Elektronisk underskrift
Från Sydarkiveras Wiki
Elektroniska underskrifter, eller digitala signaturer som det också kallas, används för olika e-tjänster och i olika verksamhetssystem.
Elektronisk underskrift
Enkel underskrift
Att tänka på är att många saker kan räknas som elektronisk underskrift. Det kan vara personuppgifter skrivet med tangentbord i ett dokument, en bild av en handskriven signatur eller en signatur som ritas på en touchpad. Det finns säga varje form av identitetsinformation knuten till ett dokument som visar någons vilja. I många fall kan även dessa typer av underskrifter ha ett värde. Det är inte ovanligt att signera mottagning av paket och köp av varor med signaturer av detta slag.
Avancerad elektronisk underskrift
Denna typ av underskrift ska kunna styrka identiteten på den som undertecknar. Signaturen är styrkt med e-legitimation och det är kryptografiska metoder för att kontrollera att dokumentet inte har ändrats. Signaturen har en tidsangivelse. Den avancerade elektroniska underskiften saknar en visuell representation och är framförallt till för att kunna kontroller maskinellt.
Det är oftast den här typen av underskrift som man tänker på när det är tal om elektroniska underskrifter och digitala signaturer.
Kvalificerad elektronisk underskrift
En avancerad form av elektronisk underskrift där tillsynsmyndigheten (PTS) godkänt att använda komponenter och godkänt organisationen som behöver uppfylla krav enligt förordningen. Kvalificerade elektroniska underskrifter behövs framförallt om man behöver kunna använda dokument i domstolar i andra länder.
Elektronisk underskrift hos Sydarkivera
Ska du skriva under ett testavtal, leveransöverenskommelse eller liknande med Sydarkivera så kan du läsa om hur du gör på: Elektronisk underskrift via Comfact.
Arkivering och bevarande
Registrering och hantering
I praktiken finns ofta datafilerna/koderna för underskrifterna inbakade i en Pdf-fil som sparas i de olika verksamhetssystem som används. Det finns undantag när signaturerna finns separerat i en databas. Då kan man behöva hämta ner och registrera signeringsfilerna separat för att få med sig signaturerna. Hur det går till beror på vilken tjänst som används.
Det som är viktigt för långsiktigt bevarande är att handlingarna och loggar eller tjänsteanteckningar i ärendet registreras i ärende- och dokumenthanteringssystem som stödjer arkiveringsuttag till mottagande arkivmyndighet. Har man kontrollerat signaturen och dokumenterat kontrollen så har man gjort det som behövs för bevarandet. Generellt sett då om det inte finns särskilda bestämmelser eller standarder som säger annorlunda i specifika fall.
Kontroller när handlingar kommer in eller upprättas
Det viktiga generellt med digitala signaturer är att man kontrollerar/validerar de elektroniska underskrifterna och se till att kontrollen är dokumenterad. Det som valideras är att den som undertecknat har ett giltigt ID (förenklat) och att ingenting har förändrats i filen. Hur det går till beror på vilken teknisk lösning som används. Denna funktion är tidsbegränsad. Det är därför man behöver göra det kort efter handlingen upprättas.
Om systemet inte stödjer kontrollerna och dokumentation så handlar det om att till exempel skriva en tjänsteanteckning. Det är vad myndigheten DIGG har rekommenderat i samband med gemensam temadag. Det finns information på DIGG:s webbsida om det med validering och kontroller.
Själva datafilen/koden som är den digitala signaturen finns (i normalfallet) kvar med uppgifter om tid, personuppgifter, kontrollsumman och hur den beräknas. Det innebär i praktiken att man i efterhand kan kontrollera att dokumentet är oförändrat, men man kan inte i efterhand kontrollera giltigheten för den autentiseringsmetod som används (om man inte har en extern betrodd tjänst).
