Kvalificerede elektroniske signaturer (QES)

QES (Qualified Electronic Signature) er det høyeste nivået innen elektroniske signaturer, regulert av eIDAS. eIDAS definerer rammeverket for elektroniske signaturer og eID-er innenfor EU. Du kan lese mer om de tre forskjellige nivåene av elektroniske signaturer her.

Scrive tilbyr QES-tjenester i samarbeid med våre partnere, Verimi og Swisscom, en kvalifisert tillitstjenestetilbyder (QTSP) anerkjent av EU. Slik at våre kunde selv kan velge den e-signatur som best passer deres behov.

Hva er QES?

Fra et teknisk perspektiv og ifølge eIDAS er “”en “”Qualified Electronic Signature (QES) en avansert elektronisk signatur som er skapt av en kvalifisert elektronisk signaturskapende enhet, som igjen er basert på et kvalifisert sertificat for elektroniske signaturer””.

Fra et juridisk perspektiv er QES likestilt med en håndkreven signatur og bærer samme juridiske tyngde. QES gir høy sikkerhet knyttet til autentifiseringen av det faktum at personen som skriver under er den hen sier hen er. Som i praksis betyr følgende:

Hvis det blir stilt spørsmålstegn ved validiteten til en kvalifisert elektronisk signatur i en juridisk tvist, kan retten anta at signaturen er valid og at signeringsparten har blitt identifisert. Dermed vil bevisbyrden ligge hos anklageren som befester tvil til signaturens validitet. Om vi derimot ser på tilfeller hvor dokumenter er signert med en enkel elektronisk signatur (ES) eller en avansert elektronisk signatur (AES) ligger bevisbyrderen hos den forsvarende part, ikke hos anklageren. Den forsvarende part må da kunne bevise at den navngitte signeringsparten faktisk signerte dokumentet.

I praksis vil den juridiske effekten som medfølger QES gi parten som benytter seg av dette e-signeringsnivået enkelte fordeler. Terskelen for avvisning av en elektronisk signatur vil kunne være lavere ved QES enn ved ES eller AES. Uavhengig av dette må retten vurdere beviset den har for hånden og i et tilfelle av f.eks. identitetstyveri kan også QES bli vurdert som ugylidg på lik linje med ES/AES – på samme måte som ES/AES kan bli vurdert valid selv om den initielle formodningen om validitet ikke var applikerbar. Beviskvaliteten knyttet til signeringsprosessen er selvfølgelig viktig i en slik kontekst, spesielt når ES/AES benyttes.

Når behøver man QES?

QES er i dag kun krevd ved en håndfull instanser og avhengig av lokal nasjonal lovgivning. i Tyskland for eksempel er QES et krav ved noen arbeidskontrakter, årsrapporter, salg og kjøp av næringseiendommer.

Hvis du er usikker på hvilke dokumenter og avtaler din bedrift må signere med QES kan du ta kontakt med vårt team og de vil hjelpe deg med å finne den rette løsningen for deg.

Hva er forskjellen mellom avansert elektronisk signatur (AES) og kvalifisert elektronisk signatur (QES)?

For å forstå forskjellen mellom disse nivåene av elektronisk signatur, som definert av eIDAS, hjelper det å starte med å se på forskjellen mellom AES og en elektronisk signatur på et grunnleggende nivå. En AES har fire krav som gjør den forskjellig fra en grunnleggende ES, to av disse handler om identiteten til signeringsparten, en om kontrollen holdt av signeringsparten og den siste om integritetsbeskyttelse.

Ifølge eIDAS-reguleringen må en AES være “”unikt linket til signeringsparten”” og “”kunne identifisere signeringsparten””. Siden eIDAS er teknologisk nøytral sikres identitetsverifiseringen og kontrolldelen for en AES med en eID, som f.eks. den norske BankID. For å lære mer om eIDAS og elektronisk identitetsordninger innad i EU kan du besøke vårt Trust Center og lese artikkelen om standardisering av digital identitet innad i EU.

I eIDAS bygger hvert nivå av elektroniske signaturer på nivået under, slik at QES har samme krav som AES, men i tillegg krever (i) at signeringsprosessen er kreert fra en kvalifisert signaturkreasjonsenhet (QSCD) og (ii) er basert på et kvalifisert sertifikat for elektroniske signaturer. Disse tekniske kravene faller vanligvis på tilbyderen av e-signeringsløsningen og deres partnere, ikke på partene som signerer dokumentet.

Enkelt sagt betyr dette at kravene til den tekniske løsningen brukt til QES må være sertifisert og godkjent. Dette betyr at metodene for identifisering, kontroll og integritetsbeskyttelse også er godkjent. Men, ikke alle metoder som er tilgjengelige for AES møter disse kriteriene. Faktisk er mulighetene for QES færre, noe som kan ha effekt på hvor anvendbare og enkle i bruk de er, på grunn av disse strengere kravene. Dette kan gjøre en AES eller ES til et mer attraktivt alternativ for ditt selskap og dine partnere – om dette dekker dine juridiske- og risikovurderingsbehov

Generell ansvarsfraskrivelse: Scrive tilbyr ikke juridiske råd. Hensikten med denne informasjonen er kun å gi generell informasjon rundt Scrive sin research og nåværende forståelse av gjeldende reguleringer. Leseren benytter seg av informasjonen på egen risiko. For juridiske råd og veiledning, følg den gjeldende juridiske ekspertisen innenfor ditt område og industry.

Hvordan komme i gang med kvalifiserte elektroniske signaturer?

Gjennom partnerskap tilbyr Scrive QES i flere markeder i Europa. For å implemtentere QES i ditt selskap kan være så enkelt som å integrere Scrive sin eSign-løsning i systemene og enhetene dere allerede bruker i dag.

Kontakt oss

Om Swisscom

Som den ledende tilbyderen av kommunikasjon, IT og underholdning i Sveits er Swisscom unikt posisjonert for å tilby deres identifiserings- og signeringsløsninger for å hjelpe selskaper å oppnå kravene for kvalifiserte elektroniske signaturer. Gjennom innovative og bærekraftige løsninger har de vist seg å være den perfekte partneren for Scrive for å geleide kunder gjennom kompleksitetene som medfølger digital transformasjon og gjelgende reguleringer.

Om Verimi

Verimi jobber hardt for å utvikle fremtiden innen digital identitetsadministrasjon. De er helt i front av digital identitetslandskapet som er i evig endring, med partnere som Allianz, Deutsche Bank, Deutsche Telekom, Samsung og Volkswagen er Verimi rustet til å spille en stor rolle i formingen av eID-bruken i de kommene årene.