scroll to me

Juridisk og teknisk sikkerhed

Indhold

  • eIDAS
  • Bindende aftale
  • Beviskrav – holder elektroniske aftaler i tilfælde af en tvist?
  • Hændelseslog
  • Forsegling af aftaler
  • Referencedokument
  • Databeskyttelse – GDPR
  • Databehandleraftale
  • Privacy by design
  • Opbevaringstider
  • Sikkerhed/teknisk databeskyttelse
  • Egreement som databehandler
  • Opbevaring og behandling af personoplysninger i EU
  • Sikker kommunikation
  • Sikker opbevaring
  • Håndtering af adgangsrettigheder og hændelseslog
  • Rutiner og styring af informationssikkerhed
scroll to me

Jura

eIDAS

Den 1. juli 2016 trådte EU-forordningen om elektronisk identifikation og tillidstjenester til elektroniske transaktioner i det indre marked (eIDAS-forordningen) i kraft i Sverige.

Dokumenter, der er underskrevet elektronisk med Egreement-tjenesten, følger eIDAS-forordningens regler om elektroniske signaturer og kan derfor ikke nægtes retsvirkning ved en domstol, alene fordi de er i elektronisk form. Der er dog undtagelser i eIDAS-forordningen vedrørende særlige formelle krav i svensk lovgivning. Der kan f.eks. være et krav om en elektronisk signatur med et højt tillidsniveau såsom en avanceret elektronisk signatur eller krav om, at dokumenter skal underskrives med kuglepen på papir.

Med Egreements tjeneste er det muligt at underskrive dokumenter med avancerede elektroniske signaturer ved hjælp af f.eks. NemID/MitID eller anden e-legitimation.

Som udbyder af elektroniske tillidstjenester har Egreement i henhold til eIDAS-forordningen pligt til at træffe passende tekniske og organisatoriske foranstaltninger til håndtering af risiciene for sikkerheden af de elektroniske tillidstjenester, som Egreement tilbyder. Egreement har også pligt til senest 24 timer efter at have opdaget en sikkerhedshændelse at underrette tilsynsmyndigheden, Post- och telestyrelsen, og ved behov andre relevante organer om enhver sikkerhedshændelse eller ethvert tab af integritet, der i væsentlig grad påvirker den elektroniske tillidstjeneste, der leveres, eller de personlige oplysninger, der er indeholdt i denne.

scroll to me

Bindende aftale

En kontrakt, der indgås via Egreements tjeneste, er juridisk bindende. Der findes visse undtagelser, når der er særlige formelle krav i lovgivningen, hvilket kun er tilfældet for nogle få typer kontrakter i Sverige, f.eks. ved køb af fast ejendom, overdragelse af ejerlejlighed samt testamente,

I nogle tilfælde kan der være specifikke formelle krav i aftaler. Hvis det i aftalen er angivet, at aftaler/ændringer eller tillæg skal indgås skriftligt, skal Egreements tjeneste anvendes. Selv i tilfælde af andre formelle krav, fx hvis en kontrakt angiver, at en aftale skal underskrives i hånden, kan Egreements aftale altid anvendes, hvis parterne er enige.

Efterhånden som digitale signaturer er blevet mere almindelige, angives det som standard i flere og flere aftaler, at digital signering af en kontrakt skal sidestilles med en håndskrevet underskrift.

Som beskrevet ovenfor betragtes en signatur med NemID/MitID, foretaget som en elektronisk tillidstjeneste i henhold til eIDAS-forordningen, som en avanceret elektronisk underskrift, og den type underskrift har derfor retsvirkning i hele EU.

scroll to me

Beviskrav – holder elektroniske aftaler i tilfælde af en tvist?

I svensk procesret gælder princippet om fri bevisførelse og fri bevisprøvelse – hver part kan vælge, hvordan den vil bevise, at en aftale er indgået eller underskrevet af en bestemt person. Fordelen ved elektroniske signaturer er, at det teknisk set er enkelt at bevise, hvem der har underskrevet aftalen, og at der er sporbarhed i forhold til kontraktens indhold.

En traditionel underskrift med kuglepen på papir kan være lettere at forfalske, og i nogle tilfælde er der behov for omfattende granskning for at sikre dens ægthed, hvis det overhovedet er muligt. En aftale indgået med elektroniske signaturer kan derfor sågar anses for at have en højere bevisværdi end en fysisk underskrevet aftale.

