Home > Sikkerhetssenter > E-signaturer
En guide til e-signaturer
En veiledning om e-signaturer og hva som gjør dem juridisk bindende.
Det er skrevet mye om elektroniske signaturer. I denne artikkelen vil vi presentere en enkel guide til e-signaturer og hva som gjør dem juridisk bindende.
I den moderne verden har alt blitt digitalisert med tiden. Alt fra netthandel til automatisering av komplekse forretningsfunksjoner er digitalisert i dag, og det legger grunnlaget for fremtiden vår også. Noe av det som har blitt populært, er elektroniske signaturer eller e-signaturer.
Men fordi det ser ut til å være enkelt å signere et dokument på nettet, er mange bekymret for om e-signaturer er lovlige. Har en e-signatur på en kontrakt noen juridisk status?
Hva er en e-signatur?
På samme måte som en signatur med blekk, er e-signering en måte å signere dokumenter på. Du kan bruke et e-signeringsverktøy som gir deg muligheten til å signere et dokument med et klikk eller skrive signaturen din på et digitalt dokument med musen. Tilstedeværelsen av en slik signatur på et dokument kan gi det en (sterkere eller svakere) juridisk status, avhengig av ulike faktorer som du vil lese om senere i veiledningen.
Lovligheten av elektroniske signaturer
Now that you know what e-signatures are, you must be wondering about their legality. Yes, you could put an electronic signature on a document but does doing so make the document legal?
Elektroniske signaturer er juridisk bindende i tretti europeiske land, USA og de aller fleste andre land i verden. En elektronisk signatur kan ha samme tyngde og rettsvirkning som et tradisjonelt papirdokument med penn og blekk.
I alle land der e-signaturer er juridisk bindende, er den juridiske statusen avhengig av at det kan bevises at disse tre elementene er til stede:
Hvem: Hvem har signert?
Dette er den delen hvor identiteten til signataren må kunne verifiseres. Det finnes en rekke metoder som kan brukes for å verifisere identiteten, for eksempel verifisering via SMS, e-post, elektronisk ID, for eksempel BankID i Norge. Jo strengere identitetskontroll det er i metoden, jo høyere sikkerhet gir metoden.
På toppen av dette lagres og logges mye informasjon om hver eneste interaksjon i kontrakten. Husk at ingen av disse identifikasjonsmetodene er 100 % sikre, selv om det digitale nesten alltid er bedre enn det analoge alternativet!
Hva & hensikt: Hva ble signert?
Den neste delen som påvirker den juridiske statusen til et signert dokument, er dokumentets innhold og partenes intensjon. Hva ble signert? Hadde partene som ble invitert til avtalen, til hensikt å signere og forplikte seg juridisk til dokumentet?
Det er her kontraktens innhold og hva partene har sagt i den signerte versjonen av dokumentet, har betydning. Hvis en kontrakt endres før den signeres, blir den nye ordlyden det nye kontraktstilbudet. Hvis det er mer enn én part som er invitert til å signere dokumentet, er kontrakten først signert når alle har signert – og er enige om det felles innholdet.
Integritet: Har dokumentet blitt endret eller manipulert etter signering?
Den siste delen som avgjør den juridiske statusen til et elektronisk signert dokument, er dokumentets integritet etter signering. Det betyr at etter at partene har signert dokumentet, må det holdes intakt og ikke kunne endres eller manipuleres.
Ved bruk av en elektronisk signatur basert på PKI blir dokumentet “hashet” og signert ved hjelp av et asymmetrisk krypteringsnøkkelpar. Hash-verdien er som et fingeravtrykk av dokumentet, og den er unik. Dokumentets integritet er beskyttet slik at selv en liten endring i dokumentet, f.eks. endring av et komma, et punkt eller et mellomrom, vil skape en helt annen hashverdi – og avsløre at det har skjedd en endring.
Kvalifikasjoner for at en e-signatur skal være juridisk bindende
Som du skjønner, er det ikke alle elektroniske signaturer som er juridisk bindende. Du kan selvsagt ikke bare ta et bilde av signaturen din på et stykke papir, beskjære det og lime det inn i dokumentene dine for å gjøre dokumentene “lovlige”. Denne metoden vil ikke gi noen god bevisverdi, ettersom noen andre enkelt kan kopiere og lime den inn fra dokumentet ditt til et annet.
Den juridiske verdien av en elektronisk signatur vil avhenge av muligheten til å bevise hvem som har brukt den, identiteten til denne personen og at de signerte dataene ikke er endret etter signeringen.
Regulering av elektroniske signaturer
De ovennevnte signaturtypene er nærmere beskrevet i EUs eIDAS-forordning (electronic IDentification, Authentication and trust Services). eIDAS er en omfattende forordning som omhandler elektronisk identifikasjon og tillitstjenester for elektroniske transaksjoner i det europeiske indre markedet. I USA regulerer ESIGN Act e-signaturer på føderalt nivå.
Oneflow følger standardene og beste praksis som er fastsatt i eller følger av eIDAS-forordningen.
