDAS-förordningen. Men de tjänster som leverantörerna tillhandahåller är inte alltid anpassade för den privata sektorn.
– Det är inte många leverantörer i Sverige som skapar underskrifter som godkänts av DIGG och som också fokuserar på att tillhandahålla tjänster till privata verksamheter. Det bästa vore om det fanns en oberoende part som alla verksamheter kunde vända sig till för att bli rekommenderad en e-signeringsleverantör som granskats utifrån lagkraven, konstaterar Martin.
Identifiering med BankID är långt från tillräckligt
Ett av flera krav som måste uppfyllas är att den som signerat har identifierats på ett tillförlitligt sätt. För detta ändamål använder sig ofta e-signeringsleverantörerna av BankID. Men det räcker inte, det finns fler krav som måste uppfyllas förklarar Martin.
– Problemet är att de flesta av våra branschkollegor marknadsför sin lösning som att de lever upp till kraven för Avancerad Elektronisk Underskrift bara för att de använder identifiering via BankID. Om inte samtliga krav enligt eIDAS uppfylls, innebär det att exempelvis styrelseprotokoll, årsbokslut, konkursansökningar med mera, kan vara helt ogiltiga vid en rättslig prövning. Konsekvenserna av detta kan vi bara kan spekulera i. Men bra är det inte, det kan ju vem som helst räkna ut, säger Martin med eftertryck.
Det finns redan nu ett par rättsfall där förvaltningsrätten dömt de elektroniska underskrifterna som ogiltiga. Fallen inbegriper såväl privatpersoner, bolag och myndigheter. EU:s direktiv om skapande och validering av elektroniska underskrifter har väglett till fällande domar.
– Det vi ser nu är bara början, säger Martin. Vi kan sannolikt förvänta oss fler fall framöver i takt med att digitaliseringen ökar och att det dessutom dyker det upp fler oseriösa aktörer som inte har 100 procent koll på lagkrav och direktiv. I det här läget bör man inte chansa, i synnerhet inte när det är så enkelt att byta till en leverantör som man vet uppfyller lagkraven, avslutar Martin.
*En avancerad elektronisk underskrift är unikt knuten till undertecknaren och denne kan identifieras genom den. Den avancerade signaturen är skapad på ett sådant sätt att enbart undertecknaren själv kan skapa signaturen, samt att eventuella ändringar i det som skrivits under kan upptäckas.
*eIDAS-reglerna 910/2014/EC (Electronic Identification and Trust Services Regulation) är ett enhetligt, standardiserat regelverk som tillämpas i alla EU-stater, vilket innebär ett enhetligt juridiskt ramverk för godkännande av elektroniska identiteter och signaturer.
