Juridisk og teknisk sikkerhet
Innhold
- eIDAS
- Bindende avtale
- Beviskrav – hvordan står elektroniske avtaler seg i en tvist?
- Hendelseslogg
- Forsegling av avtaler
- Referansedokument
- Databeskyttelse – GDPR
- Bistandsavtale
- ”Privacy by design”
- Lagringstider
- Sikkerhet / teknisk databeskyttelse
- Egreemeent som beskytter av personopplysninger
- Lagring og behandling av personopplysninger innenfor EU
- Sikker kommunikasjon
- Sikker lagring
- Autorisasjonshåndtering og logging av hendelser
- Rutiner og styring av informasjonssikkerhet
Lov og rett
eIDAS
1.
juli 2016 tok man i bruk EU-forordningen om elektronisk identifikasjon og klarerte tjenester for elektroniske transaksjoner i det indre marked (eIDAS-forordningen) i Norge.
Dokumenter signert elektronisk av Egreements tjeneste overholder reglene i eIDAS-forordningen om elektroniske signaturer og kan derfor ikke nektes rettslig virkning i en domstol av den grunn at de er i elektronisk form. Det er imidlertid unntak i eIDAS-forordningen når det gjelder spesielle formkrav i norsk lovgivning. Det kan for eksempel være krav om elektronisk signatur med høy tillit, som avansert elektronisk signatur, eller krav om signatur med penn på papir.
Med Egreements tjeneste er det mulig å signere dokumenter med avansert elektronisk signatur ved hjelp av f.eks. BankID eller annen e-legitimasjon.
Som en pålitelig tjenesteleverandør er Egreement pålagt av eIDAS-forordningen å ta passende tekniske og organisatoriske tiltak for å håndtere sikkerhetsrisikoen ved de betrodde tjenestene Egreement leverer. Egreement er også forpliktet til å varsle tilsynsorganet til det norske Nasjonal kommunikasjonsmyndighet og, der det er aktuelt, andre relevante organer, innen 24 timer etter oppdagelse vedrørende sikkerhetshendelser, eller tap av integritet, som i vesentlig grad påvirker den betrodde tjenesten som tilbys eller de personlige data som finnes der.
Bindende avtale
En avtale inngått via Egreements tjeneste er juridisk bindende. Det er noen unntak når det er spesielle formkrav i henhold til loven. Dette er kun er tilfellet med noen få avtaletyper i Norge, som kjøp av fast eiendom, overdragelse av bolig og testamenter.
I noen tilfeller kan det være spesielle formkrav i avtaler. Dersom en avtale sier at avtaler/endringer eller tillegg skal inngås skriftlig, kan Egreements tjeneste benyttes. Også for andre formkrav, f.eks. dersom en avtale krever at den skal signeres av undertegnede, kan Egreements tjeneste alltid benyttes dersom partene er enige.
Ettersom digital signatur har blitt mer vanlig, har stadig flere en standard i sine avtaler om at digital signatur av en avtale skal likestilles med håndskrevne signaturer.
Som beskrevet ovenfor faller en signatur med BankID under klarerte tjenester inn under eIDAS-forordningen som en avansert elektronisk signatur, og denne typen signatur har derfor rettsvirkning i hele EU.
Beviskrav – hvordan står elektroniske avtaler seg i en tvist?
I norsk prosessrett gjelder prinsippet om fri bevisførsel og fri beviskontroll – hver part kan velge hvordan han eller hun vil bevise at en avtale er inngått eller signert av en bestemt person. I en sånn situasjon fremkommer fordelen med elektroniske signaturer. Da er det enkelt å bevise teknisk hvem som har signert avtalen og i tillegg er det sporbarhet angående innholdet i avtalen.
En tradisjonell signatur med penn på papir kan være lettere å forfalske. I noen tilfeller kreves omfattende gransking for å sikre ektheten, hvis det er mulig. En avtale inngått med elektronisk signatur kan derfor til og med anses å ha høyere bevisverdi enn en fysisk signert avtale.
