Nyheter 20 december 2018

Elektronisk signering av avtal: Tänk på detta innan du väljer leverantör

Snabbare avslut är en drivkraft när efterfrågan på tjänster där kunden signerar dokument digitalt ökar. En förenklad administration är en annan. Men att välja rätt i djungeln av leverantörer är inte lätt. Så vad ska du tänka på?

Artikel publicerad i Kntnt Magasin, december 2018

Vägledning i valet
Det finns en mängd aktörer som tillhandahåller tjänster för elektronisk underskrift av dokument och avtal. Vi får många frågor om vilken lösning man bör använda sig av och vad som skiljer dem åt. I den här artikeln delar jag med mig av våra erfarenheter inom området och ger lite vägledning i valet av lösning för elektronisk signering.

För att kunna utvärdera de olika lösningarna för elektronisk signering som finns på marknaden är det nödvändigt att förstå de legala grunderna för elektronisk underskrift. Låt oss börja där.

Vad är en elektronisk underskrift?
En elektronisk underskrift utgörs av uppgifter i elektronisk form som används för att kontrollera att innehållet i en elektronisk handling kommer från den som undertecknat handlingen. Hur en elektronisk underskrift framställs och vad den får för rättslig status regleras ytterst i den så kallade eIDAS-förordningen. Det är en EU-förordning som är direkt tillämplig som lag i EU:s medlemsstater.

En elektronisk underskrift framställs genom elektronisk autentisering och följande metoder är vanliga:

  • Autentisering genom att personen skriver sin underskrift med en stylus (tänk Apple Pencil) eller med fingret på en datorskärm.
  • Autentisering via e-post eller sms-kod (ofta i kombination med föregående).
  • Autentisering genom e-legitimation.

Tre typer av elektroniska underskrifter
Hur autentiseringen/identifieringen sker får relevans för vilken rättslig status underskriften får.

Enligt eIDAS-förordningen finns det tre huvudsakliga typer av elektroniska underskrifter:

  • Avancerad elektronisk underskrift: Elektronisk underskrift på vilken det ställs höga krav på säkerhet och kryptering.
  • Kvalificerad elektronisk underskrift: Ungefär som avancerad elektronisk underskrift, men med än högre krav i vissa delar.
  • Elektronisk underskrift: En elektronisk underskrift som varken är kvalificerad eller avancerad.

I svensk lagstiftning ställs för närvarande inte några krav på att använda kvalificerad elektronisk underskrift och det finns ingen part som tillhandahåller tjänster för att framställa sådana underskrifter i Sverige. När det i svensk lag anges att handlingar kan undertecknas elektroniskt (till exempel i årsredovisningslagen eller aktiebolagslagen) anges istället att underskrift ska ske genom avancerad elektronisk underskrift.

Formkraven styr
Elektronisk underskrift som varken är kvalificerad eller avancerad kan endast användas om det saknas formkrav enligt lag.

Utgångspunkten är att en elektronisk underskrift har samma rättsliga status som en handskriven underskrift och således kan ersätta en handskriven underskrift. Om det finns formkrav för underskrift enligt lag eller praxis, och sådana formkrav inte medger elektronisk underskrift, gäller formkraven och elektronisk underskrift är inte möjlig.

Sådana formkrav förekommer dock endast undantagsvis i svensk rätt. Exempel på handlingar som inte anses kunna undertecknas elektroniskt ur svenskt perspektiv är avtal för fastighetsöverlåtelse.

Med förståelse för de legala grunderna för elektronisk underskrift kan vi nu titta på de saker du ska överväga vid val av leverantör.

Hur framställs en avancerad elektronisk underskrift?
För att framställa en avancerad elektronisk underskrift krävs en tillhandahållare av en så kallad betrodd tjänst. Med en betrodd tjänst avses en elektronisk tjänst som består av skapande, kontroll och validering av elektroniska underskrifter i enlighet med de krav som uppställs i eIDAS-förordningen.

