Hvorfor dette er verdt å vite
Elektronisk signering er ikke binært. Det er ikke et valg mellom «lovlig» og «ulovlig». EU-forordning 910/2014 (eIDAS), som er innlemmet i norsk rett gjennom lov om elektroniske tillitstjenester, definerer tre nivåer av elektroniske signaturer. Hvert nivå har ulik grad av identitetssikring, og hvert nivå har sin plass i loven.
Hvilket nivå som er «riktig» for et dokument avhenger både av hva loven krever for den dokumenttypen, og av hvor mye bevisverdi partene trenger om signeringen senere skulle bli bestridt. Loven gir sjelden et entydig svar.
Enkel elektronisk signatur (SES)
Definisjonen står i eIDAS artikkel 3 nr. 10: data i elektronisk form som er knyttet til andre data og brukes av signereren til å signere. Det er en bred definisjon. En tegnet signatur i nettleseren, et navn skrevet inn, et avkrysset «jeg samtykker» eller en e-post med «OK» kan alle være SES.
Den juridiske vekten ligger i artikkel 25 nr. 1: en elektronisk signatur skal ikke nektes rettslig virkning og bevisverdi i en rettssak alene fordi den er elektronisk eller ikke oppfyller kravene til kvalifisert signatur. Med andre ord: en SES er ikke automatisk ugyldig. Den må vurderes på lik linje med andre bevis.
Det er også det artikkel 25 nr. 1 ikke sier som er viktig. Bestemmelsen garanterer ikke at en SES er bindende i enhver situasjon. Sektorlovgivning kan kreve mer (skriftform, vitner, BankID), og en domstol vurderer fortsatt bevisverdien konkret.
Avansert elektronisk signatur (AES)
AES er definert i eIDAS artikkel 26 og krever at fire vilkår er oppfylt samtidig:
- (a) signaturen er entydig knyttet til signereren,
- (b) signereren kan identifiseres ut fra signaturen,
- (c) signaturen er opprettet med signaturopprettelsesdata som signereren med høy grad av tillit kan bruke under sin enekontroll,
- (d) signaturen er knyttet til de signerte dataene på en måte som gjør at enhver senere endring kan oppdages.
Punkt (c) «enekontroll» er grunnen til at en lagret BankID-sertifikatkopi som brukes uten ny autentisering, ikke nedfeller en AES. Hver AES-signering må gjøres med fersk autentisering av signereren der og da.
I Norge brukes BankID ofte som en del av tjenester som er utformet for AES. Det er ikke et lovkrav at det skal være BankID. Andre eID-baserte signeringstjenester som er utformet for å oppfylle kriteriene kan også brukes.
Kvalifisert elektronisk signatur (QES)
QES er en AES som i tillegg er basert på et kvalifisert sertifikat utstedt av en tjenesteleverandør på EUs liste over godkjente tjenesteytere, og som er opprettet med en kvalifisert signaturopprettelsesinnretning (eIDAS artikkel 3 nr. 12, artikkel 28 og vedlegg I-II).
Den juridiske virkningen er at en QES utstedt i ett medlemsland skal ha tilsvarende rettslig virkning som en håndskrevet signatur og anerkjennes som QES i alle andre medlemsland (artikkel 25 nr. 2 og 3). QES er det sterkeste nivået eIDAS definerer.
QES er sjeldnere brukt i Norge enn AES. Med EU Digital Identity Wallet (eIDAS 2.0, forordning 2024/1183) skal QES fra mobiltelefon bli mer tilgjengelig for vanlige brukere de neste årene.
Side ved side
| Egenskap | SES | AES | QES |
|---|---|---|---|
| Identitetssikring | Lav | Høy (kriteriene a til d) | Høyest (AES + kvalifisert sertifikat) |
| Lovgrunnlag | eIDAS art. 25 nr. 1 | eIDAS art. 26 | eIDAS art. 25 nr. 2-3, art. 28, vedlegg I-II |
| Vanlig tjenestetype | Tegnet, skrevet eller avkrysset | eID-basert signeringstjeneste | Sjelden i privat bruk i dag |
| Signoo i dag | Ja, gratis i nettleseren | Ikke tilgjengelig i denne versjonen. Lanseringsdato er ikke satt. | Ikke tilgjengelig i denne versjonen. Lanseringsdato er ikke satt. |
Hva Signoo støtter i ditt marked i dag
Signoo støtter i dag enkel elektronisk signatur (SES) i nettleseren for norske brukere. Avansert signatur (AES) via BankID er ikke tilgjengelig i denne versjonen. Lanseringsdato er ikke satt.
Hva betyr dette for deg?
Det korte svaret er at dokumenttypen, partene og bevisbehovet styrer hvilket nivå som er hensiktsmessig. Et leieforhold mellom to privatpersoner som er enige om innholdet, har ikke samme krav som en forbrukerkredittavtale eller et skjøte til Kartverket.
Hvis dokumentet er viktig (hvis verdien er stor, hvis konsekvensene av en bestridelse er høye, eller hvis sektorloven krever det), snakk med en advokat eller en bransjeorganisasjon før du velger nivå. eIDAS-nivåene er en del av bildet, ikke hele svaret.