Kvalificerade elektroniska signaturer (QES)

QES är den högsta nivån av elektronisk signatur enligt definitionen av eIDAS-förordningen, som definierar ramverket för elektroniska signaturer och eID:n inom EU. Du kan läsa mer om de tre nivåerna av elektronisk signatur här.

Scrive erbjuder för närvarande QES-tjänster i samarbete med Swisscom, en qualified trust service provider (QTSP) enligt EU, samt Verimi, vilket säkerställer att våra kunder kan välja den typ av e-signatur som passar deras behov.

Vad är QES?

Ur ett tekniskt perspektiv, enligt eIDAS, betyder “kvalificerad elektronisk signatur” en avancerad elektronisk signatur som skapas av en kvalificerad enhet för att skapa elektroniska signaturer och som är baserad på ett kvalificerat certifikat för elektroniska signaturer.

Ur ett juridiskt perspektiv har QES motsvarande rättsverkan som en handskriven signatur, det vill säga en “särskild rättsverkan”. QES erbjuder en hög grad av säkerhet som intygar att den namngivna undertecknaren faktiskt är den person som undertecknat dokumentet. Vad det betyder i praktiken:

Om giltigheten av en kvalificerad elektronisk signatur är juridiskt ifrågasatt, kan domstolen anta att signaturen är giltig och att undertecknaren har identifierats. Den första bevisbördan vilar således på utmanaren (som förkastar sin underskrift) att visa att dokumentet inte undertecknades av den namngivna undertecknaren. Däremot, i fallet med ett dokument/avtal som undertecknats med en enkel elektronisk signatur (ES) eller en avancerad elektronisk signatur (AES), kan bevisbördan vara omvänd: den part som försvarar signaturens giltighet måste visa att den namngivna undertecknaren signerade dokumentet/avtalet.

I själva verket erbjuder den särskilda rättsverkan som QES erhåller vissa fördelar för den part som förlitar sig på signaturen; främst att tröskeln för avvisning av undertecknaren kan uppfattas som högre än om en ES/AES använts. Ändå ska en domstol fortfarande väga den föreliggande bevisningen och i t.ex. ett fall av identitetsbedrägeri kan även en QES anses ogiltig – precis som en ifrågasatt ES/AES fortfarande kan anses giltig även om den ursprungliga presumtionen om giltighet inte gällde. Kvaliteten på bevis relaterade till signaturprocessen är naturligtvis viktig i detta sammanhang, inte minst när ES/AES används.

När behöver du QES?

Tillfällen där QES krävs är för närvarande få och generellt underställda nationella lagar. I Tyskland är till exempel visstidsanställningsavtal, årsredovisningar och B2B-fastighetshyresavtal bland de typer av avtal som kräver QES.

Om du är osäker på vilka dokument/avtal ditt företag kan behöva skriva under med QES, kontakta Scrives team, så hjälper vi dig att vägleda dig till rätt lösning.

Vad är skillnaden mellan Advanced Electronic Signature (AES) och Qualified Electronic Signature (QES)?

För att förstå skillnaden mellan dessa två nivåer av elektronisk signatur, enligt definitionen av eIDAS, hjälper det att börja med att visa skillnaden mellan AES och en elektronisk signatur på den grundläggande nivån. En AES har fyra krav som skiljer den från en grundläggande ES, två av dem handlar om undertecknarens identitet, en om undertecknarens kontroll över signeringen och den sista om integritetsskydd.

Enligt eIDAS-förordningen ska en AES vara “unikt kopplad till undertecknaren” och vara “kapabel att identifiera undertecknaren”. eIDAS är teknikneutralt men identitetssäkring för en AES uppnås vanligtvis med ett eID som till exempel svenskt BankID, iDIN (Nederländerna) eller NemID/MitID (Danmark). För att lära dig mer om eIDAS och elektroniska identitetssystem i EU, besök Scrives Trust Center och artikeln Standardizing Digital Identity in the EU.

I eIDAS bygger varje nivå på nivån och kraven under. Således är en QES en AES som dessutom är: (i) skapad av en kvalificerad signaturskapande enhet (QSCD), och (ii) är baserad på ett kvalificerat certifikat för elektroniska signaturer. Dessa tekniska krav är vanligtvis leverantören av e-signaturtjänster och deras partners ansvar, inte parterna som undertecknar dokumentet.

Enkelt uttryckt innebär dessa krav att den tekniska lösning som används för att signera med QES behöver certifieras/godkännas. Detta innebär att de metoder för identifiering, kontroll och integritetsskydd som används också är godkända. Men inte alla sådana metoder som är tillgängliga för AES-nivån uppfyller dessa kriterier. I själva verket är alternativen för QES mer begränsade och dess genomförbarhet, användarvänlighet etc. kan också påverkas på grund av strängare krav. Detta kan göra AES, eller till och med ES, till ett mer attraktivt alternativ för ditt företag och kunder – förutsatt att detta är tillräckligt för att uppfylla dina regulatoriska krav och för att hantera affärsrisk.

Allmän ansvarsfriskrivning: Scrive tillhandahåller inte juridisk rådgivning. Syftet med denna information är endast att ge allmän information baserad på Scrives research och nuvarande förståelse och kunskap om regleringarna. Läsaren får använda informationen enbart på eget ansvar och risk. För juridisk rådgivning, hänvisar Scrive till kvalificerad juridisk expertis inom din egen jurisdiktion och affärsområde.

Hur börjar man använda kvalificerade elektroniska signaturer?

Genom partnerskap kan Scrive erbjuda lösningar för QES på olika marknader i hela Europa. För att implementera support för QES behövs endast en integration av Scrives eSign-tjänst i ditt system eller tjänst.

Kontakta oss

Om Swisscom

Som den ledande leverantören av kommunikation, IT och underhållning i Schweiz är Swisscom unikt positionerat för att erbjuda sina identifierings- och signeringsmöjligheter för att hjälpa företag att uppnå en kvalificerad elektronisk signatur. Med sin historia av teknisk innovation och hållbarhet har de visat sig vara den perfekta partnern för Scrive för att guida kunder genom komplexiteten i digital transformation och reglerna därtill.

Om Verimi

Verimi arbetar hårt med att utveckla framtiden för digital identitetshantering. Eftersom Verimi ligger i framkant av det ständigt föränderliga digitala identitetslandskapet, med partners som Allianz, Deutsche Bank, Deutsche Telekom, Samsung och Volkswagen, är Verimi redo att spela en viktig roll i att forma användningen av eID i många år framöver.