Tjenesten tilbyr flere ulike metoder for elektronisk signering. Det sterkeste beviset på at rett person har signert avtalen er en elektronisk signatur med e-legitimasjon, for eksempel BankID.
Hendelsesloggen
Bevis samles i avtalens hendelseslogg. Den inneholder informasjon om alle viktige hendelser. For eksempel at en part har signert avtalen og hvem som har fullført signaturen. Der lagres også relevant informasjon som tidspunkt, IP-adresser, e-postadresser og personopplysninger for hver hendelse.
- Sjekksum for alle inkluderte avtalefiler
- Tidspunkt
- Navn
- Personnummer
- E-post adresse
- IP-adresser
- Organisasjonsnummer
- Organisasjonsnavn
- Signaturer *
*Ved signering med e-legitimasjon lagres også BankID, BankID-signatur og OCSP-svar.
*Ved signering med tofaktors SMS-signatur lagres også telefonnummer og engangskode.
*Når du signerer med en håndskrift lagres også bildet på signaturen, en Base64-kodet vektorbasert SVG-fil.
Forsegling av avtaler
Egreement kan sikre avtalen med et elektronisk stempel for å beskytte dens integritet og dermed bevise dens autentisitet og at den ikke har endret seg siden den ble signert. Samtidig muliggjør det validering av at avtalen er uendret – helt uavhengig av Egreement. Ved hjelp av en standard PDF-leser, som Adobe Acrobat Reader, kan alle selv se om dokumentet har blitt endret eller ei.
Sikringen av avtalen gjøres med Egreements AATL-sertifikat utstedt av GlobalSign. Sertifikatet bruker en 2048-bits nøkkel og SHA256 RSA for signering. LTV, LongTerm Validation, muliggjør langsiktig bevaring og gyldighet for når som helst å kunne validere at signaturen, og dermed avtalen, er gyldig.
Referansedokumentasjon
I tillegg til at avtalene er sikret inneholder alle avtaler som opprettes med tjenesten, i tillegg til hendelsesloggen, også en referansedokumentasjon for ytterligere å styrke dens uavhengighet fra Egreement. Referansedokumentasjonen beskriver i detalj avtaleformatet og tilgjengelige metoder for elektronisk signatur. Alle avtaler som opprettes i tjenesten er dermed selvbærende, noe som vil si at de kan lagres der man ønsker og valideres uavhengig av Egreement.
Databeskyttelse – GDPR
Egreement er alltid i samsvar med GDPR vedrørende håndtering av personopplysninger og arbeider derfor kontinuerlig med å implementere og sikre at hensiktsmessige tekniske og organisatoriske tiltak er på plass for at all behandling skal utføres i henhold til alle kjente GDPR krav.
Bistandstavtale
Egreement gir en standard bistandsavtale som oppfyller alle krav satt av GDPR. Egreement iverksetter også en lang rekke tiltak for å sikre at alle personopplysninger innenfor tjenesten behandles korrekt. Dette er nærmere beskrevet nedenfor.
Privacy by design
Egreements løsning er basert på prinsippene «Privacy by design» og Privacy by default”(innebygd databeskyttelse og databeskyttelse som standard) i henhold til GDPR. Dette betyr blant annet at løsningen:
- sørger for at kunden kan følge de grunnleggende prinsippene etter personvernforordningen ut fra de spesifikke krav som den aktuelle kunden har med hensyn til type personopplysninger de behandler mv. Dette inkluderer blant annet at kunden, innenfor systemet, kan oppfylle krav til dataminimering, lagringsminimering og formålsbegrensningen
- sørger for tilgangskontroll. At kunden kan kontrollere hvilke personer som skal ha tilgang til hvilke data
- sikrer muligheter for retting, sletting og begrensning av data i henhold til kravene som stilles i forskriften (Dette kan kunden selv styre innenfor systemet).
