EU:s eIDAS-förordning är ett väletablerat ramverk att hänvisa till när du gör affärer inom EU/EES, särskilt när du är osäker på om din elektroniska signatur är juridiskt bindande i EU/EES-medlemsstaternas ögon eller inte.
eIDAS-förordningen, formellt känd som förordning (EU) nr 910/2014 om “elektronisk identifiering och betrodda tjänster för elektroniska transaktioner”, reglerar elektroniska transaktioner, inklusive signaturer, för att ge användarna ett säkert sätt att göra affärer på nätet. eIDAS har på många sätt förändrat det sätt på vilket EU/EES-medlemsstaterna gör affärer med varandra och hur företag och användare i EU/EES interagerar med varandra. Förordningen har tillämpats i EU/EES-medlemsstaterna sedan den 1 juli 2016 och i kraft av att den är en förordning, inte ett direktiv, är den direkt tillämplig i hela EU utan att behöva införlivas i nationell lagstiftning.
Hur kan eIDAS hjälpa mig att göra affärer?
Vi tror starkt på eIDAS! Vi anser att eIDAS är den modernaste och mest omfattande signaturlagstiftning som finns i världen. Även om dess omfattning naturligtvis innebär att alla delar av eIDAS inte är tillämpliga eller nödvändiga för alla typer av företag och organisationer, fortsätter eIDAS att stimulera den digitala tillväxten i EU/EES genom att:
- Skapa en säker och förutsägbar ram som regleras av EU-kommissionen.
- Säkerställa att elektroniska interaktioner mellan företag är säkrare, snabbare och effektivare, oavsett i vilken medlemsstat i EU/EES de äger rum.
- Reglering av teknik och processer för att signera dokument på distans eller för att kunna försegla dokument, t.ex. avtal
- Skydda företag mot stöld, förlust, skada eller ändring av ett dokument.
- Främjar utvecklingen av verktyg för dokumentspårning, utbyte, signering, försegling och identifiering av dokument som hjälper företag att minska kostnaderna, förbättra kundupplevelsen och öka säkerheten.
Sedan eIDAS trädde i kraft 2016 har företagen insett de stora fördelarna med eIDAS, vilket har lett till ett ökat behov av verktyg som gör det möjligt att bedriva affärsverksamhet elektroniskt – t.ex. elektroniska signaturer och plattformar för automatisering av avtal.
Nivåerna av elektroniska signaturer enligt eIDAS
‘Enkel’ elektronisk signatur (SES)
En ‘enkel’ elektronisk signatur (‘simpel’ electronic signature) definieras i eIDAS (artikel 3) som “uppgifter i elektronisk form som är bifogade till eller logiskt kopplade till andra uppgifter i elektronisk form och som används av undertecknaren för att signera”.
Detta innebär att något så enkelt som att klicka på en knapp “Signera” eller “Jag accepterar” anses vara en giltig elektronisk signatur, eller att svara “I agree” på ett e-postmeddelande. Detsamma gäller om man ritar en signatur med musen på en webbplats eller lägger till en bild av en signatur i ett onlinedokument för att ange undertecknarens godkännande eller godkännande.
Avancerad elektronisk signatur (AdES)
Nästa signaturnivå, avancerad elektronisk signatur (advanced electronic signature), är en signatur som uppfyller ytterligare krav på säkerhet och integritet.
En signatur måste uppfylla följande krav för att betraktas som avancerad (artikel 26):
- Den är unikt kopplad till undertecknaren;
- Den kan identifiera undertecknaren;
- Den skapas med hjälp av data för skapande av elektroniska signaturer som undertecknaren med hög grad av säkerhet kan använda under sin egen kontroll, och
- Den är kopplad till de uppgifter som signerats med den på ett sådant sätt att varje senare ändring av uppgifterna kan upptäckas.
Detta innebär att signaturen alltid också är en digital signatur, oftast skapad med hjälp av en infrastruktur för offentliga nycklar (PKI), utöver att vara en elektronisk signatur. Här kan du läsa mer om skillnaden mellan digitala och elektroniska signaturer.
