Vanliga frågor och svar kring juridisk säkerhet och elektroniska signaturer

hand som projicera ett hänglås

Elektroniska avtal och signaturer kan verkligen underlätta tillvaron för stora som små bolag och behoven finns dessutom i alla sorters bolag. Men, vi vet att det kan uppstå en hel del frågor kring juridik och säkerhet kopplat till e-avtal.

För att hjälpa dig med svar på dina funderingar har vi därför samlat våra 13 vanligaste frågor i denna artikel.

1. Vad innebär eIDAS?

Den 1 juli 2016 började eIDAS att tillämpas i Sverige. eIDAS, eller electronic Identification, Authentication and trust Services, är en EU-förordning som reglerar elektronisk identifiering av transaktioner inom EU:s inre marknad. Det är alltså EU:s sätt att harmonisera och skapa enhetlighet gällande alla EU-länders e-legitimationer. Tanken är att en svensk medborgare ska kunna identifiera sig med sin e-legitimation utfärdad i Sverige när personen kommer till ett annat EU-land. Samma sak gäller för medborgare i andra EU-länder när de kommer till Sverige.

2. Har Egreement betrodda tjänster enligt eIDAS?

eIDAS-förordningen reglerar vad en betrodd tjänst är, vilka betrodda tjänster som kan tillhandahållas och vilka tekniska och juridiska förutsättningar som gäller för dessa tjänster.

Betrodda tjänster omfattar tjänster kopplade till elektroniska underskrifter, elektroniska stämplar, elektroniska tidsstämplar, autentisering av webbplatser samt säkra elektroniska leveranser. Med Egreements tjänst är det möjligt att skriva under dokument med avancerade elektroniska underskrifter med hjälp av exempelvis BankID eller annan e-legitimation. Egreement är därmed en tillhandahållare av betrodda tjänster enligt eIDAS.

Som tillhandahållare av betrodda tjänster är Egreement i enlighet med eIDAS-förordningen också skyldig att vidta lämpliga tekniska och organisatoriska åtgärder för att hantera riskerna för säkerheten hos de betrodda tjänster som Egreement tillhandahåller.

3. Uppfyller Egreement kraven i eIDAS-förordningen?

Egreements tjänst erbjuder flera olika metoder för elektronisk underskrift. Starkast bevis ger en elektronisk underskrift med e-legitimation, exempelvis BankID. Med detta uppfylls kraven i eIDAS-förordningen om avancerade elektroniska underskrifter. I de allra flesta fall ger även andra metoder för elektronisk underskrift så som exempelvis ritsignatur eller tvåfaktors SMS-signatur ett juridiskt bindande avtal.

4. Är Egreements avtal juridiskt bindande?

Ett avtal ingånget via Egreements tjänst är juridiskt bindande förutsatt att det inte finns några formkrav enligt lag, vilket endast är fallet vid ett fåtal avtalstyper i Sverige exempelvis vid köp av fast egendom och överlåtelse av bostadsrätt.

5. Hur står sig elektroniska avtal vid en tvist?

Fördelen med elektroniska underskrifter är att det är enkelt att tekniskt bevisa vem som skrivit under avtalet och att det finns spårbarhet vad gäller avtalets innehåll. En traditionell underskrift med penna på papper kan vara lättare att förfalska och det krävs i vissa fall omfattande granskning för att säkerställa dess äkthet, om det överhuvudtaget är möjligt. Ofta har ett avtal som ingåtts med elektroniska underskrifter därför till och med högre bevisvärde än ett fysiskt underskrivet avtal.

6. Vad är en händelselogg och varför behövs detta?

För att kunna styrka att avtal ingåtts elektroniskt har vi en händelselogg där bevisföring gällande avtalet samlas. Händelseloggen innehåller information om alla viktiga Händelser, exempelvis att en part har skrivit under avtalet och vilken person som har genomfört underskriften. I händelseloggen sparas för varje händelse relevanta uppgifter som tidpunkter, IP-adresser, e-postadresser och personuppgifter.

7. Har Egreement stöd för GDPR?

Egreement följer Dataskyddsförordningen, GDPR, gällande all hantering av personuppgifter och har därför genomfört lämpliga tekniska och organisatoriska åtgärder för att säkerställa och kunna visa att behandlingen utförs i enlighet med denna förordning. Dessa åtgärder ses över och uppdateras vid behov.

8. Var lagrar Egreement personuppgifter?

Egreement behandlar endast personuppgifter inom EU och lagring av personuppgifter sker i Amazon Web Services på tre fysiskt skilda platser på Irland.

9. Vad är Privacy by design och varför jobbar Egreement utifrån denna princip?

Egreements lösning är uppbyggd utifrån principerna om ”Privacy by design” och ”Privacy by default” enligt dataskyddsförordningen (det vill säga inbyggt dataskydd och dataskydd som standard). Detta innebär bl.a. att lösningen:

  • säkerställer att kunden kan följa de grundläggande principerna enligt
    dataskyddsförordningen samt enligt de specifika krav som just kunden har
  • säkerställer åtkomstkontroll, att kunden kan styra vilka personer som ska ha åtkomst
    till vilka uppgifter
  • säkerställer möjligheter till rättelse, radering, begränsning och gallring av uppgifter i
    enlighet med de krav som förordningen ställer
  • säkerställer att kunden kan möjliggöra för den registrerade att få tillgång till uppgifter
    som finns registrerade om denne i systemet

10. Hur säker är Egreements tjänst?

All extern kommunikation med tjänsten och transport av data sker krypterat. Tjänsten testas regelbundet för att upprätthålla högsta säkerhet enligt rådande praxis samt för att testa mot intrångsförsök, s.k penetrationstest.

11. Hur säker är lagring av data i Egreements tjänst?

För att säkerställa hög tillgänglighet lagras all information i tjänsten på tre fysiskt skilda platser. All information som hanteras i tjänsten krypteras vid lagring för att ytterligare skydda mot obehörig åtkomst.

Backup av databasen sker regelbundet, en gång per dag. Backuper lagras på tre fysiskt skilda platser och sparas i tre månader varefter de raderas. Du som kund styr själv hur länge respektive avtal med tillhörande information ska lagras i tjänsten.

12. Hur fungerar behörighetshanteringen i Egreement?

Alla användaridentiteter är personliga och får inte lämnas ut till annan person. Inloggning till tjänsten sker med autentisering via BankID eller användarnamn och lösenord för att verifiera användarens identitet. Tjänsten ställer krav på komplexa lösenord för ökad säkerhet.

Tjänsten är byggd utifrån principen ”minimering av åtkomst”. För att möjliggöra detta har tjänsten en behörighetsstyrning som stödjer att man aktivt ger åtkomst till avtal för specifika användare eller grupper av användare.