Välkommen till webbplatsen E-legitimation på DIGG - Myndigheten för digital förvaltning

Logotyp Myndigheten för digital förvaltning
Sök på E-legitimationsnämnden
  • Hem
  • / E-underskrift
  • / Om e-underskrifter

Om e-underskrifter

Med e-underskrift menas krypterade uppgifter i elektronisk form som är fogade till eller logiskt knutna till andra uppgifter i elektronisk form, för att säkerställa de senares ursprung och dataintegritet. Här får du en övergripande bild av framställning, användningsområde och upphandling.

E-underskrifter används bland annat för att en identifierad användare på ett juridiskt bindande sätt ska kunna utföra rättshandlingar inom ramen för en e‑tjänst. En elektronisk underskrift syns inte, utan består av elektronisk information som bara kan tolkas av en dator. Det finns ingen grafisk symbol eller liknande som visar att ett elektroniskt dokument signerats med elektronisk underskrift.

En del programvaror gör det möjligt att infoga exempelvis en inskannad bild av
personens namnteckning i dokumentet innan det signeras elektroniskt. Detta har
dock inget med den elektroniska underskriften att göra, det enda syftet är att ge dokumentet en grafisk form som liknar det vi är vara att se. Inskannade namnteckningar bör inte användas där det finns krav på underskrift.

Så här fungerar det

E-underskriftens krypterade elektroniska information består av en kontrollsumma beräknad enligt en standardiserad matematisk formel som väger in datafilens samtliga informationselement. Varje förändring av filen medför en ny kontrollsumma. Genom att göra om beräkningen och jämföra summorna kan man upptäcka om filen förändrats. Signaturinformationen innehåller även information om det certifikat som användes när underskriften skapades samt tidpunkt.

Eftersom kontrollen gäller hela dokumentets innehåll ersätter den även den sidnumrering och signatur på varje sida som kan vara viktig i den analoga världen. Med e-underskrift blir det mindre viktigt i vilken ordning personer undertecknar eftersom det direkt upptäcks om någon ändrat i dokumentet efter att den första undertecknat.

E-underskriften kan produceras på flera sätt:

Oavsett vilken teknik som används ska resultatet bli en elektronisk underskrift som uppfyller eIDAS‑förordningens krav. Observera att förordningen ställer olika krav för de tre typerna: Elektronisk underskrift, Avancerad elektronisk underskrift och Kvalificerad elektronisk underskrift. Därför måste du först fastställa vilken typ som behövs.

  • DIGG rekommenderar som förstahandsalternativ att så kallad Fristående underskriftstjänst används. I den legitimerar sig användaren i underskriftstjänsten som sedan framställer underskriften. Eftersom den lösningen både gör underskriften oberoende av vilken e-etjänst/verksamhetssystem som begär underskrift och är oberoende av vilken e-legitimation som används är det den mest flexibla lösningen.
  • Motsvarande kan utföras i e-tjänster med egen underskriftslogik. På samma sätt som för den fristående underskriftstjänsten kan den vara utformad för att vara oberoende av vilken e-legitimation användaren använder men nackdelen är att lösningen är begränsad till det som kan utföras i e-tjänsten.
  • Olika typer av lösningar där användaren förfogar över ett personligt underskriftscertifikat som en programvara, oftast installerad i den egna datorn, använder för att framställa underskriften

Översiktligt flöde vid underskrift med hjälp av fristående underskriftstjänst

  1. E-tjänsten sammanställer informationen som ska undertecknas, presenterar den för undertecknaren och begär att användaren ska välja att skriva under.
  2. E-tjänsten (vanligast via en stödtjänst för e-underskrift) beräknar en kontrollsumma utifrån samtliga delar av informationen och anropar den upphandlade fristående underskriftstjänsten med begäran om att framställa en elektronisk underskrift.
  3. Underskriftstjänsten utför (i den upphandlande myndighetens namn) en ny e‑legitimering av användaren ”för underskrift”.
  4. Underskriftstjänsten skapar en underskrift för kontrollsumman, krypterar den och skickar den till e-tjänsten.
  5. E-tjänsten tar emot den elektroniskt undertecknade kontrollsumman och infogar den i informationsmängden.
  6. E-tjänsten skickar den undertecknade handlingen för vidare hantering i den verksamhet där informationen ska användas. Hur den hanteras där - vilket kvitto som sänds till den som undertecknas, om handlingen diarieförs osv - beror på vilken information det gäller och vilken verksamhet som berörs. Det går därför inte att beskriva generellt.

Att tänka på vid upphandling av e-underskrifter

Att en leverantör erbjuder både e-legitimation och e-underskrift har varit den vanligaste lösningen i Sverige, och gäller alla e-legitimationer som funnits på den svenska marknaden. Detta kommer dock att förändras. Dels erbjuds inte möjligheten i trafiken som går genom eIDAS landsnoder, dels finns det inte längre lagkrav på att e-legitimationer ska bygga på certifikatteknik.

DIGG rekommenderar fristående underskriftstjänst

Den lösning som föreslås i betänkandet E-legitimationsnämnden och Svensk e-legitimation (SOU 2010:104) och som DIGG rekommenderar, är att låta en fristående underskriftstjänst framställa den elektroniska underskriften. Användaren kommer troligen inte att märka någon skillnad, men ägaren till e‑tjänsten behöver ta hänsyn till det vid utformning av e-tjänsten och användardialogen, samt anskaffa en underskriftstjänst.

