Till innehållet

E-underskrift för dig som offentlig aktör

Vi rekommenderar offentliga aktörer att skaffa en fristående underskriftstjänst, som är den mest flexibla lösningen för e-underskrifter. Här kan du läsa hur du gör och vad du behöver tänka på.

Upphandla e-underskriftstjänst

I vissa e-legitimationer ingår e-underskrift, vilket betyder att du både kan logga in och skriva under med samma e-legitimation. Den möjligheten finns inte i till exempel utländska e-legitimationer. Vi rekommenderar därför att du skaffar en fristående underskriftstjänst. En fristående underskriftstjänst kan till exempel både användas i interna verksamhetsprocesser och i e-tjänster där användare lämnar uppgifter som ska undertecknas.

Skaffa fristående underskriftstjänst

Fristående underskriftstjänst är en komponent av flera som krävs för att underskriftsprocessen ska fungera. Här kan du läsa om vad du bör tänka på när du skaffar någon av de tjänster för e-underskrift som vi rekommenderar.

  • Leverantören behöver förbinda sig till att tjänsten över tid uppfyller de krav som DIGG ställer. Det innebär att de både behöver upprätthålla den nivå som godkänts, och anpassa sig till förändringar i kraven, utan extra kostnad för dig som kund.
  • Leverantörens åtagande att tillhandahålla loggar och eventuell annan information behöver regleras, framförallt vad som gäller om leverantören råkar i obestånd.
  • Fristående underskriftstjänst är avsett att vara en väldigt standardiserad tjänst där leverantören utan onödiga risker kan köra tjänster för flera kunder i samma server. Det går att ställa egna krav på till exempel svarstider och avbrottstider, men eftersom det minskar leverantörens möjlighet att dela på dyra resurser riskerar kostnaden överstiga nyttan.
  • Fristående underskriftstjänster är utformade så att leverantören inte kan ta del av innehållet i den information som ska undertecknas, och att det därmed inte finns någon risk för att röja innehållet i sekretessbelagda dokument. Det kräver dock att övriga komponenter i underskriftsprocessen är utformade med tanke på detta, inte bara den komponent som DIGG granskar och godkänner.
  • En fristående underskriftstjänst förutsätter att användaren legitimerar sig med en e-legitimation. Kraven bör därför ställas så att underskriftstjänsten stödjer alla e-legitimationer som är godkända av DIGG, inklusive utländska e-legitimationer enligt eIDAS. Det bör lösas genom att underskriftsleverantören tillåts att agera som underleverantör till kunden, eftersom en underskriftsleverantör inte på egen hand kan begära legitimering via eIDAS-noden Sweden Connect. 

För att den fristående underskriftstjänsten ska fungera behöver du komplettera den med fler komponenter. Dessa komponenter har inte standardiserats lika långt som den fristående underskriftstjänsten, och de omfattas heller inte av våra specifikationer eller vår granskning. 

Det finns några saker som är viktiga att tänka på:

  • Vissa steg i underskriftsprocessen kräver tillgång till det dokument som ska undertecknas. För att bibehålla möjligheten att hantera sekretessbelagd information behöver driften utformas så att dokumentet aldrig lämnar kundens IT-miljö. Det utesluter därför användning av molntjänster.
  • Användargränssnittet i dessa komponenter behöver uppfylla lagen (2018:1937) om tillgänglighet till digital offentlig service. Läs mer om digital tillgänglighet.
  • Den fristående underskriftstjänsten bör inte knytas för starkt till ett specifikt IT-stöd, utan behandlas som en gemensam resurs för hela organisationen. Rätt implementerad fungerar den lika bra för allmänhetens underskrift i e-tjänster som för leverantörers påskrift av avtal och den egna personalens underskrifter. För att det ska fungera krävs att den hanteras som ett fristående system som kan anropas från alla system inom organisationen som har behov av underskrift. 

Skriv under med e-underskrift

En e-underskrift är personlig och kopplad till en individ. När du skriver under med en e-underskrift knyts din identitet till den elektroniska handlingen.

