e-signatur i EU

Direktivet fastlægger den lovmæssige ramme på europæisk plan for elektroniske signaturer (e-signaturer) og for anerkendelse af certificeringstjenesteudbydere. Formålet er:

—	at gøre e-signaturer nemmere at bruge og

—	at bidrage til, at de bliver lovligt anerkendte i alle EU-lande.

DOKUMENT

Europa-Parlamentets og Rådets direktiv 1999/93/EF af 13. december 1999 om en fællesskabsramme for elektroniske signaturer.

RESUMÉ

Direktivet fastlægger det kriterium, der udgør baggrunden for retlig anerkendelse af e-signaturer. Det fokuserer på at regulere certificeringstjenesteudbydere. Det indfører:

—	fælles krav til certificeringstjenesteudbydere for at sikre grænseoverskridende anerkendelse af e-signaturer og certifikater i hele Den Europæiske Union (EU)

—	fælles erstatningsansvarsregler for at bidrage til at opbygge tilliden blandt brugere, der er dybt afhængige af certifikaterne

—	samarbejdsmekanismer for at lette grænseoverskridende anerkendelse af e-signaturer og certifikater med ikke-EU-lande.

Direktivet definerer nogle nye idéer:

—	den elektroniske signatur: data i elektronisk form, der er vedhæftet eller logisk tilknyttet andre elektroniske data, og som anvendes som en autentifikationsmetode.

—

avanceret elektronisk signatur: en elektronisk signatur, som opfylder følgende krav:

—	den er entydigt knyttet til underskriveren

—	den kan identificere underskriveren

—	den genereres med midler, som underskriveren kan bevare den fulde kontrol med

—	den er knyttet til det dokument, som skal autentificeres. Dette er for at sikre, at alle efterfølgende ændringer i det pågældende dokument kan opdages.

—

det kvalificerede certifikat, som navnlig omfatter:

—	angivelse af, at det er udstedt som et kvalificeret certifikat

—	identifikation af certificeringstjenesteudbyderen

—	underskriverens navn

—	muligheden for at inkludere et særligt autentificeringselement for underskriveren, såsom fødselsdato (afhængigt af certifikatets tilsigtede brug)

—	signaturverificeringsdata skal svare til de signaturgenereringsdata, som er under underskriverens kontrol

—	certifikatets ikrafttrædelses- og udløbsdato

—	certifikatets identifikationskode

—	den udstedende certificeringstjenesteudbyders avancerede elektroniske signatur.

Certifikatet skal også udstedes af en certificeringstjenesteudbyder, der opfylder specifikke krav, der er fastlagt i direktivet.

Markedsadgang

EU-landene skal sørge for, at udbuddet af certificeringstjenester ikke er underlagt nogen form for forudgående autorisation.

EU-landene kan have deres egne ordninger til at fremme certificering med avancerede funktioner. De må ikke begrænse antallet af akkrediterede certificeringstjenesteudbydere. De må heller ikke begrænse udbuddet af certificeringstjenester, der stammer fra et andet EU-land.

EU-lande kan benytte sig af e-signaturer i den offentlige sektor afhængig af opfyldelsen af eventuelle supplerende krav. Sådanne krav skal være objektive, gennemsigtige, forholdsmæssige og ikke-diskriminerende.

Retsvirkninger af e-signaturer

En avanceret e-signatur, der er baseret på et kvalificeret certifikat, opfylder retskravene til en signatur, hvad angår data i elektronisk form på samme måde som en håndskreven underskrift opfylder disse krav i forbindelse med papirbaserede data. [For nemheds skyld kan denne type signatur kaldes en »kvalificeret e-signatur«. Direktivet beskriver begrebet, men definerer det faktisk ikke]. E-signaturen kan også godtages som bevismateriale under retssager.

En e-signatur må ikke nægtes retlig gyldighed som bevis under retssager alene af den grund, at den:

—	er i elektronisk form

—	ikke er baseret på et kvalificeret certifikat

—	ikke er genereret af et sikkert signaturgenereringssystem.

Erstatningsansvar

EU-landene skal sikre, at en certificeringstjenesteudbyder, der udsteder et kvalificeret certifikat, påtager sig et vist ansvar. Det omfatter erstatningsansvar for skader vedrørende enhver person eller enhed, som med rimelighed forlader sig på certifikatet for så vidt angår:

—	korrektheden af alle oplysningerne i det kvalificerede certifikat på udstedelsestidspunktet

—	certifikatets indhold af alle de for et kvalificeret certifikat foreskrevne angivelser på udstedelsestidspunktet, og sikkerheden for, at den identificerede underskriver i certifikatet er den person, certifikatet blev udstedt til.

Certificeringstjenesteudbyderen kan sætte en beløbsgrænse for de transaktioner, som certifikatet kan anvendes til. Denne grænse skal være tydelig for tredjeparter. Udbyderen hæfter ikke for tab, der skyldes brug af et kvalificeret certifikat, der overskrider denne beløbsgrænse.