Tjenesten tilbyder flere forskellige metoder til elektronisk underskrift. Det stærkeste bevis for, at den rigtige person har underskrevet aftalen, får man ved hjælp af en elektronisk underskrift med e-legitimation, fx NemID/MitID.

scroll to me

Hændelseslog

Bevisførelsen samles i aftalens hændelseslog. Den indeholder oplysninger om alle vigtige hændelser, fx at en part har signeret aftalen, og hvilken person, der har foretaget signeringen. I hændelsesloggen gemmes for hver hændelse relevante data såsom tidspunkter, IP-adresser, e-mailadresser og personoplysninger.

  • Kontrolsummer for alle indgåede aftalefiler
  • Tidspunkter
  • Navne
  • Personnumre
  • E-mailadresser
  • IP-adresser
  • Organisationsnumre
  • Organisationsnavne
  • Underskrifter*

*Når der signeres med e-legitimation, NemID/MitID, gemmes også NemID-/MitID-signaturen og OCSP-svar i hændelsesloggen.

*Når der signeres med tofaktor-sms-signatur, gemmes også telefonnummer og engangskode

*Når der signeres med tegneunderskrift, gemmes også billedet af underskriften, en Base64-kodet vektorbaseret SVG-fil.

scroll to me

Forsegling af aftaler

Egreement kan forsegle aftalen med et elektronisk stempel for at beskytte dens integritet og dermed sikre og bevise dens ægthed, samt at den ikke er blevet ændret siden signeringen. Samtidig giver det mulighed for validering af, at aftalen er uændret – også uafhængigt af Egreement. Ved hjælp af en standard PDF-læser såsom Adobe Acrobat Reader kan enhver tydeligt se, om dokumentet er uændret eller er blevet ændret.

Forseglingen sker med Egreements AATL-certifikat udstedt af GlobalSign. Certifikatet benytter en 2048-bit nøgle og SHA256 RSA til signering. LTV (LongTerm Validation) muliggør bevarelse og gyldighed over en længere periode, så man på et hvilket som helst tidspunkt i fremtiden kan validere, at signaturen og dermed aftalen er gyldig.

scroll to me

Referencedokument

Ud over at aftalerne forsegles, indeholder alle kontrakter, der oprettes med tjenesten, foruden hændelsesloggen også referencedokumentation, som yderligere styrker dens uafhængighed i forhold til Egreement. Referencedokumentationen beskriver aftaleformatet og de tilgængelige metoder for elektronisk underskrift i detaljer. Alle kontrakter, der oprettes i tjenesten, er derfor selvbærende, dvs. de kan gemmes hvor som helst og valideres uafhængigt af Egreement.

scroll to me

Databeskyttelse – GDPR

Egreement overholder den generelle forordning om databeskyttelse, GDPR, med hensyn til al håndtering af personoplysninger og arbejder derfor løbende på at gennemføre og sikre, at der er truffet passende tekniske og organisatoriske foranstaltninger for at sikre, at al behandling sker i overensstemmelse med GDPR.

scroll to me

Databehandleraftale

Egreementet indeholder en standarddatabehandleraftale, som opfylder alle krav, der stilles i henhold til GDPR. Egreement træffer også en lang række foranstaltninger for at sikre, at alle personoplysninger i tjenesten behandles korrekt, dette beskrives nærmere nedenfor.

scroll to me

Privacy by design

Egreements løsning er bygget på principperne om "Privacy by design" og ”Privacy
by default” (indbygget databeskyttelse og databeskyttelse som standard) i henhold til GDPR. Dette betyder
blandt andet, at løsningen:

  • sikrer, at kunden kan overholde de grundlæggende principper, som er fastsat i databeskyttelsesforordningen i overensstemmelse med de specifikke krav til kunden baseret på, hvilken type personoplysninger kunden behandler m.m. Det omfatter blandt andet, at kunden i systemet kan opfylde kravene om dataminimering, minimering af opbevaring og begrænsning af formål
  • sikrer adgangskontrol, så kunden kan kontrollere, hvem der har adgang til hvilke data
  • sikrer muligheder for berigtigelse, sletning, begrænsning og sortering af oplysninger i overensstemmelse med forordningens krav (dette kan kunden selv styre inden for systemets rammer)
  • sikrer, at kunden kan give den registrerede adgang til de oplysninger, der er registreret om ham/hende i systemet.
scroll to me

Opbevaringstider

Du har som kunde fuld kontrol over, hvor længe den respektive aftale og oplysninger om aftalen og de personer, der har underskrevet aftalen, skal opbevares.

scroll to me

Sikkerhed/teknisk databeskyttelse

Se nedenstående beskrivelse under informationssikkerhed.

scroll to me

Egreement som databehandler

Egreement handler i overensstemmelse med GDPR som databehandler, eftersom tjenesten altid behandler personoplysninger på vegne af den dataansvarlige kunde. Som databehandler leverer Egreement en databehandleraftale, der opfylder samtlige krav i GDPR.