- eIDAS: Forordning om elektronisk identifikasjon og tillitstjenester
- ESIGN-loven: Det står for US Electronic Signatures in Global and National Commerce Act (amerikansk lov om elektroniske signaturer i global og nasjonal handel).
- UETA: Uniform Electronic Transactions Act (lov om enhetlige elektroniske transaksjoner)
Typer av elektroniske signaturer
Det finnes ulike typer eller nivåer av elektroniske signaturer i henhold til eIDAS-forordningen: SES (Simple Electronic Signature), AdEs (Advanced Electronic Signature) og QES (Qualified Electronic Signature).
SES (Simple Electronic Signature)
Definisjonen av en elektronisk signatur i henhold til norsk lov og EU-retten er “data i elektronisk form som er knyttet til eller logisk forbundet med andre data i elektronisk form og som brukes av underskriveren til å signere” (eIDAS-forordningen artikkel 3). Ettersom det ikke er fastsatt noen spesifikke sikkerhetskrav i loven, er det ikke mulig å fastslå den juridiske verdien av en slik signatur uten å vurdere metoden og sikkerheten som brukes i det konkrete tilfellet.
AdES (Advanced Electronic Signature)
Som navnet antyder, er dette en avansert form for signatur som gir større sikkerhet enn en enkel elektronisk signatur. Den identifiserer også personen som har signert dokumentet. Denne typen e-signatur oppdager om noen har tuklet med signaturen etter at underskriveren har satt den på dokumentet. Disse signaturene gjøres sikre ved hjelp av kryptografiske nøkler. I henhold til eIDAS-forordningen betyr en avansert elektronisk signatur “en elektronisk signatur som oppfyller følgende krav:
- Den er unikt knyttet til signataren;
- Den er i stand til å identifisere underskriveren;
- Den er opprettet ved hjelp av data for oppretting av elektroniske signaturer som signataren med høy grad av tillit kan bruke under sin egen kontroll; og
- Den er knyttet til de signerte dataene, slik at eventuelle endringer i dataene kan oppdages.”
QES (Qualified Electronic Signature)
eIDAS-forordningen definerer kvalifisert elektronisk signatur som “‘kvalifisert elektronisk signatur’ betyr en avansert elektronisk signatur som er opprettet av en kvalifisert enhet for oppretting av elektroniske signaturer, og som er basert på et kvalifisert sertifikat for elektroniske signaturer”.
Disse signaturene er avanserte e-signaturer, men må overholde visse EU-standarder (basert på et såkalt kvalifisert sertifikat), noe som betyr at de tilbyr ekstra beskyttelseskontroller i forhold til de avanserte motstykkene. Du lager denne signaturen ved hjelp av en enhet som er spesielt utviklet for å lage e-signaturer. En domstol må normalt gi disse sertifikatene samme juridiske verdi som en håndskrevet signatur.
Bruk av et kvalifisert segl med elektronisk signatur
Når en kontrakt i Oneflow er signert av alle signatarene, legger Oneflow til ytterligere sikkerhets- og gyldighetsinformasjon i kontraktspakken, og deretter forsegles hele pakken med et kvalifisert elektronisk segl.
I likhet med elektroniske signaturer finnes det også ulike typer elektroniske segl i henhold til eIDAS-forordningen: Enkle, avanserte og kvalifiserte. Prinsippet er det samme som for elektroniske signaturer – kravene til hvert nivå av det elektroniske seglet bygger på kravene til nivået under. Et kvalifisert elektronisk segl oppfyller de høyeste kravene og et enkelt elektronisk segl de laveste.
Forseglingen skal forhindre både tilsiktede og utilsiktede endringer i dokumentets innhold etter at det er signert. Det betyr at du og dine motparter kan være helt sikre på at det dere har signert i dag, forblir uendret, både nå og i fremtiden. Selv om det ligger 20 år frem i tid.
Seglet som Oneflow bruker, påføres av vår partner Sovos TrustWeaver.
Slik verifiserer du ektheten til en e-signatur
Når du setter en e-signatur på et dokument, må du være sikker på at signaturen din kan verifiseres uavhengig av andre. Hva om noen tukler med dokumentet etter at du har signert det?
Hva om leverandøren av e-signaturen går konkurs? Er du avhengig av e-signaturleverandøren for verifisering? Da kan du ha store problemer.
Slik kan du kontrollere at du har signert dokumentet med en gyldig e-signatur.
- Bruk Adobe Reader til å åpne dokumentet du har e-signaturen din på.
- Se øverst og se om du finner et av disse alternativene.
- Alternativ A: Dokumentet er ikke signert, selv om signatarene er identifisert av e-signaturtjenesten.
- Alternativ B: Dokumentet verifiseres med signaturen og underskriverne. Det vil imidlertid være vanskelig å verifisere signaturen uten e-signaturtjenesten.
- Alternativ C: Dette er det beste alternativet som verifiserer signaturen din som kvalifisert e-signatur. Det er den sikreste formen for e-signatur du kan ha i dag.
La oss vise deg et triks!
Se hvordan du jobber smartere med digitale kontrakter. Enkelt som bare det!