- Sikrer også at kunden kan sette den registrerte i stand til å få tilgang til opplysninger som er registrert på vedkommende i systemet.
Lagringstider
Du som kunde styrer helt hvor lenge hver avtale, og informasjon om avtalen samt personene som signerte avtalen, skal lagres.
Sikkerhet / teknisk databeskyttelse
Se beskrivelse nedenfor under informasjonssikkerhet.
Egreement som personopplysningsassistent
Egreement opptrer i henhold til GDPR personopplysningsassistent da tjenesten alltid håndterer personopplysninger på vegne av den personopplysningsansvarlige kunden. Som personopplysningsassistent leverer Egreement en personopplysningsassistentavtale som oppfyller alle krav satt i henhold til GDPR.
Egreement behandler kun personopplysningene som kunden er personopplysningsansvarlig for i henhold til dokumenterte instrukser fra kunden. Egreement fører også et register over alle kategorier av handlinger utført på vegne av den personopplysningsansvarlig, altså kundens, regning.
I tilfeller hvor Egreement engasjerer underleverandører for behandling av personopplysninger tegner Egreement alltid en avtale med disse som dekker minst de samme forpliktelsene som Egreement har overfor kunden i henhold til personopplysningsassistentavtalen som er opprettet med kunden.
Ved innleie av underleverandører påser Egreement at disse følger instruksene som kunden har om behandling av personopplysninger. På forespørsel samarbeider Egreement med Datatilsynet, som er tilsynsmyndigheten for GDPR i Norge. Egreement har iverksatt nødvendige tekniske og organisatoriske tiltak for å sikre at et høyt og hensiktsmessig sikkerhetsnivå opprettholdes.
Egreement utleverer ikke personopplysninger eller annen informasjon om behandling av personopplysninger med mindre en slik forpliktelse foreligger i henhold til personvernreglene. Skulle en slik forpliktelse eksistere, vil Egreement, med mindre det er i strid med ufravikelig lov, alltid først informere kunden.
Alle ansatte og konsulenter har signert konfidensialitetsavtaler og mottatt informasjon om hvordan man lagrer påloggingsinformasjon på en forsvarlig måte for å sikre at ingen uvedkommende gis tilgang til personopplysninger.
For øvrig vil Egreement selvfølgelig bistå kunden med å – i henhold til det som kreves av Egreement som personopplysningsassistent – sørge for at de kan oppfylle relevante krav som kunden har i henhold til GDPR.
Lagring og behandling av personopplysninger innenfor EU
Egreement behandler kun personopplysninger innenfor EU og lagring av personopplysninger skjer i Amazon Web Services på tre fysisk separate lokasjoner, AWS Availability zones, i Irland.
En fortløpende oppdatert liste over underleverandører publiseres for påloggede brukere i tjenesten.
Egreement bruker for tiden følgende underleverandører for å tilby tjenesten:
- Amazon Web Services EMEA SARL, Luxembourg (lagrings- og serverkapasitet)
- Idfyed Solutions AB, Sverige, (eID-tjenesteleverandør)
- 21st Century Mobile AB, Sverige (SMS-tjenester)
- mySMTP (e-postvarsler)
Det er inngått avtaler med alle underleverandører.
Ved bruk av underleverandører sørger Egreement for at det inngås korrekte underleverandøravtaler og at underleverandørene følger de instrukser kunden har gitt angående behandling av personopplysninger.
Siden Amazon Web Services er et irsk selskap, og Egreements avtale tydelig sier at personopplysninger ikke overføres utenfor EU/EØS, er alle krav til behandling av personopplysninger, i samsvar med EDPBs anbefalinger om overføringsmekanismer (01/2020) vedtatt 18. juni 2021, oppfylt.
