Sök på E-legitimationsnämnden
  • Hem
  • / E-underskrift
  • / Om e-underskrifter

Om e-underskrifter

Med e-underskrift menas krypterade uppgifter i elektronisk form som är fogade till eller logiskt knutna till andra uppgifter i elektronisk form, för att säkerställa de senares ursprung och dataintegritet. Här får du en övergripande bild av framställning, användningsområde och upphandling.

E-underskrifter används bland annat för att en identifierad användare på ett juridiskt bindande sätt ska kunna utföra rättshandlingar inom ramen för en e-tjänst. En elektronisk underskrift syns inte, utan består av elektronisk information som bara kan tolkas av en dator. Det finns ingen grafisk symbol eller liknande som visar att ett elektroniskt dokument signerats med elektronisk underskrift.

En del programvaror gör det möjligt att infoga exempelvis en inskannad bild av
personens namnteckning i dokumentet innan det signeras elektroniskt. Detta har
dock inget med den elektroniska underskriften att göra, det enda syftet är att ge dokumentet en grafisk form som liknar det vi är vara att se. Inskannade namnteckningar bör inte användas där det finns krav på underskrift.

Så här fungerar det

E-underskriftens krypterade elektroniska information består av en kontrollsumma beräknad enligt en standardiserad matematisk formel som väger in datafilens samtliga informationselement. Varje förändring av filen medför en ny kontrollsumma. Genom att göra om beräkningen och jämföra summorna kan man upptäcka om filen förändrats. Signaturinformationen innehåller även information om det certifikat som användes när underskriften skapades samt tidpunkt.

Eftersom kontrollen gäller hela dokumentets innehåll ersätter den även den sidnumrering och signatur på varje sida som kan vara viktig i den analoga världen. Med e-underskrift blir det mindre viktigt i vilken ordning personer undertecknar eftersom det direkt upptäcks om någon ändrat i dokumentet efter att den första undertecknat.

E-underskriften kan produceras på två olika sätt:

  • Direkt med hjälp av ett särskilt underskriftcertifikat kopplat till den e-legitimation som redan är utfärdad åt användaren, till exempel BankID- eller Teliaunderskrift.
  • Indirekt genom att användaren legitimerar sig för underskrift så att ett särskilt underskriftscertifikat ställs ut av en fristående underskriftstjänst och används för att producera underskriften.

Direkt och indirekt e-underskrift

Vid direkt underskrift används ett underskriftscertifikat som e-legitimationsutfärdaren försett användaren med för att framställa den elektroniska underskriften.

Vid indirekt underskrift används ett underskriftscertifikat som leverantören av en till e-legitimationer fristående underskriftstjänst förfogar över. Kopplingen till personen som undertecknar – och det som undertecknas – skapas genom att den fristående underskriftstjänsten begär att undertecknaren legitimerar sig och aktivt väljer att skriva under.

Översiktligt flöde vid indirekt e-underskrift

  1. E-tjänsten sammanställer informationen som ska undertecknas, presenterar den för undertecknaren och begär att användaren ska välja att skriva under.
  2. E-tjänsten (vanligast via en stödtjänst för e-underskrift) beräknar en kontrollsumma utifrån samtliga delar av informationen och anropar den upphandlade fristående underskriftstjänsten med begäran om att framställa en elektronisk underskrift.
  3. Underskriftstjänsten utför (i den upphandlande myndighetens namn) en ny e-legitimering av användaren ”för underskrift”.
  4. Underskriftstjänsten skapar underskriftsuppgifter för kontrollsumman och skickar dem till e-tjänsten.
  5. E-tjänsten tar emot den elektroniskt undertecknade kontrollsumman och infogar den i informationsmängden.
  6. E-tjänsten skickar den undertecknade handlingen för vidare hantering i den verksamhet där informationen ska användas. Hur den hanteras där - vilket kvitto som sänds till den som undertecknas, om handlingen diarieförs osv - beror på vilken information det gäller och vilken verksamhet som berörs. Det går därför inte att beskriva generellt.

Att tänka på vid upphandling av e-underskrifter

Att en leverantör erbjuder både e-legitimation och e-underskrift har varit den vanligaste lösningen i Sverige, och gäller alla e-legitimationer som funnits på den svenska marknaden. Detta kommer dock att förändras. Dels erbjuds inte möjligheten i trafiken som går genom eIDAS landsnoder, dels finns det inte längre lagkrav på att e-legitimationer ska bygga på certifikatteknik, det äldre sättet att framställa elektroniska underskrifter på.

E-legitimationsnämnden rekommenderar fristående underskriftstjänst

Den lösning som föreslås i betänkandet E-legitimationsnämnden och Svensk e-legitimation (SOU 2010:104) och som E-legitimationsnämnden rekommenderar, är att låta en fristående underskriftstjänst framställa den elektroniska underskriften. Användaren kommer troligen inte att märka någon skillnad, men ägaren till e-tjänsten behöver ta hänsyn till det vid utformning av e-tjänsten och användardialogen, samt anskaffa en underskriftstjänst.