Det krävs även att undertecknande part identifierar sig på ett sådant sätt att underskriften kan knytas till undertecknaren. Om undertecknande part har identifierat sig med hjälp av BankID eller annan form av e-legitimation anses detta uppfylla kraven för att skapa en avancerad elektronisk underskrift.

Om autentisering endast sker med kod via e-post eller sms blir den elektroniska underskriften som utgångspunkt inte en avancerad elektronisk underskrift.

Att tänka på vid val av leverantör
Vid val av tjänst för elektronisk underskrift finns ett flertal faktorer att beakta. Till att börja med är det viktigt att överväga vad det är för typ av dokument/avtal som ska undertecknas elektroniskt. Finns det lagkrav eller motsvarande (i Sverige eller utomlands) som kräver viss typ av elektronisk underskrift?

Finns sådana krav är det naturligtvis viktigt att välja en tjänst som kan framställa en elektronisk underskrift som uppfyller kraven. I den mån dokumentet/avtalet involverar olika jurisdiktioner måste man undersöka kraven i respektive jurisdiktion.

Det är även viktigt att fundera över var undertecknande parter kan antas ha sin hemvist. Det säkraste sättet att framställa en avancerad elektronisk underskrift i Sverige är att använda en betrodd tjänst samt kräva att undertecknande part identifierar sig med hjälp av e-legitimation.

För en person utan svenskt personnummer, till exempel någon med hemvist utomlands, är det dock svårt att skaffa en svensk e-legitimation. I sådana fall är det önskvärt att tjänsten stöder identifikation med motsvarande utländsk form av e-legitimation.

Välj etablerad lösning
Dessutom är det viktigt att överväga om lösningen verkligen uppfyller tillämpliga krav i eIDAS-förordningen. Den som vill tillhandahålla kvalificerade betrodda tjänster ska anmäla detta till Post- och Telestyrelsen (PTS) och samtidigt lämna in en rapport utfärdad av ett ackrediterat organ för bedömning av tjänstens överensstämmelse med eIDAS-förordningen.

Hittills har dock ingen sådana anmälan inkommit till PTS under eIDAS-förordningen. För tillhandahållare av betrodda tjänster avseende avancerade elektroniska underskrifter saknas däremot anmälningsskyldighet. Tillhandahållare av betrodda tjänster för avancerade elektroniska står endast under tillsyn av PTS.

I praktiken innebär detta att man gör klokt i att välja en etablerad lösning som kan antas ha kontrollerats av PTS (eller motsvarande organ utomlands).

Verifiering av tredje man
En annan aspekt att beakta är hur tredje man kan verifiera att det dokument som påstås ha undertecknats elektroniskt är autentiskt och exempelvis inte har manipulerats i efterhand. Vid val av leverantör är det således viktigt att klargöra hur sådan verifikation kan ske i praktiken.

Till exempel förekommer lösningar där ett undertecknat dokument kan skickas in till leverantören som därefter bekräftar om dokumentet är autentiskt eller inte.

I detta sammanhang blir det även relevant att beakta vad som händer om leverantören skulle hamna på obestånd eller annars avvecklar sin verksamhet: Hur kan ett undertecknat dokument därefter verifieras? Ett sätt att ta höjd för en sådan situation är att välja en etablerad leverantör som kan antas finnas kvar över tid.

Funktionella och tekniska krav uppfyllda?
Vidare är det viktigt att utvärdera om lösningen uppfyller grundläggande funktionella och tekniska krav för det tilltänkta användningsområdet. Flera lösningar på marknaden är relativt enkelt utformade och har bristande förmåga att hantera mer komplexa avtal och bilagor, enligt vår erfarenhet.

Sammantaget finns det en rad faktorer att beakta vid val av tjänst för elektronisk signering. Samtidigt kan användandet av elektroniska underskrifter bidra till en väsentligt förenklad administration, särskilt i de fall där dokument av liknande slag ska undertecknas på återkommande basis eller där undertecknande parter befinner sig på olika håll.

Henrik Saalman, advokat