Kvalificerad elektronisk signatur (QES)
Kvalificerade elektroniska signaturer (Qualified electronic signatures) utgör den högsta nivån av elektroniska signaturer och är juridiskt sett likvärdiga med en handskriven signatur. I tvister innebär det att undertecknaren inte har bevisbördan, utan det är den utmanande parten som har bevisbördan för att den kvalificerade signaturen är ogiltig.
En kvalificerad elektronisk signatur är en avancerad elektronisk signatur som dessutom uppfyller följande krav (artikel 3):
- skapad av en kvalificerad anordning för skapande av signaturer;
- och bygger på ett kvalificerat certifikat för elektroniska signaturer;
Kvalificerade enheter för skapande av signaturer är särskild hårdvara med hög säkerhet som är särskilt utformad för att utföra känsliga kryptografiska operationer, t.ex. signering. Kvalificerade certifikat är särskilda PKI-certifikat med hög säkerhet som utfärdas av en särskild typ av tredje part som har granskats, godkänts och certifierats av särskilda organ för bedömning av överensstämmelse i enlighet med eIDAS (avsnitt 3).
Förseglingar vs signaturer
I eIDAS-förordningen beskrivs inte bara elektroniska signaturer (eIDAS avsnitt 4) utan även elektroniska förseglingar (eIDAS avsnitt 5).
I artikel 3 definieras “elektronisk försegling” som “uppgifter i elektronisk form som är bifogade till eller logiskt förknippade med andra uppgifter i elektronisk form för att säkerställa dessa uppgifters ursprung och integritet”.
Den rättsliga ramen och det tekniska genomförandet för förseglingar är i de flesta avseenden identiska med signaturer. Den största skillnaden mellan de två är att signaturer innebär att undertecknaren har ett rättsligt uppsåt, vilket inte är fallet med förseglingar.
De tre signaturnivåerna, SES, AdES och QES, finns även för försegling och har något förvirrande nog samma namn, nämligen Enkel elektronisk försegling (Simple Electronic Seal (SES)), Avancerad elektronisk försegling (Advanced Electronic Seal (AdES)) och Kvalificerad elektroniska försegling (Qualified Electronic Seal (QuES)).
Hur tillämpas eIDAS-förordningen i EU/EES och utanför EU/EES?
För vilka länder är eIDAS tillämpligt?
eIDAS är en EU-förordning, vilket innebär att den är tillämplig i alla EU/EES-medlemsstater. Det innebär att eIDAS är tillämpligt i alla EU:s medlemsstater samt Island, Liechtenstein, Norge och Storbritannien. När vi talar om EU/EES-medlemsstater på den här sidan avser vi alla dessa länder.
Är elektroniska signaturer juridiskt bindande i mitt land?
En av de vanligaste frågorna från våra användare är om elektroniska signaturer är juridiskt bindande i de länder där de används.
Först och främst är det viktigt att förstå att även om eIDAS-förordningen skapar en ram som hjälper företag att genomföra säkrare transaktioner i alla länder på den europeiska inre marknaden och över gränserna inom EU/EES, varierar den lokala lagstiftningen i varje land. I många fall har den lokala lagstiftningen företräde framför eIDAS-förordningarna och dessutom uppdateras lagstiftningen kontinuerligt.
Detta innebär att om du inte konsulterar en advokat som är specialiserad på detta rättsområde i det land där du är verksam, kommer allt du läser på Internet att ha en “detta är inte en juridisk rådgivning”-avskrivning för att undvika tvister.
Oneflow utvecklar, säljer och implementerar digitala system för avtalshantering och automatisering. Vi, som är leverantör av en SaaS-plattform för avtalsautomatisering, liksom många leverantörer av elektroniska signaturer i branschen, befinner oss inte i någon trovärdig position för att ge råd till någon eller något företag i juridiska frågor.
Det enda vi kan göra är att informera om hur Oneflow fungerar, hur de olika signaturnivåerna genomförs och på vilka antaganden systemet fungerar. Det kommer alltid att vara upp till dig som användare att se till att du använder rätt typ av signatur för din typ av dokument och omständigheter.