Rekommendationen blir än viktigare vid anpassning till eIDAS-förordningen eftersom andra underskriftstekniker inte kommer att fungera vid användning av utländska e-legitimationer.

Fristående underskrifttjänst finns att avropa via Kammarkollegiets ramavtal. Hör även av er till Kammarkollegiet om ni har behov av andra tjänster för e-underskrifter än den fristående underskriftstjänsten. Vid egen upphandling rekommenderar vi att ni ställer krav på att underskriftstjänsten ska vara granskad och godkänd av DIGG.

En organisation kan också ha egna e-legitimationer utgivna till sina anställda, och kan vid behov dra nytta av samma underskriftstjänst. Organisationen behöver även ta ställning till om dessa e-legitimationer får användas för e-legitimering och e-underskrift utanför den egna organisationen.

Kvalificerad och avancerad e-underskrift

En fristående underskriftstjänst kan leverera såväl kvalificerade som avancerade e-underskrifter enligt eIDAS-förordningen (EU nr 910/2014).

En stor del av kraven inom eIDAS-förordningens del om betrodda tjänster är kopplade till kvalificerade e-underskrifter. Dessa gäller i alla EU-länder och gentemot upphandlande myndigheter, i alla situationer där det saknas formkrav i nationell författning. För att ta reda på när det behövs en kvalificerad eller en avancerad e-underskrift behöver man ha de aktuella författningsreglerna klara för sig.

Det är myndigheten/organisationen som anskaffar den fristående underskriftstjänsten som avgör vilken typ av underskriftstjänst man har behov av.

Den fristående underskrifttjänst som DIGG rekommenderar (se ovan) skapar för närvarande avancerade e-underskrifter. Fristående underskriftstjänster som producerar kvalificerade elektroniska underskrifter bedöms som möjliga att utveckla av leverantörerna men finns ännu ej på marknaden. Utöver krav på den fristående underskriftstjänsten tillkommer krav på e-tjänsten och ägarens organisation. Ännu har ingen inom svensk offentlig sektor prövat möjligheten att få sin e-tjänst med dess underskriftstjänst godkänd för framställan av kvalificerade elektroniska underskrifter.

Post och Telestyrelsen, PTS, har tillsynsansvar för e-underskrifttjänster och andra betrodda tjänster enligt eIDAS-förordningen ((EU) nr 910/2014). Tjänster för kvalificerade e-underskrifter står under aktiv tillsyn. Icke-kvalificerade tjänster för avancerade e-underskrifter står under tillsyn som utförs i de fall det uppstått någon incident. Leverantörer av tjänster på den kvalificerade nivån listas av tillsynsmyndigheterna inom EU/EES.

EES lista på leverantörer av tjänster på den kvalificerade nivånlänk till annan webbplats, öppnas i nytt fönster

Lagkrav om e-underskrifter

eIDAS-förordningen ((EU) nr 910/2014) reglerar bland annat offentliga organs skyldighet att ta emot elektroniskt underskrivna handlingar. Undantag gäller om det finns särskilda formkrav i svensk författning.

eIDAS-förordningen innebär att det finns ett allmänt krav på att en underskrift inte får avvisas enbart baserad på det faktum att den är elektronisk. Det innebär att praxis ändrats, från att pappersdokument gäller om inte särskilda regler godkänner elektroniska dokument, till att elektroniska dokument gäller om inte särskilda formkrav förbjuder det.

Rekommenderas: e‑tjänster med e‑underskriftsmöjlighet

eIDAS-förordningen innehåller krav på offentliga organ att ta emot e-underskrifter i en rad olika format + i alla format där det finns en kostnadsfri valideringstjänst. DIGG rekommenderar därför att offentlig sektor som förstahandsval, erbjuder användarna e-tjänster med e-underskriftsmöjlighet. Det kommer troligen att minska volymen elektroniskt underskrivna dokument av olika slag, som användaren sänder in. Hanteringen blir normalt sett enklare, både för er och för användaren.

Vid införande av en fristående underskriftstjänst som följer DIGG:s riktlinjer fungerar e-underskrifter även med utländska e-legitimationer. En sådan e‑underskrift är i dagsläget att betrakta som en avancerad e-underskrift enligt eIDAS.

E-underskrift och tillitsnivå

Det är viktigt att skilja på e-legitimeringens tillitsnivå och nivån på e-underskriften. Lagstadgade e-underskrifter kan vara avancerade eller kvalificerade.

Tillitsnivån beskriver hur säkra rutinerna och tekniken bakom legitimeringen av användaren är. Skillnaderna mellan kvalificerade och avancerade e-underskrifter handlar dessutom om tillsynsmyndigheternas granskning, ansvarsfrågor etc.

För att skapa den enklaste formen av elektronisk underskrift krävs inte alls någon verifiering av användarens identitet. Det kan exempelvis vara att skriva sitt namn via en tryckkänslig skärm. Kompletteras det exempelvis med att ett bud gör legitimationskontroll och registrerar användarens identitet, kan den typen ha ett bevisvärde (svårare för användaren att förneka att man förstod att man undertecknade)

För att skapa en kvalificerad e‑underskrift behöver e‑legitimeringen som kopplas till e‑underskriften ligga på minst tillitsnivå 3 (eIDAS ”väsentlig”).