Internationale aspekter

EU-landene skal sikre gensidig anerkendelse af kvalificerede certifikater og e-signaturer fra ikke-EU-lande. Visse pålidelighedskriterier skal opfyldes, såsom:

—	at udbydere uden for EU opfylder kravene i dette direktiv og er akkrediteret under en frivillig akkrediteringsordning i et EU-land, eller

—	at en EU-udbyder, som opfylder kravene i dette direktiv, garanterer certifikatet fra ikke-EU-udbydere i samme omfang som udbyderens egne certifikater.

Europa-Kommissionen kan fremsætte forslag for at sikre, at internationale standarder og aftaler implementeres helt.

Databeskyttelse

EU-landene skal sikre, at certificeringstjenesteudbyderne og de nationale akkrediterings- og tilsynsorganer opfylder kravene i direktiv 95/46/EF om databeskyttelse.

Forordningen om ny elektronisk identifikation og tillidstjenester (eIDAS) er vedtaget

eIDAS-forordningen (forordning (EU) nr. 910/2014) blev vedtaget i 2014. Den trådte i kraft den 17. september 2014 og gælder fra den 1. juli 2016 med undtagelse af visse artikler, der er nævnt i artikel 52. Forordning (EU) nr. 910/2014 ophæver direktiv 1999/93/EF og træder i kraft den 30. juni 2016.

Der er yderligere oplysninger på Europa-Kommissionens websted for den digitale dagsorden for Europas tillidstjenester.

REFERENCER

Dokument	Ikrafttrædelsesdato	Gennemførelsesdato i medlemsstaterne	Den Europæiske Unions Tidende
Direktiv 1999/93/EF	19.1.2000	18.7.2001	EUT L 13 af 19.1.2000, s. 12-20

Efterfølgende ændringer og rettelser til direktiv 1999/93/EF er indarbejdet i grundteksten. Denne konsoliderede version har ingen retsvirkning.

TILHØRENDE DOKUMENTER

Meddelelse fra Kommissionen til Rådet, Europa-Parlamentet, det Europæiske Økonomiske og Sociale Udvalg og Regionsudvalget - Handlingsplan om anvendelse af e-signaturer og e-identifikation for at gøre det lettere at levere offentlige tjenesteydelser på tværs af grænserne i det indre marked (KOM(2008) 798 endelig udg. af 28.11.2008).

I denne meddelelse foreslår Kommissionen en handlingsplan, der sigter på at hjælpe EU-landene med at gennemføre indbyrdes anerkendte løsninger for interoperable elektroniske signaturer og interoperabel e-identifikation, for at det bliver lettere at levere offentlige tjenesteydelser på tværs af grænserne i et elektronisk miljø Dette er væsentligt for at undgå en opsplitning af det indre marked.

Foranstaltningerne i handlingsplanen er delt op i to dele:

—	foranstaltninger til forbedring af kvalificerede e-signaturers og avancerede e-signaturer baseret på kvalificerede certifikaters interoperabilitet på tværs af grænserne

—	foranstaltninger til forbedring af e-identiteters interoperabilitet på tværs af grænserne.

Rapport fra Kommissionen til Europa-Parlamentet og Rådet - Rapport om Europa-Parlamentets og Rådets direktiv 1999/93/EF om en fællesskabsramme for elektroniske signaturer (KOM(2006) 120 endelig udg. af 15.3.2006).

Rapporten angiver, at EU-landene har gennemført de overordnede principper i direktivet.

Kommissionen bemærker, at gennemførelsen af direktivet i EU-landenes lovgivning har opfyldt behovet for retlig anerkendelse af e-signaturer. Kommissionen mener derfor, at direktivets formål er opfyldt, og at der ikke er noget behov for at revidere direktivet på nuværende tidspunkt. Kommissionen planlægger imidlertid at høre landene og relevante interesseparter for at drøfte en række spørgsmål, navnlig om interoperabilitetsproblemer, tekniske aspekter og standardisering.

Kommissionens beslutning 2003/511/EF af 14. juli 2003 om offentliggørelse af referencenumre på almindeligt anerkendte standarder for elektroniske signaturprodukter i overensstemmelse med Europa-Parlamentets og Rådets direktiv 1999/93/EF (Den Europæiske Unions Tidende L 175 af 15.7.2003, s. 45-46).

Denne beslutning henviser til tre almindeligt anerkendte standarder for elektroniske signaturprodukter, der formodentligt overholder kravene til den kvalificerede elektroniske signatur.

Kommissionens beslutning 2000/709/EF af 6. november 2000 om de minimumskriterier, som medlemsstaterne skal tage hensyn til, når de udpeger organer i overensstemmelse med artikel 3, stk. 4, i Europa-Parlamentets og Rådets direktiv 1999/93/EF om en fællesskabsramme for elektroniske signaturer (Den Europæiske Unions Tidende L 289 af 16.11.2000, s. 42-43).

Denne beslutning fastlægger de kriterier, som EU-landene skal tage hensyn til, når de udpeger nationale organer, der skal afgøre om sikre signaturgenereringssystemer overholder kravene.

Seneste ajourføring: 09.01.2015