Informasjonssikkerhet
scroll to meSikker kommunikasjon
All ekstern kommunikasjon med tjenesten og transport av data er kryptert med HTTPS. Egreement bruker et sertifikat med 2048 bit nøkkel og signaturalgoritmen SHA256 RSA. Tjenesten testes regelmessig for å opprettholde klasse A eller A+ i henhold til Qualys SSL Labs. All ekstern kommunikasjon med tjenesten skjer via lastbalansering som håndterer applikasjonssikkerhet. Det utføres også jevnlig tester mot inntrengingsforsøk, såkalte penetrasjonstester.
All intern kommunikasjon mellom tjenestens servere er begrenset av brannmurregler for å sikre at kun autorisert tilgang finner sted.
Sikker lagring
For å sikre høy tilgjengelighet lagres all informasjon i tjenesten i tre fysisk forskjellige soner (tilgjengelighetssoner). Avtaler og andre filer lagres i Amazon S3. Andre strukturerte data lagres i databasen.
All informasjon som håndteres i tjenesten er kryptert under lagring for ytterligere å beskytte mot uautorisert tilgang. Kryptering gjøres ved hjelp av AES-256-algoritmen.
Databasen sikkerhetskopieres regelmessig, én gang om dagen. Sikkerhetskopier lagres på tre fysisk separate steder og lagres i tre måneder, hvoretter de slettes.
Du som kunde styrer selv hvor lenge hver avtale med tilhørende informasjon skal lagres i tjenesten.
Rutiner og styring av informasjonssikkerhet
Egreements ledelse har innført en systematisk og risikoorientert tilnærming, et styringssystem, til hvordan vi arbeider med problemstillinger og oppgaver som omhandler informasjonssikkerhet. Informasjonssikkerhetsarbeidet drives med utgangspunkt i den internasjonale styringssystemstandarden for informasjonssikkerhet, SS-ISO / IEC 27001. Videre skal artiklene i Europaparlamentets og Rådets forordning (EU) 2016/679, GDPR, som gjelder informasjonssikkerhet, overholdes.
Til støtte for dette har Egreement etablert en informasjonssikkerhetspolicy som dekker all informasjonstilgang i virksomheten. Med tilhørende retningslinjer og rutiner legges det til rette for et systematisk arbeid som fører til kontinuerlige forbedringer. Det overordnede formålet med Egreements informasjonssikkerhetsarbeid er å sikre en velbalansert beskyttelse av vår informasjonstilgang slik at rett informasjon er tilgjengelig for rett person til rett tid og på en sporbar måte.
Informasjonssikkerhet refererer til beskyttelse av informasjon uavhengig av dens form, hvordan den overføres, håndteres eller lagres. Informasjonen skal beskyttes mot alle trusler, enten interne, eksterne, tilsiktede eller utilsiktede. Begrepet omfatter fysisk sikkerhet, IT-sikkerhet, administrativ sikkerhet og personlig sikkerhet.
Egreement har etablert en organisasjon med tydelige roller og ansvarsfordeling for håndtering av informasjonssikkerhetsarbeid.
Basert på regelmessige risiko- og sårbarhetsanalyser, og hendelser som har oppstått, håndterer Egreement risikoer og iverksetter passende tiltak for å opprettholde riktig tilpassede beskyttelsesnivåer for selskapets informasjonstilgang.
Oppfølging av informasjonssikkerhetsarbeidet skjer ved å registrere alle informasjonssikkerhetshendelser i et system designet for dette formålet. Oppfølging med preventive tiltak, gjort på bakgrunn av gjennomførte risikoanalyser, skjer fortløpende.
Ansatte har mulighet til å anonymt rapportere mistenkte feil eller uregelmessigheter til den ansvarlige for informasjonssikkerheten hos Egreement.
Kontinuitetsplanen vedtas årlig av ledelsen. Den regulerer og definerer de kritiske forretningsprosessene som skal fungere ved alvorlige hendelser. Ledelsen følger årlige opp gjennomførte risikoanalyser. Rapportering gjøres av utpekt informasjonssikkerhetsansvarlig til ledelsen.