Egreement behandler kun de personoplysninger, som kunden er dataansvarlig for i overensstemmelse med dokumenterede instruktioner fra kunden. Egreement fører desuden et register over alle kategorier af behandling, der udføres på vegne af den dataansvarlige, dvs. kunden.

Når Egreement anvender underleverandører til behandling af personoplysninger, underskriver Egreement altid en underleverandøraftale, der dækker minimum de samme forpligtelser, som Egreement har over for kunden i henhold til databehandleraftalen med kunden.

Ved brug af underleverandører sikrer Egreement, at underleverandørerne følger de instruktioner, som kunden har givet vedrørende behandlingen af personoplysninger. Egreement samarbejder efter anmodning med Den svenske databeskyttelsesmyndighed, som er tilsynsmyndighed for GDPR i Sverige. Egreement har truffet passende tekniske og organisatoriske foranstaltninger for at sikre, at der opretholdes et højt og passende sikkerhedsniveau.

Egreement videregiver ikke personoplysninger eller andre oplysninger om behandling af personoplysninger, medmindre en sådan forpligtelse findes i henhold til databeskyttelsesreglerne. Hvis en sådan forpligtelse eksisterer, vil Egreement, medmindre det er i strid med gældende lovkrav, altid først informere kunden.

Alle medarbejdere og konsulenter har underskrevet fortrolighedsaftaler og har modtaget oplysninger om, hvordan loginoplysninger gemmes sikkert for at sikre, at ingen uvedkommende får adgang til personoplysninger.

Desuden vil Egreement – i overensstemmelse med det, der kræves af Egreement som databehandler – hjælpe kunden for at sikre, at kunden kan overholde de relevante krav, som denne er pålagt i henhold til GDPR.

scroll to me

Opbevaring og behandling af personoplysninger i EU

Egreement behandler kun personoplysninger inden for EU, og opbevaring af personoplysninger finder sted i Amazon Web Services på tre fysisk adskilte steder, AWS Availability zones, i Irland.

Der offentliggøres løbende en opdateret liste over underleverandører for brugere, der er logget ind på tjenesten.

Egreement benytter i øjeblikket følgende underleverandører til at levere tjenesten:

  • Amazon Web Services EMEA SARL, Luxembourg (lagrings- og serverkapacitet)
  • Idfyed Solutions AB, Sverige (eID service provider)
  • 21st Century Mobile AB, Sverige, (sms-tjenester)
  • mySMTP (e-mailnotifikationer)

Der er indgået underleverandøraftaler med samtlige underleverandører.

Ved brug af underleverandører sikrer Egreement, at der indgås korrekte underleverandøraftaler, og at underleverandørerne følger kundens instrukser vedrørende behandling af personoplysninger.

Eftersom Amazon Web Services er en irsk virksomhed, og Egreements aftale tydeligt angiver, at personoplysninger ikke overføres til lande uden for EU/EØS, opfyldes de krav til behandling af personoplysninger, der er fastsat i EDPB's henstillinger om overførselsmekanismer (01/2020) vedtaget den 18. juni 2021.

Informationssikkerhed

scroll to me

Sikker kommunikation

Al ekstern kommunikation med tjenesten og transport af data er krypteret med HTTPS. Egreement bruger et certifikat med en 2048-bit nøgle og signaturalgoritmen SHA256 RSA. Tjenesten testes regelmæssigt for at opretholde klasse A eller A+ ifølge Qualys SSL Labs. Al ekstern kommunikation med tjenesten sker via load balancers, der håndterer programsikkerhed. Der udføres desuden regelmæssige tests mod forsøg på indtrængen, såkaldte penetrationstests.

Al intern kommunikation mellem tjenestens servere er begrænset af firewallregler for at sikre, at der kun forekommer autoriseret adgang.

scroll to me

Sikker opbevaring

For at sikre høj tilgængelighed gemmes alle oplysninger i tjenesten på tre fysisk adskilte steder (availability zones). Aftaler og andre filer opbevares i Amazon S3. Andre strukturerede data gemmes i en database.

Alle oplysninger, der behandles i tjenesten, krypteres under opbevaring for at beskytte dem yderligere mod uautoriseret adgang. Kryptering sker ved hjælp af algoritmen AES-256.