Hur Oneflow uppfyller kraven i eIDAS
På Oneflow har vi åtagit oss att erbjuda elektroniska signaturer som är säkra, enkla att använda, oberoende verifierbara och manipuleringssäkra, allt i enlighet med det ramverk som fastställts av eIDAS.
Vi vill också erbjuda dig den typ av signatur som bäst uppfyller dina behov och krav. Det är lätt att tro att man alltid ska använda kvalificerade elektroniska signaturer, eftersom det är den högsta signaturnivån, men så är det inte. Med högre nivåer av signaturer följer högre kostnader och högre friktion. Därför är det viktigt att använda rätt signaturnivå för användningsfallet (eSignature – Get started).
Vilka typer av elektroniska signaturer erbjuder Oneflow?
Oneflow erbjuder både enkla (SES) och avancerade elektroniska signaturer (AdES).
Den enkla signaturen finns i många olika former. De olika formerna har olika nivåer av säkerhet och tillförlitlighet men motsvarar också olika behov och krav.
De enkla elektroniska signaturformer som Oneflow erbjuder är bland annat följande:
- Standardiserad e-signatur där du signerar genom att klicka på en knapp via en privat, krypterad länk.
- Signering med ett SMS eller textmeddelande;
- Signering med handskriven signatur;
- Signering med elektronisk identifiering genom våra eID-partners.
För avancerade elektroniska signaturer förlitar sig Oneflow på externa partner, såsom svenska och norska BankID och Signicat (se avsnittet nedan). Listan över avancerade signaturer som stöds växer kontinuerligt men omfattar för närvarande följande:
- Svenska BankID
- Norska BankID
Hur uppfyller elektroniska signaturer i Oneflow signaturnivåerna i eIDAS-förordningen?
Oneflow erbjuder elektroniska signaturer på enkel (Simple Electronic Signature, SES) och avancerad nivå (Advanced Electronic Signature, AdES).
Den enkla nivån har inga krav utöver “uppgifter i elektronisk form som är bifogade till eller logiskt förknippade med andra uppgifter i elektronisk form och som används av undertecknaren för att signera” (eIDAS artikel 3). Alla våra enkla signaturer gör detta och mycket mer. Vi samlar också in flera datapunkter för varje signatur, vilket gör även den enkla nivån i många fall säkrare än en traditionell handskriven signatur.
Den avancerade nivån ställer stränga krav på identifiering av undertecknaren och dennes kontroll över signeringsmedlen. I Oneflow hanteras detta av de olika eID:er som kan användas för signering. Vi inkluderar också den faktiska signaturen, som eID-leverantören gett oss, i det signerade avtalet så att den senare kan kontrolleras och valideras.
Som beskrivs ovan i avsnittet “Hur tillämpas eIDAS-förordningen i EU/EES och utanför?” erbjuder Oneflow ingen juridisk rådgivning och kan inte tala om vilken typ av signatur du behöver i ditt specifika fall (typ av dokument och omständigheter).
Vilket signaturformat använder Oneflow?
Den kvalificerade elektroniska försegling som tillämpas på alla signerade avtal och som garanterar dess integritet efter signerandet är av typen CAdES-A (eSignature Standards+and+specifications).
Vad är Signicat och varför omdirigeras jag ibland till dem när jag signerar med AdES?
Oneflow samarbetar med Signicat för att förse våra kunder med säkra och tillförlitliga e-legitimationer och avancerade signaturer i ett stort antal länder. Signicat är den ledande eID-mäklaren i EU/EES och en Qualified Trust Service Provider (QTSP).
När du signerar med eID:er omdirigeras du därför ofta till signicat.com för att slutföra signeringen.
Vanliga frågor om signerade avtal i Oneflow
I det här avsnittet har vi valt ut några av de vanligaste frågorna från våra användare om signerade avtal i Oneflow-applikationen. Det finns fler frågor i vårt hjälpcenter, och om du har en specifik fråga, tveka naturligtvis inte att kontakta oss.
Kan jag redigera de signerade avtalen?