Bevarandeformat
Det är lämpligt att elektroniskt undertecknade handlingar skapas i ett bevarandeformat som till exempel PDF/A. I de fall som myndigheten kontrollerar tjänsten som skapar filen så är det en rekommendation att kontrollera att filerna stämmer överens med någon profil för PDF/A och att det inte finns några tekniska avvikelser som kan påverka det långsiktiga digitala bevarandet.
Om filerna inte är i ett bevarandeformat så kan Sydarkivera normalisera fil i bevarandeformat efter slutarkivering. Dubbel bevarandestrategi tillämpas vilket innebär att både den ursprungliga filen som innehåller den elektroniska underskriften och den normaliserade filen i bevarandeformat sparas i arkivpaketet.
Läs mer på sidorna:
Särskilda krav i standarder
Det finns standarder som ställer krav på hanteringen av elektroniska underskrifter. Ett exempel är standard för produktdatamodeller , där kravet är att det ska gå att bevisa att det skett en elektronisk underskrift och att den är kontrollerad och validerad genom att dessa händelser är registrerade. Det finns inga krav på att underskriften ska kunna valideras på nytt, men däremot att underskriften är kontrollerad.
Särskilda betrodda tjänster
Det kan vara så att utöver exemplaren i ärende- och dokumenthanteringssystemet/motsvarande att en elektroniskt undertecknad handling även hanteras av en särskild betrodd tjänst hos extern leverantör under giltighetstiden (tjänsten kan benämnas e-arkiv). Den externa tjänsten kan då stödja validering och att hämta fram en fil och tjänsten garanterar att inget är förändrat sedan signeringen. Hur lång tid en sådan tjänst finns tillgänglig beror på avtalen med tjänsteleverantören. Det som händer med digitala signaturer i praktiken är att certifikaten som används för att kontrollera giltigt ID är tidsbegränsade. En extern betrodd tjänst kan förlänga den här tiden genom att hålla signaturerna ”levande” längre med olika tekniska lösningar (typ blockkedjor och liknande).
Observera att Sydarkivera inte förvaltar ett ”e-arkiv” av detta slag, Sydarkivera är en arkivmyndighet med ansvar för långsiktigt bevarande och är en annan typ av ”betrodd organisation”.
Slutarkivering hos Sydarkivera
Sydarkivera tar emot alla typer av digitalt signerade handlingar såsom de kommer med i arkiveringsuttag från respektive förbundsmedlems ärende- och dokumenthanteringssystem eller verksamhetssystem. Det sker ingen förnyad kontroll av signaturen vid slutarkivering. Det som kontrolleras är processen att skapa arkiveringsuttaget och att uttagsformatet validerar. Vid uttag fixeras filerna med checksummor.
Vid inläsning i arkivsystem fixeras filerna på nytt med nya checksummor efter genomförda kontroller. Detta tillsammans med det som kommer med i arkiveringsuttaget i form av signerade dokument, registrerade händelser, tjänsteanteckningar och så vidare är det som används för att säkerställa att handlingar är äkta och oförändrade i de fall som det uppkommer frågor i samband med utlämnande.
Läs mer på sidan:
Att komma igång
Texten i detta avsnitt är en sammanfattning av en temadag om Elektroniska underskrifter som Sydarkivera arrangerade tillsammans med myndigheten DIGG.
Totalt sett är det komplext att införa elektroniska signaturer. Det är många olika faktorer att ta hänsyn till. Det gäller att arbeta med frågorna på ett rationellt och strukturerat sätt. Varje steg för sig är inte så svårt! Det är enkelt att skriva under med penna och papper. Ny teknik kan vara knepig att ta till sig. För att det ska fungera i praktiken behöver det vara enkelt för användare att skriva under elektroniskt. Själva underskriften på papper går snabbt och lätt. Men sedan är det många moment som tar tid när man ska hantera handlingar på papper. Pappret behöver transporteras fysiskt och även hanteras individuellt med många manuella moment som totalt sett tar tid. Verksamheten tjänar tid på att få bort papper från hanteringen. Värt att tänkta på är att allt fler idag tycker att det är självklart att göra sina ärenden elektroniskt. Kanske är det till och med knepigare och konstigare för många att skriva under med penna på papper?
