2020-04-22

Behovet av digital signeringsfunktion har eskalerat under pandemin 

Till följd av ett ökat, arbete på distans för stora grupper anställda inom bland annat det offentliga Sverige, aktualiseras behovet av att digitalt kunna underteckna dokument och handlingar. Att digitalt signera ett dokument eller avtal har generellt samma rättsverkan som en rent fysisk signering av ett avtal.

Utmaningar med digital signering 

Svårigheten och därmed risken med att utnyttja digitala signaturer ligger i att dels identifiera att området handlingen avser är möjlig att underteckna med digital signatur, dels att vid en eventuell tvist med säkerhet bevisa identiteten hos den som skrivit på handlingen. Är det rätt person, finns rätt behörighet för att teckna avtal eller skriva under? Att kunna bevisa identiteten är ur ett juridiskt perspektiv i princip en förutsättning för att med framgång kunna driva en uppkommen tvist i domstol. Till detta kommer det faktum att de tjänster man använder kan vara amerikanska molntjänster och därmed omfattad av Cloud Act och den risk som följer med detta. 

Problematiken ovan löses ofta med någon form att digital identifiering så som BankID eller certifikat som kopplas till en viss användare. Lösningarna förutsätter att signeringslösningen medger identifieringsmöjligheten och innebär också ett visst mått av installation och eget initiativ från användaren. Det finns också en enklare variant där man inte använder någon digital identifiering och där säkerheten är lägre och risken därmed också måste ses som högre. 

En möjlig lösning? 

Det är denna, den enklare varianten, som är möjlig att på kort tid införa för att skapa förutsättningar för att möta ett behov av möjlighet till digital signering inom verksamheterna. 

Allt material som behöver undertecknas är emellertid inte av samma känslighetsgrad vilket medför en möjlighet att ha en större riskacceptans för vissa t.ex. löpande förvaltningsåtgärder som kräver signering än för andra. Vilken information som kan räknas till respektive kategori går inte att säga generellt. Varje del som inför tjänsten måste utifrån sina förutsättningar och kännedom om behov av, att kunna signera handlingar, göra en bedömning av vad som för respektive verksamhet är acceptabelt ur ett riskperspektiv. 

Denna riskbedömning bör göras ur ett perspektiv där hänsyn tas till lagreglering inom verksamhetsområdet vad gäller signering;  

  • risk för röjande enligt Offentlighets och sekretesslagstiftning,  
  • förekomsten av personuppgifter,  
  • ev. känsliga sådana, och  
  • ekonomiskt värde.  

Risktagning som möjlighet 

Användandet är förknippat med ett mått av risktagande och verksamheter som avser nyttja möjligheten förväntas arbeta aktivt med att minska risken genom att identifiera och beskriva vilka dokument som inte, givet risken, får signeras digitalt. Allt i enlighet med resonemanget ovan och samtidigt sträva efter att hålla antalet användare av funktionen nere till ett så litet antal som möjligt. 

Principen som ska gälla är att graden av känslighet också ska läggas till grund för valet av signeringsmetod. 

Hur hanterar ni digital signeringsfunktion under rådande pandemi? 

 

Av: Olof Eilertsson, informationssäkerhetsexpert (jur.kand) 

Vill du veta mer?  Kontakta din närmaste Atea representant, eller Olof på olof.eilertsson@atea.se alternativt sakerhet@atea.se