E-signatur i EU

I detta direktiv fastställs den rättsliga ramen på europeisk nivå för elektroniska signaturer (e-signaturer) och erkännandet av tillhandahållare av certifikattjänster. Syftet är:

—	att göra e-signaturer lättare att använda,

—	att de ska kunna erkännas rättsligt i alla EU-länder.

RÄTTSAKT

Europaparlamentets och rådets direktiv 1999/93/EG av den 13 december 1999 om ett gemenskapsramverk för elektroniska signaturer.

SAMMANFATTNING

I direktivet beskrivs de kriterier som utgör grunden för rättsligt erkännande av e-signaturer. Det är inriktat på att reglera tillhandahållare av certifikattjänster. I direktivet föreskrivs:

—	gemensamma krav för tillhandahållare av certifikattjänster, för att säkerställa gränsöverskridande erkännande av e-signaturer och certifikat i hela Europeiska unionen (EU),

—	gemensamma regler för ansvar, för att bygga upp förtroende bland användare som är beroende av certifikaten,

—	samarbetsmekanismer som underlättar gränsöverskridande erkännande av e-signaturer och certifikat i länder utanför EU.

I direktivet definieras nya idéer:

—	den elektroniska signaturen, data i elektronisk form som är bifogade till eller logiskt knutna till andra elektroniska data och som fungerar som en autentiseringsmetod,

—

den avancerade elektroniska signaturen, som uppfyller följande krav:

—	den är knuten uteslutande till undertecknaren,

—	undertecknaren kan identifieras genom den,

—	den är skapad med medel som undertecknaren kan behålla under uteslutande sin egen kontroll,

—	den är kopplad till det elektroniska dokumentet som ska autentiseras; detta är för att säkerställa att eventuella påföljande ändringar i detta dokument går att upptäcka,

—

det kvalificerade certifikatet, som i synnerhet måste innehålla:

—	en uppgift om att det är utfärdat som ett kvalificerat certifikat,

—	identitetsbeteckning för tillhandahållaren av certifikattjänster,

—	undertecknarens namn,

—	möjligheten att inkludera en särskild ytterligare del av autentiseringen, t.ex. födelsedatum för undertecknaren (beroende på det avsedda syftet med certifikatet),

—	uppgifter för signaturverifiering: dessa måste motsvara uppgifter för skapande av signaturer som undertecknaren har kontroll över,

—	start- och slutdatum för den period då certifikatet är giltigt,

—	certifikatets identifieringskod,

—	den avancerade elektroniska signaturen för den tillhandahållare av certifikattjänster som utfärdar certifikatet.

Certifikatet måste även utfärdas av en tillhandahållare av certifikattjänster som uppfyller särskilda krav som fastställs i direktivet.

Marknadstillträde

EU-länderna får inte göra tillhandahållandet av certifikattjänster beroende av förhandstillstånd i någon form.

EU-länderna får ha sina egna system för att uppmuntra certifiering med förbättrade funktioner. De får inte begränsa antalet ackrediterade tillhandahållare av certifikattjänster. Inte heller får de begränsa tillgången på certifikattjänster med ursprung i ett annat EU-land.

EU-länderna får göra användandet av e-signaturer i den offentliga sektorn underställt eventuella ytterligare krav. Dessa krav måste vara objektiva, tydliga, proportionella och icke-diskriminerande.

E-signaturers rättsliga verkan

En avancerad e-signatur som bygger på ett kvalificerat certifikat uppfyller de rättsliga kraven på en signatur i förhållande till uppgifter i elektronisk form på samma sätt som en handskriven signatur uppfyller dessa krav i förhållande till uppgifter på papper. [Av bekvämlighetsskäl kan denna typ av signatur kallas en ”kvalificerad e-signatur”. Även om den beskrivs i direktivet, definieras den egentligen inte där.] Den är också giltig som bevis i rättsliga förfaranden.

En e-signatur får inte rättsligt förvägras som bevis i rättsliga förfaranden bara av det skälet att den:

—	är i elektronisk form,

—	inte är baserad på ett kvalificerat certifikat,

—	inte har skapats av en säker anordning för skapande av signatur.

