Till innehållet

E-underskrift för dig som offentlig aktör

Vi rekommenderar offentliga aktörer att skaffa en fristående underskriftstjänst, som är den mest flexibla lösningen för e-underskrifter. Här kan du läsa hur du gör och vad du behöver tänka på. Du kan också läsa om hur du tar emot handlingar med e-underskrift och hur du själv skriver under.

Upphandla e-underskriftstjänst

I vissa e-legitimationer ingår e-underskrift, vilket betyder att du både kan logga in och skriva under med samma e-legitimation. Den möjligheten finns inte i till exempel utländska e-legitimationer. Vi rekommenderar därför att du skaffar en fristående underskriftstjänst. En fristående underskriftstjänst kan till exempel både användas i interna verksamhetsprocesser och i e-tjänster där användare lämnar uppgifter som ska undertecknas.

Vi rekommenderar att du ställer krav på att underskriftstjänsten ska vara granskad och godkänd av DIGG.

Det här granskar vi

Vi granskar leverantörer av fristående underskriftstjänster efter en ansökan från leverantören. Vår granskning ska ses som ett sätt för offentliga aktörer att själva slippa göra motsvarande granskning, och för leverantörer att slippa delta i flera olika granskningar.

I vår granskning av underskriftstjänster utgår vi ifrån vår normativa specifikation. Specifikationen har tagits fram för att passa offentliga aktörer med e-tjänster där en användare ska skriva under.

Vi lägger stor vikt vid bland annat möjligheten att integrera e-underskriftstjänsten med offentliga aktörers e-tjänster, att dokumenten som undertecknas inte ska behöva lämna aktören, och att tjänsten fungerar med utländska e-legitimationer.

En underskriftstjänst som är godkänd av DIGG skapar e-underskrifter som är att betrakta som en avancerad e-underskrift enligt eIDAS.

Lär dig mer

  • CGI Sverige AB
  • Chas Visual Management AB med Cybercom Sweden AB som underleverantör
  • Pulsen AB med Nexus Group som underleverantör.

Bra att veta om vår granskning

En underskriftstjänst som är godkänd av DIGG skapar e-underskrifter som är att betrakta som avancerade elektroniska underskrifter enligt eIDAS-förordningen.

En leverantör måste dock inte vara godkänd i vår granskning för att den elektroniska underskriften ska vara giltig. Det är alltid den organisation som tar emot den underskrivna handlingen som bedömer om den uppfyller organisationens krav. 

Skaffa fristående underskriftstjänst

Fristående underskriftstjänst är en komponent av flera som krävs för att underskriftsprocessen ska fungera. Här kan du läsa om vad du bör tänka på när du skaffar någon av de tjänster för e-underskrift som vi rekommenderar.

  • Leverantören behöver förbinda sig till att tjänsten över tid uppfyller de krav som DIGG ställer. Det innebär att de både behöver upprätthålla den nivå som godkänts, och anpassa sig till förändringar i kraven, utan extra kostnad för dig som kund.
  • Leverantörens åtagande att tillhandahålla loggar och eventuell annan information behöver regleras, framförallt vad som gäller om leverantören råkar i obestånd.
  • Fristående underskriftstjänst är avsett att vara en väldigt standardiserad tjänst där leverantören utan onödiga risker kan köra tjänster för flera kunder i samma server. Det går att ställa egna krav på till exempel svarstider och avbrottstider, men eftersom det minskar leverantörens möjlighet att dela på dyra resurser riskerar kostnaden överstiga nyttan.
  • Du behöver bedöma om urvalet ska begränsas till de leverantörer som granskats och godkänts av DIGG eller om alla leverantörer som uppfyller kraven ska ha rätt att lämna anbud. Våra specifikationer kan användas som upphandlingskrav men det ställer krav på att ni själva utvärderar anbuden.
  • Fristående underskriftstjänster är utformade så att leverantören inte kan ta del av innehållet i den information som ska undertecknas, och att det därmed inte finns någon risk för att röja innehållet i sekretessbelagda dokument. Det kräver dock att övriga komponenter i underskriftsprocessen är utformade med tanke på detta, inte bara den komponent som DIGG granskar och godkänner.
  • En fristående underskriftstjänst förutsätter att användaren legitimerar sig med en e-legitimation. Kraven bör därför ställas så att underskriftstjänsten stödjer alla e-legitimationer som är godkända av DIGG, inklusive utländska e-legitimationer enligt eIDAS. Det bör lösas genom att underskriftsleverantören tillåts att agera som underleverantör till kunden, eftersom en underskriftsleverantör inte på egen hand kan begära legitimering via eIDAS-noden Sweden Connect. 