| Tips på frågor att ställa sig inför uppstart! | |
|---|---|
| Är det nödvändigt att underteckna? | Det är den första frågan att ställa sig. Kanske behövs inte underskriften alls? Det man sparar allra mest tid på är att ta bort underskrifter helt. Att skriva under gör man kanske av gammal vana, det är ett smidigt sätt i en pappershantering att "klarmarkera" en handling. I verksamhetssystem kan det finnas andra funktioner som gör detta på ett effektivare sätt! |
| När är det vettigt att satsa på elektroniska underskrifter? | När information hanteras i ett verksamhetssystem kanske inte underskriften har någon praktisk funktion. Det kan därför vara en god idé att tänka igenom sina användningsfall.Gå igenom verksamhetsprocesser och handlingstyper och titta på vad underskrifterna används till. |
| Riskerar vi att bygga fast oss i gamla rutiner? | Det är lätt att utgå från hur man brukar göra och tänka att det blir effektivare om man gör samma sak digitalt. Men det kan få motsatt effekt. Det som fungerade bra i pappershanteringen, kanske inte alls fungerar lika bra digitalt. Gör man ett pappersflöde digitalt utan att effektivisera processer så blir det ingen vinst, vare sig räknat i tid eller pengar. |
| Hur ställa frågor utan att provocera? | Det kan vara jobbigt att förändra arbetssätt. Det är vanligt att man gör saker utan att riktigt tänka på varför. Det kan också upplevas som provocerande om någon kommer och ställer frågor och säger att man gör någonting som är onödigt. |
| Går det att börja med något enkelt? | Det kan vara bra att välja ut en lämplig process att jobba med. Ett tips är att inte börja med det som är viktigast. Börja gärna med något litet och acceptera att det inte är en lösning som håller i längden. Rekommendationen är att börja använda elektroniska uppgifter, men gärna börja med något enkelt. |
Lagstiftningen
En fråga som ställs när det gäller elektroniska underskrifter är om de är juridiskt bindande och kan användas som bevis vid rättslig prövning. I grund och botten så är det själva handlingen som är det centrala och en handling kan vara underskriven eller inte. Underskriften kan styrka eller försvaga värdet av ett dokument.
Det är ovanligt i svensk lagstiftning att uttryckligen kräva undertecknande. Det gör att domstolarna prövar handlingen och omständigheterna runt den, inte specifikt tekniska eller formella krav på signaturen. De avgöranden som finns i svensk domstol handlar om att handlingen gäller, och tar inte ställning till underskriften i sig. En ofta omtalad dom är den i Kammarrätten i Göteborg från 2014-09-24 (Mål nr 3459–14 Kammarrätten i Göteborg 2014).
eIDAS-förordningen gäller som lag för hela EU. Det finns bestämmelser om att formkrav i nationell lagstiftning ska tillämpas i första hand. Det innebär att om det finns särskilda bestämmelser om hur signaturer ska vara i svensk lagstiftning, så gäller dessa bestämmelser före eIDAG-förordningen. Till exempel om det finns uttryckligt krav på undertecknande på papper. Det är förhållandevis ovanligt med sådana formkrav i de svenska lagarna. Det är mer vanligt i andra länder runt om i Europa.
