Att välja rätt tjänster i ett alltmer digitaliserat samhälle ställer stora krav på den som ska köpa in och implementera ett digitalt system. Det är många lagkrav, direktiv och bestämmelser att hålla koll på och behovet av reglering växer konstant. Även om det kan kännas enkelt att lita på att den som säljer systemet vet vilka krav som ställs, och att dessa efterlevs, är det få signeringslösningar som faktiskt lever upp till dem. De leverantörer som hävdar att de gör det, har svårt att bevisa det.
– Att använda en signeringslösning som inte klarar lagkraven kan bli ödesdigert vid en eventuell granskning. Vid elektronisk signering av till exempel styrelseprotokoll, årsredovisningar och ansökan av medlemskap i bostadsrättsförening är lagen tydlig. Det måste ske med en så kallad avancerad elektronisk underskrift som uppfyller kraven i EU:s förordning eIDAS, säger Martin Thulin, bolagschef på Hogia Signit, som är en av de fyra rekommenderade aktörerna.
Svårt för privata företag att veta vilka e-signeringsaktörer de kan lita på
Myndigheten för digital förvaltning, DIGG, stödjer och samordnar offentlig sektor i frågor som rör säker e-underskrift. De standardiserar e-underskrift genom olika specifikationer och ramverk för teknik och tillit. DIGG har tidigare granskat och godkänt en handfull underskriftstjänster på den svenska marknaden för generering av avancerade elektroniska underskrifter enligt eIDAS-förordningen. Men tjänsterna är inte alltid anpassade för den privata sektorn. Hogia Signit är dock en av ytterst få som skapar underskrifter som godkänts av DIGG och som fokuserar på att tillhandahålla tjänster till privata verksamheter. Signit rekommenderas dessutom i den nyligen gjorda undersökningen av e-signeringsleverantörer gjord av XBRL Sweden.
Att signeringssystemet använder BankID är långt från tillräckligt
Ett av flera krav är att den som signerat har identifierats på ett tillförlitligt sätt. För detta ändamål använder sig ofta e-signeringsaktörerna av BankID. Men det räcker inte, även de resterande kraven måste uppfyllas.
– Problemet är att de flesta av våra branschkollegor saluför sin produkt som att de lever upp till kraven för avancerad elektronisk underskrift bara för att de använder BankID i sin tjänst. Om inte samtliga krav enligt eIDAS uppfylls innebär det att exempelvis styrelseprotokoll, årsbokslut och konkursansökningar kan vara helt ogiltiga vid en rättslig prövning. Som användare av ett e-signeringssystem bör man ställa krav på sin leverantör att kunna säkerställa självbärande signaturer och dokument, säger Martin Thulin, bolagschef på Hogia Signit.
I ett samhälle där vi blir alltmer beroende av elektroniska tjänster är det viktigt att vi kan lita på äktheten, säkerheten och kvalitén som tjänsterna producerar. EU ger därför medlemsstaterna rätt att inte acceptera avancerade elektroniska underskrifter om de inte kan valideras på ett automatiserat sätt. Så sent som år 2020 dömde Kammarrätten att en e-underskrift inte kunde accepteras just på grund av att den inte kunde valideras.
– Det vi ser är nog bara början. Vi kan sannolikt förvänta oss fler fall framöver i takt med den ökade digitaliseringen och att det dessutom dyker det upp fler och fler oseriösa aktörer som inte har 100 procent koll på lagkrav och direktiv. I det här läget bör man inte chansa, i synnerhet inte när det är så enkelt att byta till en leverantör som man vet uppfyller lagkraven, avslutar Martin Thulin.