För att den fristående underskriftstjänsten ska fungera behöver du komplettera den med fler komponenter. Dessa komponenter har inte standardiserats lika långt som den fristående underskriftstjänsten, och de omfattas heller inte av våra specifikationer eller vår granskning. 

Det finns några saker som är viktiga att tänka på:

  • Vissa steg i underskriftsprocessen kräver tillgång till det dokument som ska undertecknas. För att bibehålla möjligheten att hantera sekretessbelagd information behöver driften utformas så att dokumentet aldrig lämnar kundens IT-miljö. Det utesluter därför användning av molntjänster.
  • Användargränssnittet i dessa komponenter behöver uppfylla lagen (2018:1937) om tillgänglighet till digital offentlig service. Läs mer om digital tillgänglighet.
  • Den fristående underskriftstjänsten bör inte knytas för starkt till ett specifikt IT-stöd, utan behandlas som en gemensam resurs för hela organisationen. Rätt implementerad fungerar den lika bra för allmänhetens underskrift i e-tjänster som för leverantörers påskrift av avtal och den egna personalens underskrifter. För att det ska fungera krävs att den hanteras som ett fristående system som kan anropas från alla system inom organisationen som har behov av underskrift. 

Ta emot en e-underskrift

När du tar emot en handling som innehåller en e-underskrift behöver du avgöra om den går att lita på. Det kallas för att validera e-underskriften. Du behöver också bedöma om handlingens form uppfyller din verksamhets behov, och ta ställning till hur handlingen ska bevaras. Här får du några tips på vad du kan tänka på vid en bedömning.
  1. Undersök om det får några större konsekvenser för verksamheten om dokumentet inte kan anses vara korrekt underskrivet. Om nej, kan det räcka med kontroller.
  2. Kontrollera om det finns formkrav i författningen som gör att ni måste avvisa dokumentet.

Undersök att e-underskriftens certifikat har utfärdats av en trovärdig organisation. Det kan göras på flera olika sätt:

  • Post- och telestyrelsen (PTS) publicerar en förteckning över kvalificerade tillhandahållare av kvalificerade betrodda tjänster. Icke kvalificerade tillhandahållare och certifikat är inte granskade av PTS, vilket gör att det kan vara svårare att veta om de är tillräckligt pålitliga som certifikat för e-underskrifter.
  • Upprätta egna listor över certifikatutfärdare som ni litar på, för att hjälpa era handläggare att kontrollera om ett certifikat har framställts av en trovärdig organisation.
  • Använd er av listor som ges ut av organisationer som kan anses trovärdiga, även om de inte formellt är granskningsorgan. Microsoft och Adobe med flera publicerar sådana listor men eftersom det är dyrt för utfärdare av dessa certifikat att genomgå den prövning som krävs för att få ingå, är listorna inte kompletta. Man kan därför inte utgå från att det certifikat som använts för att framställa e-underskriften finns med på dessa listor.

Lär dig mer

PTS förteckning över kvalificerade tillhandahållare av kvalificerade betrodda tjänster (pts.se)

Läs mer om betrodda tjänster enligt eIDAS (pts.se)

 

Kontrollera att e-underskriftens certifikat är giltigt och inte spärrat. Det kan kontrolleras utifrån sista giltighetsdag och de spärrlistor som utfärdaren publicerar.

Kontrollera att dokumentet inte har förändras genom att beräkna en ny kontrollsumma på dokumentet och jämför med den kontrollsumma som finns i den elektroniska underskriften. Om dokumentet är oförändrat ska kontrollsummorna överensstämma.