Databasen sikkerhedskopieres regelmæssigt, en gang om dagen. Sikkerhedskopier gemmes på tre fysisk adskilte steder og opbevares i tre måneder, hvorefter de slettes.

Som kunde kontrollerer du selv, hvor længe den respektive aftale med tilhørende oplysninger skal gemmes i tjenesten.

scroll to me

Håndtering af adgangsrettigheder og hændelseslog

Alle brugeridentiteter er personlige og må ikke videregives til andre personer. Brugernes login til tjenesten sker med godkendelse ved hjælp af NemID/MitID eller brugernavn og adgangskode for at verificere brugerens identitet. Tjenesten kræver komplekse adgangskoder for at øge sikkerheden.

I tjenesten kan kunden selv styre, hvem der har adgang, ved at tilføje eller fjerne brugere.

Tjenesten er baseret på princippet om "minimering af adgang". For at muliggøre dette har tjenesten en tilladelsesstyring, der understøtter, at man aktivt giver specifikke brugere eller grupper af brugere adgang til aftaler .

Alle hændelser i tjenesten logges. Vigtige hændelser for en aftale, fx tidspunkter for underskrifter, logges separat og er tilgængelige for kunden i tjenesten. Brugerbegivenheder, fx login, visning, sletning, ændringer af adgangsrettigheder og konfigurationer og alle andre logs i tjenesten, sendes til en separat server til loghåndtering og gemmes i 90 dage, hvorefter de slettes permanent. Kun autoriserede medarbejdere hos Egreement har adgang til logfilerne.

For at kunne administrere tjenesten har Egreement tildelt udvidede adgangsrettigheder til særlige medarbejdere i Sverige. Alle administrative medarbejdere med udvidede adgangsrettigheder har gennemgået en uddannelse i informationssikkerhedsstyring.

scroll to me

Rutiner og styring af informationssikkerhed

Egreements ledelse har indført en systematisk og risikoorienteret tilgang til vores arbejde med spørgsmål og opgaver i forbindelse med informationssikkerhed – et system til informationssikkerhedsstyring. Arbejdet med informationssikkerhed udføres på grundlag af den internationale standard SS-ISO/IEC 27001 for styringssystemer for informationssikkerhed. Derudover skal de artikler i Europa-Parlamentets og Rådets forordning (EU) 2016/679, GDPR, som vedrører informationssikkerhed, overholdes.

For at understøtte dette har Egreement udarbejdet en informationssikkerhedspolitik, der omfatter alle informationsaktiver i virksomheden. Med tilhørende retningslinjer og procedurer skabes forudsætningerne for et systematisk arbejde, der fører til løbende forbedringer. Det overordnede formål med Egreements informationssikkerhedsarbejde er at sikre en afbalanceret beskyttelse af vores informationsaktiver, så de rigtige oplysninger er tilgængelige for den rigtige person på det rigtige tidspunkt og på en måde, der kan spores.

Informationssikkerhed henviser til beskyttelse af oplysninger, uanset i hvilken form de er, og hvordan de videregives, håndteres eller opbevares. Oplysningerne skal beskyttes mod alle trusler, uanset om de er interne, eksterne, forsætlige eller utilsigtede. Begrebet omfatter fysisk sikkerhed, it-sikkerhed, administrativ sikkerhed og personlig sikkerhed.

Egreement har etableret en organisation med tydelige roller og ansvarsfordeling for at håndtere arbejdet med informationssikkerhed.

Egreement håndterer, på grundlag af regelmæssige risiko- og sårbarhedsanalyser og opståede hændelser, de aktuelle risici og iværksætter passende tiltag for at opretholde korrekt tilpassede beskyttelsesniveauer for virksomhedens informationsaktiver.

Opfølgning på informationssikkerhedsarbejdet sker ved, at samtlige informationssikkerhedshændelser registreres i et dertil indrettet system. Opfølgning på beskyttelsesforanstaltningerne på grundlag af gennemførte risikoanalyser foretages løbende.

Medarbejderne har mulighed for anonymt at indberette mistanker om fejl eller uregelmæssigheder til den informationssikkerhedsansvarlige hos Egreement.

Kontinuitetsplanen vedtages årligt af ledelsen. Den regulerer og definerer de kritiske virksomhedsprocesser, der skal fungere i tilfælde af alvorlige hændelser. Ledelsen foretager en årlig opfølgning på de risikoanalyser, der er blevet gennemført. Den udpegede informationssikkerhedsansvarlige rapporterer til ledelsen.