Nej, när ett avtal har signerats av alla undertecknare låses det av juridiska skäl och säkerhetsskäl och kan inte längre redigeras.
Om du behöver redigera ett signerat avtal kan du istället göra en kopia av avtalet (i Oneflow öppnar du avtalet och väljer kopieringsalternativet under de tre prickarna uppe till höger), och sedan gör du ändringen i kopian innan du skickar det för signering igen.
Mer information om hur man kopierar och redigerar signerade avtal hittar du här.
Min motpart hade signerat, men plötsligt ser det ut som om avtalet inte har signerats av motparten igen. Vad har hänt?
Signaturerna har återställts eller tagits bort eftersom någon har ändrat avtalet.
När ett avtal i Oneflow har signerats av alla undertecknare blir det låst och inga ytterligare ändringar kan göras i avtalet, se “Kan jag redigera signerade avtal?” ovan. Fram till denna punkt kan hela avtalet ändras, så länge användaren har behörighet att göra det.
Innan avtalet har signerats av alla undertecknare är dock varje version av dokumentet ett separat avtalsförslag. Varje ändring av ett avtalsförslag resulterar i ett nytt avtalsförslag.
När några få, men inte alla, undertecknare har signerat ett avtal och avtalet ändras, kommer de undertecknare som hade signerat avtalet att få sin signatur nollställd för att se till att alla har signerat rätt version.
Du hittar mer information om hur och varför signaturer återställs när avtal ändras i vårt hjälpcenter.
Om du vill se vilka ändringar som gjordes i avtalet som ledde till att signaturerna återställdes kan du kontrollera avtalets verifieringskedja. Funktionen Audit trail samlar in och loggar alla ändringar som gjorts i ett avtal. Du kan se exakt vilken händelse som återställde signaturerna under fliken “Audit trail” högst upp till höger i avtalet.
Mer information om hur du hittar verifieringsspåren för dina avtal finns här.
Hur kan jag kontrollera att det avtal jag signerat med Oneflow fortfarande är giltigt och säkert signerat?
Oneflow tillhandahåller en PDF-fil för avtalsbekräftelse för alla signerade dokument. PDF-filen för avtalsbekräftelse förseglas elektroniskt med ett kvalificerat elektroniskt försegling (QuES).
Verifieringen och dess försegling garanterar det signerade avtalets integritet.
Se Oneflow Help Center för mer information om hur du verifierar verifikationens och avtalets integritet.
Hur används elektroniska förseglingar i Oneflow?
När avtalet är signerat av alla signatärer applicerar Oneflow ett kvalificerat elektronisk försegling på avtalet för att garantera integriteten och förhindra att det manipuleras. Om verifikationen, avtalet eller någon av dess bilagor ändras, oavsett hur liten ändringen är, bryts förseglingen och ändringen upptäcks.
Förseglingen appliceras av vår partner Sovos Trustweaver, som är en kvalificerad betrodd tjänsteleverantör.
Förseglingen kan verifieras oberoende av alla tjänster eller program som stöder CAdES-signaturer.
Hur säkerställer jag att rätt person har signerat avtalet?
Oneflow erbjuder flera olika typer av signaturer med olika säkerhetsnivåer. Om en lägre säkerhetsnivå är acceptabel kan en enkel elektronisk signatur via ett verifierat e-postmeddelande vara tillräcklig. Alternativt kan flerfaktorsautentisering via SMS läggas till.
Om en högre säkerhetsnivå krävs bör eID användas. Den faktiska säkerhetsnivån beror på vilken e-legitimation som används (eIDAS Level of Assurance (LoA))
Om du inte redan har aktiverat det har vi en guide om hur du aktiverar signering med eID i länder som stöds här.
Kan jag importera signerade avtal?
Självklart. Du kan importera signerade avtal i Oneflow med hjälp av vår importfunktion. Logga in i Oneflow, gå till “avtal” i vänstermenyn. Klicka sedan på “Importera signerade avtal” uppe till höger. Du kan läsa mer om hur du importerar avtal i Oneflow i den här guiden.
