Sannheten om elektronisk signatur

av EKOR AS (først publisert på informasjonsforvaltning.no 17. februar 2012)

De fire egenskapene ved dokumentene som ønskes ivaretatt gjennom en signaturer er:

  • Autentisering
  • Integritetsbeskyttelse
  • Konfidensialitetsbeskyttelse
  • Sikring av ikke-benekting

(NOU 2001:10)

Signatur med penn benyttes på papirdokumenter. Elektronisk signatur benyttes til elektroniske dokumenter.

Det er fri bevisførsel og fri bevisbedømmelse i norsk rett. Du kan fremlegge det du vil som bevis og retten står fritt til å bedømme om bevisene dine holder (tvisteloven § 21,2 og 21.3). Dette betyr at vi ikke med sikkerhet kan vite hvordan en norsk domstol ville vurdere ulike former for signatur på et elektronisk dokument, sett opp mot et dokument som kunne forelegges retten på papir og med en tradisjonell underskrift.

Eneste måten å angripe dette på er dermed å vurdere sannsynlighet, og etter min oppfatning er det i disse sannsynlighetsvurderingene at mange feiler. De antar automatisk at det er høyere risiko knyttet til bevisføring basert på elektroniske dokumenter og ulike former for elektronisk signatur, enn det ville være ved å benytte seg av papir og penn. Dette medfører at det fremdeles gjennomføres en rekke transaksjoner på tradisjonelt vis med papirbasert korrespondanse, papirbasert signatur og bruk av papirbaserte arkiver.

I en hverdag hvor praktisk talt alle dokumenter blir produsert og kommunisert elektronisk, medfører slike «via papir» prosesser ineffektivitet i tjenesteproduksjonen. Hvis vi har et ønske om rasjonell drift, må vi derfor vurdere i hvilken grad disse prosessene tilfører merverdi.

Det er to typer elektroniske dokumenter som er relevant i denne sammenhengen:

  • Digitaliserte (skannede kopier) av papirdokumenter signert med pen
  • Elektroniske dokumenter signert med elektronisk signatur

I førstnevnte finnes det en original papirvariant. Spørsmålet er da om denne «originalen» i rettslig sammenheng er å anse som mer ekte enn den digitaliserte «kopien».

Norske arkivmyndigheter har her gitt til kjenne at de mener de digitaliserte variantene kan være likeverdige med papiret. Dette synspunktet har de uttrykt gjennom å uttale seg positivt til å kaste papiret etter digitalisering:

“Når dokumenter på papir blir skannet og arkivert elektronisk i tråd med Riksarkivarens bestemmelser, kan papirversjonen av dokumentene kasseres med mindre lovbestemte formkrav eller andre juridiske hensyn krever at papirversjonen bevares.” (Riksarkivarens forskrift kapittel IX § 1-3)”

En viktig forutsetning er at skanningen av dokumentene skjer inn i et system som kan bevare dokumentasjonens verdi som arkivmateriale. Hos øverste arkivmyndighet betyr dette i praksis at materialet blir registrert i et elektronisk arkiv. Når dokumentene skannes inn i et fullgodt elektronisk arkiv (som definert av NOARK) er ikke bare det digitaliserte dokumentet blitt en del av arkivet, men det finnes også en elektronisk registrering som dokumenterer av hvem og når det ble lagt i arkivet. At en norsk rett da ville underkjenne det som bevis virker veldig lite sannsynlig. Hele poenget med arkivsystemene er nettopp å ivareta de egenskapene ved våre dokumenter som rettsvesenet vurderer bevisenes (signaturens) stilling med utgangspunkt i. Oppbevaring av papiret av “andre juridiske hensyn” er dermed ikke relevante.

De eventuelle lovbestemte formkrav som Riksarkivaren henviser til ble i all hovedsak fjernet i en revisjon utført i regi av Nærings- og handelsdepartementet. Det såkalte “e-regelprosjektet” medførte at man gjorde endringer i 39 lover og om lag 20 forskrifter for å likestille elektronisk og papirbasert kommunikasjon. Heller ikke i lovverket vil en altså finne hindringer for å kvitte seg med papiret etter digitalisering. Se for eksempel Nærings- og handelsdepartementets VideRe-prosjekt.

Hva så med elektroniske dokumenter som blir kommunisert og “signert” i elektronisk form?

I Norge hjelper Lov om elektronisk signatur oss med å definere begrepet “elektronisk signatur”, jf. esignaturloven § 3:

1.elektronisk signatur: data i elektronisk form som er knyttet til andre elektroniske data og som brukes som autentiseringsmetode.

2. avansert elektronisk signatur: en elektronisk signatur som a)er entydig knyttet til undertegneren, b)kan identifisere undertegneren, c) er laget ved hjelp av midler som bare undertegneren har kontroll over, og d)er knyttet til andre elektroniske data på en slik måte at det kan oppdages om disse har blitt endret etter signering.

3.kvalifisert elektronisk signatur: en avansert elektronisk signatur som er basert på et kvalifisert sertifikat og fremstilt av et godkjent sikkert signaturfremstillingssystem.

Esignaturloven § 6 slår fast at en signatur på nivå 3 alltid vil være fullgod som underskrift, men at også signatur på lavere nivåer også kan være det.

Alle som har et IT-system som de må logge seg inn med personlig passord og i hvor de utfører oppgaver som skaper elektroniske spor i systemet, har elektronisk signatur på de laveste nivåene allerede. I praksis er disse oftest godt nok, og vi kan benytte denne typen elektroniske signaturer som erstatning for tradisjonell underskrift med penn på papirdokument. Spesielt er potensialet her stort hva gjelder bedriftsinterne signeringsprosesser, men de kan også benyttes for andre dokumenter mellom parter som kommuniseres elektronisk (f.eks. gjennom e-post oversendelse). En rekke offentlige organer har allerede begynt å utnytte seg av dette gjennom å benytte sak- og arkivløsninger til å ekspedere saksdokumenter på e-post. Penn- signaturen erstattes da gjennom en enkel formulering på malen ala: “Dokumentet er elektronisk godkjent”.

Kun for avtaledokumenter som krever meget høy sikring av mottaker -og avsenderinformasjon (mulighet for ikke-benektning), er signatur på høyeste nivå er relevant. Hvor vidt dette behovet er til stede må da vurderes av den enkelte virksomhet opp mot eventuell opplevd risiko for at dette kan skje, og at det faktisk får praktiske konsekvenser.

Hvis vi da velger ikke å fokusere på det som er vanskeligst, men heller ser på hvordan vi kan løse det enkle, ser vi at det her ligger store uutnyttede muligheter for de fleste. Som så ofte ellers er det ikke mangler på informasjonsteknologi (IT), hva vi kan gjøre uten å bryte loven, eller reel risiko i en eventuell rettssak som utgjør begrensingene. Det er vår egen evne og vilje til å utnytte de mulighetene som finnes.

Kontakt: ao(a)ekor.no

Reklamer

Daglig leder i EKOR - www.ekor.no

Publisert i Arkivfaglige tema, Lovverk, rutiner og policy
Kontaktinformasjon

EKOR AS, org.nr. 915003095
Post: Postboks 1406 Vika, 0115 Oslo
Besøk: Haakon VIIs gate 9, 0161 Oslo
Telefon: +47 901 14 042

%d bloggere like this: