I takt med att digitaliseringen ökar blir behovet av reglering också större. Det ställer i sin tur högre krav på de som levererar digitala tjänster, men också på att den som ska köpa in en tjänst har koll på att tjänsten lever upp till de lagar och krav som gäller.
Kan man lita på sin leverantör?
När man köper in och implementerar en ny digital signeringstjänst så litar man troligtvis på att leverantören har koll på vilka krav som ställs för den tjänst de säljer. Men så är inte alltid fallet och det kan vara svårt för en leverantör att bevisa att man faktiskt följer den lagstiftning som gäller.
– Om det visar sig att den tjänst man har valt för digital signering inte lever upp till lagkraven och man blir utsatt för en granskning, kan det gå illa. Vad konsekvensen blir går bara att spekulera i, men bra är det såklart inte, konstaterar Martin Thulin, bolagschef på Hogia Signit.
När man signerar till exempel en ansökan om medlemskap i en bostadsrättsförening, ett styrelseprotokoll eller en årsredovisning digitalt så måste det ske med en så kallad Avancerad Elektronisk Underskrift. En sådan underskrift har särskilda lagkrav som är reglerade i EU:s förordning, eIDAS (electronic IDentification, Authentication and trust Services).
Bara fyra av 24 klarade granskningen
DIGG, myndigheten för digital förvaltning, har som uppgift att samordna och stödja den offentliga sektorns behov av digitala tjänster. DIGG har tidigare granskat och godkänt några få tjänster för avancerade elektroniska underskrifter enligt eIDAS-förordningen, bland andra Hogia Signit. Men de tjänster som de godkänt är inte alltid anpassade för den privata sektorn.
Föreningen XBRL Sweden genomförde under perioden november 2021 till och med februari 2022 en undersökning i syfte att kunna kartlägga och informera om vilka tjänster för digital signering som är lämpliga för avancerad elektronisk underskrift enligt eIDAS-förordningen.
– I XBRL Swedens granskning framgick att Hogia Signit var en av de fyra leverantörer som levde upp till kraven för att bli rekommenderad av XBRL, berättar Martin. Det kan vara svårt för en inköpare på ett företag att veta vilken leverantör de kan lita på, men i denna undersökning framgår det tydligt att det är ytterst få som skapar godkända signaturer och som även kan bevisa att de lever upp till kraven.
Identifiering med BankID räcker inte
För att en Avancerad Elektronisk Underskrift ska vara korrekt ställs det flera olika krav. Ett av kraven är att den som signerat har identifierats på ett tillförlitligt sätt. För detta ändamål använder sig ofta e-signeringsaktörerna av BankID. Men det räcker inte. Utöver identifiering finns det även andra krav som måste vara uppfyllda
– Jag tror att många inte har koll på att det är högre krav på signering av vissa dokument, säger Martin. Till och med leverantörerna verkar tro att det räcker med BankID, men om man använder en tjänst som inte lever upp till samtliga krav som ställs så kan det innebära att styrelseprotokoll, årsbokslut eller konkursansökningar kan vara helt ogiltiga vid en rättslig prövning.
Vårt samhälle blir mer och mer beroende av digitala tjänster och då måste vi kunna lita på att tjänsterna är säkra, håller hög kvalité och att de uppfyller lagkrav. Medlemsländerna i EU har rätt att inte acceptera avancerade digitala signaturer om de inte kan valideras på ett automatiserat sätt. År 2020 dömde Kammarrätten att en e-signatur inte kunde accepteras just på grund av att den inte kunde valideras.
– Jag tror att det här bara är början och att vi sannolikt kan förvänta oss att det blir fler fall framöver där signaturer inte kan valideras. Dessutom dyker det upp fler och fler oseriösa aktörer som inte har koll på vilka lagkrav och direktiv som gäller. Det är inte svårt att byta leverantör för digitala signaturer, därför är det lika bra att göra det nu, avslutar Martin.