Förstudie om användning och hantering av underskrifter med elektroniska materiel och metoder

Myndigheten för digital förvaltning (Digg) är en statlig myndighet som har i uppdrag att samordna och stödja den förvaltningsgemensamma digitaliseringen i syfte att göra den offentliga förvaltningen mer effektiv och ändamålsenlig. Digg har granskat förstudien utifrån frågeställningarna i missivet, och lämnar följande synpunkter.

Generella synpunkter

Digg välkomnar den omsorg som lagts på att redogöra för skillnaderna mellan digitala signaturer, elektroniska underskrifter och andra närbesläktade begrepp, då dessa ofta sammanblandas.

Digg har uppmärksammat att förstudien inte har för avsikt att vara pedagogisk och att den riktar sig till en läsarkrets som kan förväntas vara väl bekant med lagstiftningen på området. Digg vill ändå lyfta fram möjligheten att förbättra läsbarheten av den löpande texten i förstudien genom att, vid referenser till EU:s rättsakter, använda sig av inarbetade benämningar istället för rättsaktsnummer. Exempel på sådana är eIDAS-förordningen (EU) 910/2014 och Signaturdirektivet 1999/93/EG. Användning av så kallade populärnamn får anses vedertaget i framställningar av denna typ. Digg har uppmärksammat att referenser till Dataskyddsförordningen (EU) 2016/679 i förstudien följer denna metodik.

2.6 Elektroniska dokument

Digg ifrågasätter huruvida ett elektroniskt dokument generellt kan definieras utifrån att dess innehåll är fixerat, även om begreppet tillskrivits denna betydelse i ett fåtal specialförfattningar. Ett elektroniskt dokument torde kunna avse t ex en datafil eller annan elektronisk representation, oavsett om dess innehåll är skyddat eller ej. Begreppet bör därför inte användas när det inte är särskilt påkallat.

Digg har dock inga invändningar i sak mot att krav uppställs på att allmänna handlingar i elektronisk form ska skyddas mot manipulering exempelvis genom en elektronisk underskrift. I situationer då kryptologiska metoder används för att fixera en informationsmängd, men där dess förmåga att unikt identifiera vem som framställt signaturen är av underordnat värde, föreslår dock Digg att termen elektronisk signering används för att särskilja dem från elektroniska underskrifter där syftet är att knyta en unik person till handlingen.

2.7 Elektroniska underskrifter

Digg delar inte uppfattningen i förstudien angående vilka minimikrav som ska anses uppställas på en elektronisk underskrift enligt eIDAS-förordningen. Digg är av uppfattningen att eIDAS-förordningen utöver kvalificerad och avancerad elektronisk underskrift erkänner en tredje underskriftstyp, en ”enkel” elektronisk underskrift, som omfattar samtliga elektroniska uppgifter som används av en person för att skriva under men som inte uppfyller kraven i art. 26 eIDAS-förordningen.

Då krav på användande av en särskild anordning för underskriftframställning endast uppställs för framställning av kvalificerade elektroniska underskrifter, är Digg av uppfattningen att lydelsen i art 3.22 eIDAS-förordningen inte kan läggas till grund för uppfattningen att minimikravet på de uppgifter som används för att framställa en elektronisk underskrift går utöver att personen som skriver under är urskiljbar.

Den enda reglering som eIDAS-förordningen gör gällande för denna elektroniska underskrift, att den inte får förvägras rättslig verkan eller giltighet som bevis vid rättsliga förfaranden enbart på grund av att den har elektronisk form, är dock till följd av principen om fri bevisföring av begränsad betydelse för svenska förhållanden.

2.13 Oavvislighet

Begreppet oavvislighet är problematiskt eftersom det kan tolkas som att det går att framställa tekniska bevis som gör att en person aldrig kan förneka att denne skrivit under. Oavsett vilka tekniska bevis som knyts till ett dokument, kan personen alltid hävda att hen inte har skrivit under det.

Underskrift är en viljehandling och en persons avsikt kan aldrig dokumenteras med tekniska medel. Exempelvis kan personen förneka att hen skrivit under genom att hävda att det är någon annan som undertecknat eller att hen inte förstod att hen undertecknade. Om en part i en domstolsprocess åberopar en underskriven handling som bevis, är det rätten som slutligen måste avgöra vad som är visat.

3.2 Nationell rätt

Digg har tolkat innebörden av skrivningen i propositionen som citeras i stycket som att de elektroniska underskrifter som genereras med hjälp av de i Sverige förekommande tjänsterna för e-legitimationer generellt anses uppfylla kraven för avancerade elektroniska underskrifter. Ett sådant synsätt har senare kommit till uttryck i offentligt tryck (jfr. ex. Prop. 2019/20:189 s. 64).

4.3 Ursprungligt skick

Digg förstår det som att termen på rad 3 i Tabell 9 avser avancerad elektronisk underskrift. Begrepp ska då vara ”Underskriften kan urskiljas och knytas till en utställare och fysisk person”.

5.1.2 Bevarande

Digg är medveten om problematiken med att behöva hantera kedjor av certifikat, särskilt då ett eller flera certifikat med tiden kan ha förlorat sin giltighet. Digg vill därför lyfta fram användningen av s.k. valideringsintyg skapade inom ramen för en nationell valideringstjänst. Detta innebär att alla eventuella certifikatskedjor koncentreras till en källa som endast behöver påvisa sin auktoritet, dvs. valideringstjänsten. Av detta följer att endast valideringsdata för valideringsintyget behövs och därigenom kan all valideringsdata för kedjan av certifikat undvikas. Valideringsintyget förändrar inte handlingens ursprungliga skick och bevarar kontrollfunktionen.

Digg undersöker för närvarande förutsättningarna för att ta fram en förvaltningsgemensam valideringstjänst för validering av såväl avancerade som kvalificerade elektroniska underskrifter och stämplar.

Detta yttrande har beslutats av generaldirektören Anna Eriksson. Föredragande har varit jurist Adam Panzer. I den slutliga handläggningen har även chefsjurist Linn Kempe, IT-strateg Roger Fagerud och IT-specialist Peter Kalmér deltagit.

Hjälpte denna information dig?

Ditt svar hjälper oss att förbättra sidan

Publicerad: