scroll to me

Juridisk och teknisk säkerhet

Innehåll

  • eIDAS
  • Bindande avtal
  • Beviskrav - hur står sig elektroniska avtal vid en tvist?
  • Händelselogg
  • Försegling av avtal
  • Referensdokument
  • Dataskydd - GDPR
  • Biträdesavtal
  • Privacy by design
  • Lagringstider
  • Säkerhet/tekniskt dataskydd
  • Egreemeent som personuppgiftsbiträde
  • Lagring och behandling av personuppgifter inom EU
  • Säker kommunikation
  • Säker lagring
  • Behörighetshantering och loggning av händelser
  • Rutiner och styrning av informationssäkerhet
scroll to me

Juridik

eIDAS

Den 1 juli 2016 började EU:s förordning om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden (eIDAS-förordningen) tillämpas i Sverige.

Dokument som skrivs under elektroniskt med Egreements tjänst följer eIDAS-förordningens regler om elektroniska underskrifter och kan därmed inte förvägras rättslig verkan i en domstol endast på grund av att de är i elektronisk form. Det finns dock undantag i eIDAS-förordningen gällande speciella formkrav i svensk lagstiftning. Exempelvis kan det finnas krav på en elektronisk underskrift med hög tillitsnivå som en avancerad elektronisk underskrift eller krav på underskrift med penna på papper.

Med Egreements tjänst är det möjligt att skriva under dokument med avancerade elektroniska underskrifter med hjälp av t. ex. BankID eller annan e-legitimation.

Som tillhandahållare av betrodda tjänster är Egreement i enlighet med eIDAS-förordningen skyldig att vidta lämpliga tekniska och organisatoriska åtgärder för att hantera riskerna för säkerheten hos de betrodda tjänster som Egreement tillhandahåller. Egreement är också skyldig att senast inom 24 timmar efter upptäckt, underrätta tillsynsorganet Post-och telestyrelsen och i förekommande fall andra relevanta organ, om alla säkerhetsincidenter eller integritetsförluster som i betydande omfattning påverkar den betrodda tjänst som tillhandahålls eller på de personuppgifter som ingår i denna.

scroll to me

Bindande avtal

Ett avtal ingånget via Egreements tjänst är juridiskt bindande. Det finns några undantag när det är speciella formkrav enligt lag, vilket endast är fallet vid ett fåtal avtalstyper i Sverige såsom vid exempelvis köp av fast egendom, överlåtelse av bostadsrätt och testamente.

I vissa fall kan det finns speciella formkrav i avtal. Om ett avtal säger att avtal/ändringar eller tillägg ska ingås skriftligt kan Egreements tjänst användas. Även vid andra formkrav, t.ex. om ett avtal säger att ett avtal ska vara underhändigt undertecknade kan alltid Egreements tjänst användas om parterna är överens.

Eftersom digitala signaturer blivit allt vanligare har fler och fler som standard i sina avtal att digital signatur av ett avtal ska likställas med handskriven signatur.

Som ovan beskrivits faller en underskrift med BankID under betrodda tjänster eIDAS-förordningen som en avancerad elektronisk underskrift, och den typen av underskrift har därför rättslig verkan inom hela EU.

scroll to me

Beviskrav - hur står sig elektroniska avtal vid en tvist?

I svensk processrätt gäller principen om fri bevisföring och fri bevisprövning – varje part kan själv välja hur denne vill bevisa att ett avtal är ingånget eller underskrivet av en viss person. Fördelen med elektroniska underskrifter är att det är enkelt att tekniskt bevisa vem som skrivit under avtalet och att det finns spårbarhet vad gäller avtalets innehåll.

En traditionell underskrift med penna på papper kan vara lättare att förfalska och det krävs i vissa fall omfattande granskning för att säkerställa dess äkthet, om det överhuvudtaget är möjligt. Ett avtal som ingåtts med elektroniska underskrifter kan därför t.o.m. anses ha högre bevisvärde än ett fysiskt underskrivet avtal.

Tjänsten erbjuder flera olika metoder för elektronisk underskrift. Starkast bevis för att rätt person undertecknat avtalet ger en elektronisk underskrift med e-legitimation, exempelvis BankID.

scroll to me

Händelselogg

Bevisföring samlas i avtalets händelselogg. Den innehåller information om alla viktiga händelser. Exempelvis att en part har skrivit under avtalet och vilken person som har genomfört underskriften. I händelseloggen sparas för varje händelse relevanta uppgifter som tidpunkter, IP-adresser, e-postadresser och personuppgifter.

  • Kontrollsummor för alla ingående avtalsfiler
  • Tidpunkter
  • Namn
  • Personnummer
  • E-postadresser
  • IP-adresser
  • Organisationsnummer
  • Organisationsnamn
  • Underskrifter*

*Vid underskrift med e-legitimation, BankID, sparas även BankID-signatur och OCSP-svar i händelseloggen.

*Vid underskrift med tvåfaktors SMS-signatur sparas även telefonnummer och engångskod

*Vid underskrift med ritsignatur sparas även bilden på underskriften, en Base64-kodad vektorbaserad SVG-fil.

scroll to me

Försegling av avtal

Egreement kan försegla avtalet med en elektronisk stämpel i syfte att skydda dess integritet och därmed säkerställa samt bevisa dess äkthet samt att det inte har förändrats sedan det undertecknades. Samtidigt möjliggör det validering av att avtalet är oförändrat – även oberoende av Egreement, med hjälp av en standard PDF-läsare som exempelvis Adobe Acrobat Reader kan var och en tydligt själva se då se om dokumentet är oförändrat eller har förändrats.

Förseglingen sker med Egreements AATL-certifikat som är utfärdat av GlobalSign. Certifikatet använder en 2048-bitars nyckel och SHA256 RSA för undertecknande. LTV, LongTerm Validation, möjliggör bevarande och giltighet över lång tid för att när som helst i framtiden kunna validera att signaturen, och därmed avtalet, är giltigt.

scroll to me

Referensdokumentation

Utöver att avtalen förseglas innehåller alla avtal som skapas med tjänsten, förutom händelseloggen, även en referensdokumentation för att ytterligare förstärka dess oberoende av Egreement. Referensdokumentationen beskriver avtalsformatet och tillgängliga metoder för elektronisk underskrift i detalj. Alla avtal skapade i tjänsten är därmed självbärande, dvs. kan lagras var som helst och valideras oberoende av Egreement.

scroll to me

Dataskydd - GDPR

Egreement följer Dataskyddsförordningen, GDPR, gällande all hantering av personuppgifter och arbetar därför kontinuerligt med att genomföra och säkerställa att lämpliga tekniska och organisatoriska åtgärder finns på plats för att all behandlingen ska utförs i enlighet med GDPR.

scroll to me

Biträdesavtal

Egreement tillhandahåller ett standard biträdesavtal som uppfyller alla krav som ställs enligt GDPR. Egreement vidtar i övrigt ett stort antal åtgärder för att säkerställa att man behandlar alla personuppgifter inom tjänsten korrekt, detta beskrivs mer i detalj nedan.

scroll to me

Privacy by design

Egreements lösning är uppbyggd utifrån principerna om ”Privacy by design” och ”Privacy
by default” (inbyggt dataskydd och dataskydd som standard) enligt GDPR. Detta innebär
bl.a. att lösningen:

  • säkerställer att kunden kan följa de grundläggande principerna enligt dataskyddsförordningen enligt de specifika krav som just kunden har utifrån vilken typ av personuppgifter som kunden behandlar m.m. Detta innefattar bl.a. att kunden inom systemet kan uppfylla krav på uppgiftsminimering, lagringsminimering och ändamålsbegränsning
  • säkerställer åtkomstkontroll, att kunden kan styra vilka personer som ska ha åtkomst till vilka uppgifter
  • säkerställer möjligheter till rättelse, radering, begränsning och gallring av uppgifter i enlighet med de krav som förordningen ställer (Detta kan kunden själv styra inom ramen för systemet.)
  • säkerställer att kunden kan möjliggöra för den registrerade att få tillgång till uppgifter som finns registrerade om denne i systemet.
scroll to me

Lagringstider

Ni som kund styr helt hur längre respektive avtal samt information om avtalet och de personer som signerat avtalet ska sparas.

scroll to me

Säkerhet/tekniskt dataskydd

Se nedan beskrivning under informationssäkerhet.

scroll to me

Egreement som personuppgiftsbiträde

Egreement agerar i enlighet med GDPR personuppgiftsbiträde då tjänsten alltid hanterar personuppgifter för den personuppgiftsansvarige kundens räkning. Som personuppgiftsbiträde tillhandahåller Egreement ett personuppgiftsbiträdesavtal som uppfyller alla krav som ställs enligt GDPR.

Egreement behandlar endast de personuppgifter kunden är personuppgiftsansvarig för i enlighet med dokumenterade instruktioner från kunden. Egreement för därtill ett register över alla kategorier av behandling som utförs för den personuppgiftsansvariges, kundens, räkning.

I de fall Egreement anlitar underbiträden för behandling av personuppgifter tecknar Egreement alltid ett underbiträdesavtal som omfattar minst samma skyldigheter som Egreement har gentemot kunden enligt personuppgiftsbiträdesavtalet med kunden.

Vid anlitande av underbiträden säkerställer Egreement att underleverantörerna följer de instruktioner som kunden har vad gäller behandling av personuppgifter. Egreement samarbetar på begäran med Integritetsskyddsmyndigheten som är tillsynsmyndighet gällande GDPR i Sverige. Egreement har vidtagit lämpliga tekniska och organisatoriska åtgärder för att säkerställa att en hög och lämplig säkerhetsnivå upprätthålls.

Egreement lämnar inte ut personuppgifter eller annan information om behandlingen av personuppgifter om inte sådan skyldighet föreligger enligt Dataskyddsreglerna. Skulle sådan skyldighet föreligga kommer Egreement, om det inte strider mot tvingande lag, alltid först att informera kunden.

All personal och alla konsulter har undertecknat sekretessavtal och fått information om hur inloggningsuppgifter ska förvaras på ett säkert sätt för att säkerställa att ingen obehörig ges åtkomst till personuppgifter

Även i övrigt kommer Egreement bistå kunden för att – i enlighet med vad som krävs av Egreement såsom personuppgiftsbiträde - säkerställa att kunden kan uppfylla de relevanta krav som denne har på sig i enlighet med GDPR.

scroll to me

Lagring och behandling av personuppgifter inom EU

Egreement behandlar endast personuppgifter inom EU och lagring av personuppgifter sker i Amazon Web Services på tre fysiskt skilda platser, AWS Availability zones, på Irland.

En kontinuerligt uppdaterad lista med underbiträden finns publicerad för inloggade användare i tjänsten.

Egreement använder för närvarande följande underbiträden för att leverera tjänsten:

  • Amazon Web Services EMEA SARL, Luxemburg, (lagring och serverkapacitet)
  • Idfyed Solutions AB, Sverige, (eID service provider)
  • 21st Century Mobile AB, Sverige, (SMS-tjänster)
  • mySMTP (e-postnotifieringar)

Underbiträdesavtal har tecknats med samtliga underbiträden.

Vid anlitande av underleverantörer säkerställer Egreement att korrekta underbiträdesavtal ingås samt att underleverantörerna följer de instruktioner som kunden har vad gäller behandling av personuppgifter.

Eftersom Amazon Web Services är ett irländskt bolag och Egreements avtal tydligt anger att personuppgifter inte överförs utanför EU/EES uppfylls de krav på personuppgiftsbehandling som ställs enligt EDPBs rekommendationer om överföringsmekanismer(01/2020) som antogs 18 juni 2021.

Informationssäkerhet

scroll to me

Säker kommunikation

All extern kommunikation med tjänsten och transport av data sker krypterat med HTTPS. Egreement använder ett certifikat med 2048 bitars nyckel och signaturalgoritmen SHA256 RSA. Tjänsten testas regelbundet för att upprätthålla klass A eller A+ enligt Qualys SSL Labs. All extern kommunikation med tjänsten sker via lastbalanserare som hanterar applikationssäkerhet. Test utförs även regelbundet mot intrångsförsök, s.k penetrationstest.

All kommunikation internt mellan tjänstens servrar begränsas av brandväggsregler för att säkerställa att endast auktoriserad åtkomst sker.

scroll to me

Säker lagring

För att säkerställa hög tillgänglighet lagras all information i tjänsten på tre fysiskt skilda platser (availability zones). Avtal och andra filer lagras i Amazon S3. Övriga strukturerade data lagras i databas.

All information som hanteras i tjänsten krypteras vid lagring för att ytterligare skydda mot obehörig åtkomst. Kryptering sker med algoritmen AES-256. Krypteringsnyckeln lagras i AWS KMS HSM som uppfyller FIPS 140-2 och AWS-anställda har inte åtkomst till denna nyckel utan endast behörig personal på Egreement.

Backup av databasen sker regelbundet, en gång per dag. Backuper lagras på tre fysiskt skilda platser och sparas i tre månader varefter de raderas.

Ni som kund styr själva hur länge respektive avtal med tillhörande information ska lagras i tjänsten.

scroll to me

Behörighetshantering och loggning av händelser

Alla användaridentiteter är personliga och får inte lämnas ut till annan person. Inloggning av användare till tjänsten sker med autentisering via BankID eller användarnamn och lösenord för att verifiera användarens identitet. Tjänsten ställer krav på komplexa lösenord för ökad säkerhet.

Kunden administrerar själv i tjänsten vilka som ska ha åtkomst genom att lägga till eller ta bort användare.

Tjänsten är byggd utifrån principen ”minimering av åtkomst”. För att möjliggöra detta har tjänsten en behörighetsstyrning som stödjer att man aktivt ger åtkomst till avtal för specifika användare eller grupper av användare.

Alla händelser i tjänsten loggas. Viktiga händelser för ett avtal, som exempelvis tidpunkter för underskrifter, loggas separat och är tillgängliga för kunden i tjänsten. Användarhändelser som exempelvis inloggning, visning, radering, behörighetsändringar och konfigurationer samt tjänstens alla övriga loggar skickas till en separat server för logghantering och sparas i 90 dagar för att därefter raderas permanent. Endast behörig personal på Egreement har åtkomst till loggarna.

Egreement har i syfte att administrera tjänsten tilldelat utökade behörigheter till utsedd personal i Sverige. All administrativ personal med utökad behörighet har genomgått utbildning i hantering av informationssäkerhet.

scroll to me

Rutiner och styrning av informationssäkerhet

Egreements ledning har infört ett systematiskt och riskorienterat arbetssätt avseende hur vi jobbar med frågor och uppgifter som handlar om informationssäkerhet, ett ledningssystem för informationssäkerhet. Informationssäkerhetsarbetet bedrivs med utgångspunkt i den internationella ledningssystemstandarden för informationssäkerhet, SS-ISO/IEC 27001. Vidare ska de artiklar i Europaparlamentets och rådets förordning (EU) 2016/679, GDPR, som berör informationssäkerhet efterlevas.

Som stöd för detta har Egreement fastslagit en informationssäkerhetspolicy som omfattar samtliga informationstillgångar inom verksamheten. Med tillhörande riktlinjer och rutiner skapas förutsättningar för ett systematiskt arbete som leder till ständiga förbättringar. Det övergripande syftet med Egreements informationssäkerhetsarbete är att säkerställa ett väl avvägt skydd för våra informationstillgångar så att rätt information är tillgänglig för rätt person vid rätt tidpunkt och på ett spårbart sätt.

Med informationssäkerhet avses skydd av information oavsett vilken form den har, hur den överförs, hanteras eller lagras. Informationen skall skyddas mot alla hot oavsett om de är interna, externa, avsiktliga eller oavsiktliga. Begreppet innefattar, fysisk säkerhet, IT-säkerhet, administrativ säkerhet samt personsäkerhet.

Egreement har fastslagit en organisation med tydliga roller och ansvarsfördelning för att hantera informationssäkerhetsarbetet.

Egreement hanterar, utifrån regelbundna risk- och sårbarhetsanalyser och inträffade incidenter, risker och vidtar lämpliga åtgärder för att upprätthålla rätt anpassade skyddsnivåer för verksamhetens informationstillgångar.

Uppföljning av informationssäkerhetsarbetet sker genom att samtliga informationssäkerhetsincidenter registreras i därför avsett system. Uppföljning av skyddsåtgärder, gjorda med utgångspunkt från genomförda riskanalyser, sker kontinuerligt.

Medarbetare har möjlighet att anonymt kunna rapportera misstänkta felaktigheter eller oegentligheter till informationssäkerhetsansvarig på Egreement.

Kontinuitetsplanen antas årligen av ledningen. Den reglerar och definierar de kritiska verksamhetsprocesser som ska fungera vid allvarliga incidenter. Ledningen följer årligen upp genomförda riskanalyser. Rapportering görs av utsedd informationssäkerhetsansvarig till ledningen.