Om du också vill att handlingen ska innehålla information om vilken roll du har, eller att du har rätt att företräda din organisation, behöver du komplettera underskriftsprocessen med funktioner för att lägga till den typen av uppgifter. Det görs normalt med så kallade attributtjänster. När attributtjänster beaktas måste du också tänka på tillförlitligheten i de uppgifter som tillhandahålls och hur de fungerar över tid. Tekniken påverkas bland annat av möjligheterna i det IT-system som du arbetar i, den e-legitimation som du använder, och kunskaperna hos den som tar emot dokumentet.

Fundera därför på:

  • om det behöver framgå mer information om dig som skriver under med e-underskrift, än vad det hade gjort om du hade skrivit under med en fysisk penna på ett papper.
  • om din roll istället kan framgå av texten i det dokument som ska undertecknas. Denna lösning är tekniskt sett enklare samt tydligare för alla parter.

I grunden skiljer sig inte e-underskrifter på handlingar som ska undertecknas av flera personer från dem som bara undertecknas av en person. Det krävs dock att IT-systemet kan göra handlingen tillgänglig för en ny person i den personens dator.

I vilken ordning personerna undertecknar kan ha betydelse vid elektronisk underskrift. Det är möjligt att ordna så att den person som skriver under elektroniskt som nr 2 också skriver på att person nr 1 redan har undertecknat. Om man förväntar sig att nr 2 då kontrollerar att nr 1 var behörig att underteckna, bör det förtydligas i instruktionerna till nr 2.

I den analoga världen är det ofta viktigt i vilken ordning man skriver under. En upphandlande myndighet vill till exempel ofta underteckna sist för att undvika att leverantörer smyger in en ändring i dokumentet. Eftersom den elektroniska underskriften innehåller en kontroll av att dokumentet inte förändrats sedan den första underskriften, förlorar ordningen den betydelsen i den digitala världen vilket kan förenkla rutinerna.

Skillnaden mellan en elektronisk stämpel och en elektronisk underskrift är att det med stämpeln är den juridiska personens identitet som framgår istället för den enskilda tjänstemannens. Att använda sig av en stämpel ställer ofta andra krav på de IT-system där handlingen undertecknas.

En elektronisk stämpel är ett alternativ som bör övervägas när organisationen står bakom en elektronisk handling. Denna lösning röjer inte uppgifter i onödan om tjänstemän och stödjer även grundsynen att det är myndigheten som fattar beslutet, inte en enskild person.

Vanliga frågor och svar

Vi avråder inte från andra sätt att skaffa e-underskrift, men vi har inte granskat dem och gör inga bedömningar av vad de innebär. Vi kan heller inte lämna något stöd kring hur de ska anskaffas.

Om myndigheten inte har någon egen underskriftslösning som du kan använda behöver du skaffa en egen lösning för att skriva under dokument som ska skickas in till dem.

Vissa myndigheter har lagkrav som styr hur underskriften ska se ut, och det är den myndighet som tar emot den underskrivna handlingen som behöver bedöma om handlingen uppfyller kraven.

Vi kan därför inte svara på om en specifik underskriftslösning fungerar just i ditt fall.

Förordningen (EU) nr 910/2014 (eIDAS-förordningen) delar in e-underskrifter i tre kategorier: elektronisk underskrift, avancerad elektronisk underskrift och kvalificerad elektronisk underskrift. Det är vanligt att myndigheter och andra offentliga aktörer ställer krav på avancerad elektronisk underskrift, och dessa behöver inte vara godkända, certifierade eller liknande.  Det som krävs är att de uppfyller kraven i eIDAS-förordningen. Kraven är bland annat att underskriften ska vara unikt kopplad till och kunna identifiera den som skrivit under, och att det i efterhand ska gå att upptäcka eventuella ändringar.

Vi föreslår att du för en dialog med myndigheten som du ska skriva under hos, och beskriver förutsättningarna för den lösning som du planerar att använda för att skriva under en handling hos dem.