Rekommendationen blir än viktigare vid anpassning till eIDAS-förordningen eftersom andra underskriftstekniker inte kommer att fungera vid användning av utländska e-legitimationer.

Fristående underskrifttjänst finns att avropa via Kammarkollegiets ramavtal. Hör även av er till Kammarkollegiet om ni har behov av andra tjänster för e-underskrifter än den fristående underskriftstjänsten. Vid egen upphandling rekommenderar vi att ni ställer krav på att underskriftstjänsten ska vara granskad och godkänd av E-legitimationsnämnden.

En organisation kan också ha egna e-legitimationer utgivna till sina anställda, och kan vid behov dra nytta av samma underskriftstjänst. Organisationen behöver även ta ställning till om dessa e-legitimationer får användas för e-legitimering och e-underskrift utanför den egna organisationen.

Kvalificerad och avancerad e-underskrift

En fristående underskriftstjänst kan leverera såväl kvalificerade som avancerade e-underskrifter enligt eIDAS-förordningen (EU nr 910/2014).

En stor del av kraven inom eIDAS-förordningens del om betrodda tjänster är kopplade till kvalificerade e-underskrifter. Dessa gäller i alla EU-länder och gentemot upphandlande myndigheter, i alla situationer där det saknas formkrav i nationell författning. För att ta reda på när det behövs en kvalificerad eller en avancerad e-underskrift behöver man ha de aktuella författningsreglerna klara för sig.

Det är myndigheten/organisationen som anskaffar den fristående underskriftstjänsten som avgör vilken typ av underskriftstjänst man har behov av.

Den fristående underskrifttjänst som E-legitimationsnämnden rekommenderar (se ovan) skapar för närvarande avancerade e-underskrifter. Underskriftstjänster som producerar kvalificerade elektroniska underskrifter kan utvecklas av leverantörerna men finns ännu ej på marknaden.

Post och Telestyrelsen, PTS, har tillsynsansvar för e-underskrifttjänster och andra betrodda tjänster enligt eIDAS-förordningen ((EU) nr 910/2014). Tjänster för kvalificerade e-underskrifter står under aktiv tillsyn. Icke-kvalificerade tjänster för avancerade e-underskrifter står under tillsyn som utförs i de fall det uppstått någon incident. Leverantörer av tjänster på den kvalificerade nivån listas av tillsynsmyndigheterna inom EU/EES.

EES lista på leverantörer av tjänster på den kvalificerade nivånlänk till annan webbplats, öppnas i nytt fönster

Lagkrav om e-underskrifter

eIDAS-förordningen ((EU) nr 910/2014) reglerar bland annat offentliga organs skyldighet att ta emot elektroniskt underskrivna handlingar. Undantag gäller om det finns särskilda formkrav i svensk författning.

eIDAS-förordningen innebär att det finns ett allmänt krav på att en underskrift inte får avvisas enbart baserad på det faktum att den är elektronisk. Det innebär att praxis ändrats, från att pappersdokument gäller om inte särskilda regler godkänner elektroniska dokument, till att elektroniska dokument gäller om inte särskilda formkrav förbjuder det.

Rekommenderas: e-tjänster med e-underskriftsmöjlighet

eIDAS-förordningen innehåller krav på offentliga organ att ta emot e-underskrifter i en rad olika format under förutsättning att det finns en kostnadsfri valideringstjänst. E-legitimationsnämnden rekommenderar därför att man som förstahandsval erbjuder användarna e-tjänster med e-underskriftsmöjlighet, för att minska volymen elektroniskt underskrivna dokument av olika slag som användaren sänder in. Hanteringen blir normalt sett enklare, både för er och för användaren.

Vid införande av en fristående underskriftstjänst som följer E-legitimationsnämndens riktlinjer fungerar e-underskrifter även med utländska e-legitimationer. En sådan e-underskrift är i dagsläget att betrakta som en avancerad e-underskrift enligt eIDAS.

E-underskrift och tillitsnivå

Det är viktigt att skilja på e-legitimeringens tillitsnivå och nivån på e-underskriften. Lagstadgade e-underskrifter kan vara avancerade eller kvalificerade.

Tillitsnivån beskriver hur säkra rutinerna och tekniken bakom legitimeringen av användaren är. Skillnaderna mellan kvalificerade och avancerade e-underskrifter handlar dessutom om tillsynsmyndigheternas granskning, ansvarsfrågor etc.

För att skapa en avancerad e-underskrift kan det räcka med e-legitimering på tillitsnivå 2 (eIDAS ”låg”). För att skapa en kvalificerad e-underskrift behöver e-legitimeringen som kopplas till e-underskriften däremot ligga på åtminstone tillitsnivå 3 (eIDAS ”väsentlig”).

En sammanställning av vad som sker vid e-underskrift.

En sammanställning av vad som sker vid e-underskrift.

Nyhetsbrev

Sociala medier