Du kan ibland i efterhand behöva bedöma en e-underskrift där certifikatets sista giltighetsdag har löpt ut. En kontroll kommer då att säga att certifikatet är ogiltigt. Du behöver då avgöra om underskriften var giltig när handlingen togs emot.

Kontrollera därför direkt när du tar emot e-underskriften om det är ett dokument som ska bevaras, och om någon i efterhand kan behöva bedöma om e-underskriften var giltig när handlingen kom in till myndigheten. Arkivera då handlingen på ett sätt som gör att du kan lita på att alla handlingar som finns i arkivet var godkända när de lagrades och inte har förändrats sedan dess.

Läs mer om arkivhantering på Riksarkivets webbplats.

Det här säger reglerna

En underskrift får inte avvisas enbart baserat på det faktum att den är elektronisk. Kravet finns i EU-förordningen eIDAS ((EU) nr 910/2014).

Kravet gäller inte:

  • vid användning inom slutna system.
  • om det finns särskilda formkrav i svensk författning som reglerar din offentliga verksamhets insamling av information.

EU-förordningen eIDAS ((EU) nr 910/2014)

Skriv under med e-underskrift

En e-underskrift är personlig och kopplad till en individ. När du skriver under med en e-underskrift knyts din identitet till den elektroniska handlingen.

Om du också vill att handlingen ska innehålla information om vilken roll du har, eller att du har rätt att företräda din organisation, behöver du komplettera underskriftsprocessen med funktioner för att lägga till den typen av uppgifter. Det görs normalt med så kallade attributtjänster. När attributtjänster beaktas måste du också tänka på tillförlitligheten i de uppgifter som tillhandahålls och hur de fungerar över tid. Tekniken påverkas bland annat av möjligheterna i det IT-system som du arbetar i, den e-legitimation som du använder, och kunskaperna hos den som tar emot dokumentet.

Fundera därför på:

  • om det behöver framgå mer information om dig som skriver under med e-underskrift, än vad det hade gjort om du hade skrivit under med en fysisk penna på ett papper.
  • om din roll istället kan framgå av texten i det dokument som ska undertecknas. Denna lösning är tekniskt sett enklare samt tydligare för alla parter.

I grunden skiljer sig inte e-underskrifter på handlingar som ska undertecknas av flera personer från dem som bara undertecknas av en person. Det krävs dock att IT-systemet kan göra handlingen tillgänglig för en ny person i den personens dator.

I vilken ordning personerna undertecknar kan ha betydelse vid elektronisk underskrift. Det är möjligt att ordna så att den person som skriver under elektroniskt som nr 2 också skriver på att person nr 1 redan har undertecknat. Om man förväntar sig att nr 2 då kontrollerar att nr 1 var behörig att underteckna, bör det förtydligas i instruktionerna till nr 2.

I den analoga världen är det ofta viktigt i vilken ordning man skriver under. En upphandlande myndighet vill till exempel ofta underteckna sist för att undvika att leverantörer smyger in en ändring i dokumentet. Eftersom den elektroniska underskriften innehåller en kontroll av att dokumentet inte förändrats sedan den första underskriften, förlorar ordningen den betydelsen i den digitala världen vilket kan förenkla rutinerna.

Skillnaden mellan en elektronisk stämpel och en elektronisk underskrift är att det med stämpeln är den juridiska personens identitet som framgår istället för den enskilda tjänstemannens. Att använda sig av en stämpel ställer ofta andra krav på de IT-system där handlingen undertecknas.

En elektronisk stämpel är ett alternativ som bör övervägas när organisationen står bakom en elektronisk handling. Denna lösning röjer inte uppgifter i onödan om tjänstemän och stödjer även grundsynen att det är myndigheten som fattar beslutet, inte en enskild person.

Vanliga frågor och svar

Vi avråder inte från andra sätt att skaffa e-underskrift, men vi har inte granskat dem och gör inga bedömningar av vad de innebär. Vi kan heller inte lämna något stöd kring hur de ska anskaffas.