Selv om eIDAS-forordningen fastsetter et internasjonalt anerkjent format for e-ID-er i EØS-landene, har hvert land sitt eget format. Noen brukes bare til autentisering og andre til både autentisering og signering med avansert eller kvalifisert elektronisk signatur.
Ekspansjon til nye markeder medfører følgelig nye retningslinjer for opprettelse av signaturer i Dokobit-portalen. Derfor tillater Dokobit opprettelse av autentiseringsbaserte signaturer i Norge, Sverige, Danmark og Finland. Hva er autentiseringsbaserte signaturer, og er de til å stole på? Les videre for å finne ut mer.
Hva er autentiseringsbaserte signaturer?
En autentiseringsbasert signatur i Dokobit-portalen er en avansert elektronisk signatur (AdES) i samsvar med eIDAS-forskriften. Signaturen er uløselig knyttet til signataren med nødvendige bevis på at vedkommende har signert. En slik signatur i Dokobit-portalen anses som et solid bevis i retten.
En autentiseringsbasert signatur i Dokobit-portalen opprettes ved å samle bevisene på at signataren har samtykket i å signere dokumentet med en valgt e-ID, og forsegle dokumentet med et e-segl for å bekrefte samtykket. I tillegg forsikrer vi oss om at signataren har sett dokumentet og samtykket i å signere det med den valgte e-ID-en. Dette kaller vi en signeringsseremoni.
Hvordan gjør vi det? Brukeren autentiserer for signering med den valgte e-ID-en. Deretter samler vi inn bevis som fullt navn, fødselsdato, personlig kode, IP-adresse, nettleseropplysninger, dokumentrevisjonslogg og så videre. Vi kaller dette bevis og legger det inn som ekstra metadata i et PDF-dokument.
De innsamlede bevisene gjør det mulig å slå fast at dokumentet ble signert av denne personen. Filen med bevisene legger vi inn i PDF-en, som vi deretter forsegler med et elektronisk segl. Vi kobler med andre ord data til signataren og sikrer dokumentets integritet, og ifølge eIDAS er det slik en avansert digital signatur skal opprettes. Signeringsseremonien gjennomføres på en slik måte at det i ettertid er tydelig at signataren har signert dokumentet frivillig.
Den viktigste forskjellen på Dokobit og andre signeringsplattformer er at vi tar økonomisk ansvar for signeringsseremonien, og at dokumenter signeres med en bestemt e-ID, ikke med en signatur vi har funnet opp selv. Ansvaret vårt er definert i retningslinjene våre for autentiseringsbaserte signaturer. Les mer her.
Hva skiller dette fra en kvalifisert digital signatur?
En kvalifisert e-signatur regnes som likestilt med en håndskrevet signatur og aksepteres i hele EØS-området. I forbindelse med signaturer med kvalifiserte sertifikater er leverandører av tillitstjenester (TSP-er) ansvarlige for driften og sikkerheten til e-ID-ene.
Det er imidlertid ikke alle e-ID-er som er ment for signering; hensikten med noen av dem er bare autentisering. Sannsynligvis har verken leverandøren av tillitstjenestene eller signeringsplattformen definerte prosedyrer for å opprette avanserte elektroniske signaturer uten kvalifisert sertifikat. I utgangspunktet kan en signeringsplattform derfor lage sin egen prosess i slike tilfeller. Likevel er det viktig å merke seg at plattformen ikke nødvendigvis har noe ansvar, siden en slik prosess ikke er regulert. Plattformer som tillater tegning av signaturer eller signering med e-ID uten kvalifiserte sertifikater, har vanligvis ikke noe ansvar for å tilrettelegge prosessen. Hvis du tegner en signatur – hvordan kan andre forsikre seg om at det var du som signerte og bekreftet handlingen? Det finnes ingen solide bevis.
Dokobits autentiseringsbaserte signaturer betraktes imidlertid som avanserte elektroniske signaturer med solid bevis. Dokobit tar fullt ansvar for hvordan disse signaturene ble opprettet.
Konklusjon
Er autentiseringsbaserte signaturer til å stole på? E-ID-leverandøren tar ansvar for å bevise identitet, mens Dokobit tar ansvar for at brukeren har samtykket i å signere dokumentet.
I teorien kan det stilles spørsmål ved avanserte elektroniske signaturer i retten. Vi leverer imidlertid samlede beviser som dokumenterer signatarens identitet og samtykke til å signere et dokument, og det vil være vanskelig å stille spørsmål ved eller benekte en slik signatur. I tillegg er vi ansvarlige for signaturene som opprettes i Dokobit-portalen. Derfor er svaret ja – du kan stole på autentiseringsbaserte signaturer i Dokobit-portalen.
I tillegg er svensk BankID og dansk NemID bekreftede elektroniske identiteter i henhold til eIDAS-forordningen. Det betyr at de er anerkjent som gyldige og pålitelige e-ID-verktøy i hele EØS-området. Norsk BankID er forhåndsevaluert, noe som betyr at den er i ferd med å bli bekreftet. Danske MitID og finske Trust Network står ikke på EUs liste over bekreftede ordninger, men er blant de viktigste elektroniske identifikasjonsverktøyene i sine respektive land. Det viser at brukerne stoler på dem.