Det kan vara bra och praktiskt av olika skäl att underteckna handlingar. Till exempel finns det inte krav i lagstiftningen att underteckna avtal. Men det kan vara svårare att bevisa att det finns ett avtal om det inte är dokumenterat och signerat. Vare sig om det är ett dokument på papper underskrivet med penna eller ett digitalt dokument med elektroniska underskrift.
eIDAS-förordningens betrodda tjänster
De tjänster som det handlar om är sammanfattningsvis:
- E-underskrift
- Stämplar
- Validering och arkivering av elektroniska underskrifter
- Tjänster för rekommenderade leveranser
- Certifikat för autentisering av webbplatser
Det finns många som tillhandahåller tjänster, framförallt den som utfärdar elektroniska certifikat, men även andra. Det blir allt fler som tillhandahåller tjänster. Kommunen kan troligtvis ses som tillhandahållare när en medborgare undertecknar i en e-tjänst.
Många av förordningens skyldigheter är kopplade till Kvalificerade betrodda tjänster men utbudet av tjänster är ännu begränsat
Kvalificerade betrodda tjänster
Kvalificerade betrodda tjänster är sådana tjänster som kan användas för att styrka sin sak vid rättslig prövning. Dessa tjänster granskas av ländernas tillsynsmyndigheter innan de får börja användas. Kvalificerad betrodd tjänst innebär bland annat att den som tillhandahåller tjänsten har större bevisbörda om det blir tvist om skadestånd.
Publiceras på EU Trusted List
Svenska domstolar accepterar den icke kvalificerade nivån. Därför är det ovanligt att leverantörerna i Sverige får sina tjänster kvalificerade. För att leverantörerna ska välja att kvalificera sina tjänster så behöver det kravställas.
Det går att köpa kvalificerade tjänster i andra europeiska länder, men det är ganska mycket procedurer runt det hela. Det kan finnas återförsäljare.
Det man behöver ta ställning till är om det behövs kvalificerade tjänster.
Icke kvalificerade betrodda tjänster
Förordningens krav gäller även dem men tillsyn sker vid behov.
Standarder
Det finns ett antal standarder för elektroniska underskrifter som det europeiska byggnadsblocket baserar sina tjänster på. Det är en europeisk standardiseringsorganisation som heter ETSI som förvaltar standarderna. Personal hos Sydarkivera som är specialiserad mot standarder och specifikationer har på sin att-göra-lista att läsa in sig på standarderna och hur de förhåller sig till arbetet med standarder och specifikationer för digitalt bevarande (eArchiving).
- Kommunala och regionala bolag
- Plan, bygg och miljö
- Teknik och anläggning
- Hälsa och socialt stöd
- Kommun- och regionledning
- Kultur och fritid
- Skola och utbildning
- Trygghet och säkerhet
- Planerad tillsyn
- Självvärdering arkivlokaler
- Självvärdering arkivansvarig
- Utvärdering för arkivombud
- Händelsestyrd tillsyn
Digitalisering - digitalt arbetssätt
Säkerhetsskyddsklassificerade uppgifter
- Informationshanteringsplan
- Hålla ordning
- Postöppning
- Registrering
- Klassificeringsstruktur
- Informationssäkerhetsklassning
- Projekt
- Gallra och rensa (slänga)
- Städa i mappar och filer
- Allmän handling
- Lämna ut allmän handling
- Offentlighet och sekretess
- Söka i arkiven
- Låna ut och avhända
- Tillgängliggöra och levandegöra arkiv
- Myndighet
- Registrator
- Nämndsekreterare
- Handläggare
- Arkivmyndighet
- Arkivansvarig
- Arkivombud
- Arkivarie
- Arkivföreståndare
- Arkivassistent
- Kontaktperson
- Leveranskoordinator
- Medlemssamordnare
- Ämnesansvarig
- Rutin för att lämna ut sekretess
- Rutin vid förfrågan om fastighetshandlingar
- Rutin vid betygsförfrågningar
- Hantera släktforskningsärenden
- Fotografier och bilder
- Kartor och ritningar
- Ljud och rörlig bild
- Mappar och filer
- Webbarkivering
- Äldre digitalt material
- Ärende- och dokumenthantering
Hittar du inte vad du letar efter?
Testa på Alla Sidor