Använder ditt företag digitala signaturer? Då bör ni tänka på det här

Att skriva på avtal online – så kallade digitala signaturer – är idag standard. Men vilka skillnader finns mellan de olika signaturerna, och vad bör företag som använder sig av dem tänka på? Det ska juristerna Johannes Färje och Mina Park reda ut här.

Idag har de flesta på ett eller annat sätt blivit ombedda att signera något digitalt. Regelverket för digitala signaturer och identifikation är numera harmoniserat på EU-nivå genom EU-förordning (nr 910/2014), ofta förkortad eIDAS.

I den här artikeln kommer vi kort presentera några delar av förordningen i förhållande till digitala signaturer, några formkrav som finns i svensk lagstiftning samt några tillfällen där gammal lagstiftning mött dagens teknik och satt käppar i hjulet för tillämpningen av teknik. Tillsynsmyndighet för digitala signaturer är Post- och telestyrelsen.

Så definieras en underskrift enligt eIDAS

Enligt eIDAS så är en underskrift krypterade uppgifter i elektronisk form som är fogade till eller logiskt knutna till andra uppgifter i elektronisk form, exempelvis ett avtal, för att säkerställa underskriftens ursprung och skydda informationen mot olovlig användning eller senare förvanskning. Det finns inga krav på att det ska finnas en ”namnteckning” eller annan grafisk bild så länge det finns elektroniska uppgifter som kan knytas till hen som undertecknat.

Vad är skillnaden mellan enkel, avancerad och kvalificerad signatur?

eIDAS skiljer mellan enkel, avancerad och kvalificerad signatur och i all enkelhet kan man säga att kraven går från enkla, avancerade och till slut kvalificerade med tillstånd och aktiv övervakning av tillsynsmyndigheter.

En enkel signatur behöver bara uppfylla kraven för en elektronisk underskrift som gör det möjligt att identifiera vem som skrivit under. Det kan vara så enkelt som ett klick på ”jag accepterar” på en hemsida där du identifierat dig själv, exempelvis genom en inloggning på hemsidan.

I praktiken så är många av de affärstransaktioner som idag sker på internet bekräftade på ett ännu enklare sätt som inte uppfyller kraven på enkel signatur. Så länge ingen av parterna i efterhand ifrågasätter transaktionen så fungerar det bra.

En avancerad signatur måste:

  • Vara unikt kopplad till undertecknaren.
  • Kunna identifiera undertecknaren.
  • Skapad genom data som endast undertecknaren kan använda.
  • Samt kunna kontrolleras så att eventuella förändringar på underskriften eller dokumentet som görs på dokumentet i efterhand kan upptäckas. Som ett exempel är BankID en avancerad elektronisk signatur.

En kvalificerad signatur kräver, utöver ovanstående krav, att systemet som används har en avancerad kryptering som matchas mot en publik nyckel vilket innebär att det går att kontrollera att avsändaren är den som avses samt att den som tillhandahåller systemet har de kvalificerade certifikat som krävs.

Krav på signatur och de fallen då ni inte kan använda er av elektroniska signaturer

Förutom ovanstående krav på de olika typerna av signaturer så finns det lokala krav på:

  • Vilken typ av signatur som krävs för vissa dokument eller avtal eller: 
  • Hur dokumenten eller avtalen ska utformas eller presenteras.

Grundprincipen för svensk rätt är att ingående av avtal sker formlöst och enkla signaturer är alltså accepterade för de flesta användningsområden. Oftast säger svensk lag ingenting om vilken typ av signatur som ska användas. I de fall det finns ett formellt krav är det oftast en avancerad elektronisk underskrift som ska användas, exempelvis aktiebolagslagen 1 kap. § 13 eller Förordningen om bank och finansieringsrörelse kap. 1 § 5a. Detta är oftast drivet av att man önskar en högre grad av säkerhet och möjlighet till bevisning i förhållande till underskriften än om en enkel signatur skulle användas.

Om det finns ett krav att en handling endast ska finnas i ett original eller att något ska vara undertecknat med bläck innebär det förmodligen att man inte kan använda dagens tekniska lösningar för elektroniska underskrifter.

Ett tydligt exempel där det finns formkrav på originalhandlingar är aktiebrev eller löpande skuldebrev. Reglerna som omfattar dessa dokument kräver en originalhandling på vilket det går att göra anteckningar på. Detta sätter tyvärr stopp för användningen av digitala signaturer på sådana handlingar i nuläget.

Därför är det viktigt att se över vilken sorts signering ni ska använda

Om man ska börja använda elektroniska signaturer i sin verksamhet, till exempel för att låta sina kunder eller anställda underteckna avtal, bör första steget vara att undersöka om det finns några formkrav i lag för det dokument som ska signeras.

För det fall det inte ställs några formkrav bör man ändå fundera över vad för typ av bevisning som systemet kan producera och hur hög risken för eventuella tvister kring signeringen eller innehållet i avtalet är. I en eventuell tvist kommer man ha behov att bevisa vad som skett och vem som gjort vad.

Man kan dock inte bara luta sig mot att formkraven för vad som utgör en avancerad elektronisk signatur är uppfyllda i den lösning man väljer. Högsta domstolen har i ett fall uttalat sig att om en person hävdar att någon annan använt deras inloggning (i detta fall Mobilt BankID) behöver de endast göra detta antagligt för att bevisbördan för att avtal ingåtts går över till den som uppvisat den elektroniskt signerade handlingen.

Detta gör att bevisningen och säkerheten i den unika lösningen man väljer blir en viktig punkt att granska.

Kontakt