Addo Sign og eIDAS: Sikker digital signatur i samsvar med EU-lovgivningen

Digitale transaksjoner og fjernsamarbeid har blitt en naturlig del av hverdagen for både private og offentlige organisasjoner. For å sikre at disse interaksjonene skjer på en trygg og lovlig måte, spiller eIDAS-forordningen – Electronic Identification, Authentication and Trust Services – en avgjørende rolle. Den fastsetter det juridiske rammeverket for elektroniske signaturer i EU og sikrer at digitale signaturer har samme rettsvirkning som fysiske.

eIDAS ble vedtatt av Europaparlamentet og Rådet som en felles standard for elektronisk identifikasjon og tillitstjenester på tvers av EUs medlemsland. Det betyr at en elektronisk signatur som er gyldig i ett EU-land, skal anerkjennes i alle andre medlemsland.

I 2024 ble forordningen utvidet med eIDAS 2.0, som introduserer den europeiske digitale identiteten – European Digital Identity Wallet (EUDI Wallet). Denne digitale lommeboken skal gjøre det enkelt for borgere og virksomheter å identifisere seg og dele dokumentasjon sikkert digitalt på tvers av landegrenser. Addo Sign følger utviklingen nøye og sørger løpende for at løsningen er i samsvar med både gjeldende og kommende krav i eIDAS-regelverket.

Tre typer elektroniske signaturer under eIDAS

eIDAS-forordningen definerer tre ulike typer elektroniske signaturer, som hver har forskjellige sikkerhetsnivåer og juridisk gyldighet. Valg av signaturtype avhenger av dokumentets karakter, krav til identitetsvalidering og behovet for bevis i tilfelle en eventuell tvist.

Enkle elektroniske signaturer (SES)

En enkel elektronisk signatur – også kalt Simple Electronic Signature (SES) – dekker enhver elektronisk metode hvor en person uttrykker sin hensikt om å signere et dokument. Det kan for eksempel være:

Å sette inn et bilde av en signatur i et dokument
Å skrive inn navnet sitt med mus eller tastatur
Å huke av en boks i et digitalt skjema

Det stilles ingen spesifikke krav til identitetsvalidering eller avanserte sikkerhetsmekanismer. Derfor gir denne typen signatur ikke i seg selv garanti for signatarens identitet eller dokumentets integritet. Dokumentet kan i prinsippet endres i etterkant uten at det nødvendigvis oppdages.

Når brukes SES?
Ved uformelle avtaler eller interne dokumenter der bevisbyrden er lav. SES anbefales ikke for sensitive eller juridisk komplekse avtaler.

Avanserte elektroniske signaturer (AES)

En avansert elektronisk signatur tilbyr et høyere sikkerhetsnivå og oppfyller spesifikke krav i eIDAS-forordningen. En AES:

Er unikt knyttet til underskriveren
Gjør det mulig å identifisere underskriveren
Er opprettet under underskriverens kontroll
Sikrer at eventuelle endringer i dokumentet etter signering kan oppdages

Avanserte signaturer benytter godkjente ETSI-standarder, anbefalt av EU-kommisjonen:

PAdES – for PDF-dokumenter
XAdES – for XML-baserte data
CAdES – for e-post og binære filer

I Addo Sign brukes sikre eID-løsninger som norsk BankID, svensk BankID, Freja eID, Finnish Trust Network samt dansk MitID og MitID Erhverv for å validere underskriverens identitet.

Når brukes AES?
Ved juridisk relevante dokumenter, kontrakter, samtykkeerklæringer og sensitive opplysninger der bevisverdi er viktig – men der det ikke er krav om kvalifisert signatur.

Kvalifiserte elektroniske signaturer (QES)

En kvalifisert elektronisk signatur er det høyeste nivået av digital signering under eIDAS og den eneste signaturtypen som automatisk sidestilles med en håndskrevet signatur i hele EU og EØS.

En QES er en avansert signatur som:

Er basert på et kvalifisert sertifikat utstedt av en godkjent kvalifisert tillitstjenesteleverandør (QTSP)
Er opprettet med kvalifisert signeringsutstyr (QSCD)

Når brukes QES?
For dokumenter med særskilte lovkrav eller svært høy bevisbyrde, for eksempel visse myndighetserklæringer, tinglysning eller regulerte prosesser.

Addo Sign og eIDAS

Addo Sign støtter Simple Electronic Signatures (SES) og Advanced Electronic Signatures (AES) i samsvar med eIDAS-forordningen.

Løsningen er utviklet for å sikre høy bevisverdi, dokumentintegritet og full sporbarhet gjennom hele signeringsprosessen. Ved bruk av avanserte elektroniske signaturer oppfylles kravene til identifikasjon og beskyttelse mot etterfølgende endringer.

Addo Sign støtter ikke kvalifiserte elektroniske signaturer (QES). For de aller fleste kommersielle og juridisk relevante bruksområder er AES fullt tilstrekkelig og anerkjent under eIDAS.

Ved bruk av eIDAS-sertifikater benytter Addo Sign den italienske virksomheten InfoCert som sertifiseringsleverandør. InfoCert er en EU-godkjent Qualified Trust Service Provider (QTSP) og er oppført på EUs offisielle Trusted List.

Addo Sign er ikke selv en QTSP og fremgår derfor ikke direkte av nasjonale trusted lists. Sertifiseringstjenester leveres gjennom InfoCert i henhold til EUs felles regelverk.

Ved å kombinere moderne teknologi, sterk kryptering og sikker identitetsverifisering leverer Addo Sign en sikker, pålitelig og juridisk etterlevelig løsning innen SES og AES.