Ansvar

EU-länderna måste säkerställa att en tillhandahållare av certifikattjänster som utfärdar ett kvalificerat certifikat tar på sig ett visst ansvar. Hit hör skadeståndsskyldighet gentemot eventuell person eller organ som är rimligen beroende av certifikatet, för att:

—	all information i det kvalificerade certifikatet ska vara korrekt vid tidpunkten för dess utfärdande,

—	certifikatet innehåller alla de detaljer som föreskrivs för ett kvalificerat certifikat vid tillfället för dess utfärdande, och undertecknaren som identifieras i certifikatet är den person som det utfärdades till.

Tillhandahållaren av certifikattjänster kan ålägga en begränsning för värdet av de transaktioner för vilka certifikatet kan användas. Denna begränsning måste göras tydlig för tredje part. Tillhandahållaren får inte vara ansvarig vid skadestånd till följd av användning av ett kvalificerat certifikat som överskrider begränsningarna för det.

Internationella aspekter

EU-länderna måste säkerställa att ett ömsesidigt rättsligt erkännande av kvalificerade certifikat och e-signaturer från länder utanför EU tillämpas. Vissa ansvarsvillkor måste vara uppfyllda, såsom att:

—	tillhandahållarna utanför EU uppfyller kraven i detta direktiv och är ackrediterade i ett EU-lands frivilliga ackrediteringssystem,

—	en tillhandahållare i EU som uppfyller kraven i direktivet kan garantera certifikaten från tillhandahållare utanför EU i samma utsträckning som sina egna certifikat.

Europeiska kommissionen kan lägga förslag för att säkerställa att internationella standarder och avtal är helt införda.

Dataskydd

EU-länderna måste säkerställa att tillhandahållare av certifikattjänster och nationella organ som är ansvariga för ackreditering eller tillsyn följer direktiv 95/46/EG om skydd av personuppgifter.

Ny förordning om elektronisk identifiering och betrodda tjänster antagen

eIDAS-förordningen (förordning (EU) nr 910/2014) antogs 2014. Den trädde i kraft 17.9.2014 och kommer att gälla fr.o.m. 1.7.2016, med undantag för vissa artiklar som förtecknas i förordningens artikel 52. Genom förordning (EU) nr 910/2014 upphävs direktiv 1999/93/EG. Detta träder i kraft 30.6.2016.

Mer information finns på Europeiska kommissionens webbsida om den digitala agendan för Europa, betrodda tjänster.

HÄNVISNINGAR

Rättsakt	Dag för ikraftträdande	Sista dag för genomförandet i medlemsstaterna	Europeiska unionens officiella tidning
Direktiv 1999/93/EG	19.1.2000	18.7.2001	EUT L 13, 19.1.2000, s. 12-20

Ändringar och fortlöpande korrigeringar till direktiv 1999/93/EG har integrerats i grundtexten. Denna konsoliderade version har enbart informationsvärde.

ANKNYTANDE RÄTTSAKTER

Meddelande från kommissionen till rådet, Europaparlamentet, Europeiska ekonomiska och sociala kommittén samt Regionkommittén - Handlingsplan för bättre e-signaturer och e-legitimation för att förenkla tillhandahållandet av gränsöverskridande offentliga tjänster på den inre marknaden (KOM(2008) 798 slutlig, 28.11.2008).

I detta meddelande föreslår kommissionen en åtgärdsplan med syftet att hjälpa EU-länderna att införa ömsesidigt erkända och driftskompatibla lösningar för e-signaturer och e-legitimation, för att göra det lättare att tillhandahålla gränsöverskridande offentliga tjänster i en elektronisk miljö. Detta är nödvändigt för att undvika att den gemensamma marknaden splittras.

Åtgärderna i åtgärdsplanen är indelade i två delar:

—	åtgärder med målet att förbättra den gränsöverskridande driftskompatibiliteten för kvalificerade e-signaturer och avancerade e-signaturer utifrån kvalificerade certifikat,

—	åtgärder som förbättrar den gränsöverskridande driftskompatibiliteten för elektronisk legitimation.

Rapport från kommissionen till Europaparlamentet och rådet - Rapport om tillämpningen av direktiv 1999/93/EG om ett gemenskapsramverk för elektroniska signaturer (KOM(2006) 120 slutlig,15 mars 2006).

Rapporten visar att EU-länderna har infört de allmänna principerna i direktivet.

Kommissionen konstaterar att införlivandet av direktivet i EU-ländernas lagstiftning har medfört att behovet av rättsligt erkännande av e-signaturer har tillgodosetts. Man anser därför att målen i direktivet har uppfyllts och att det inte finns något behov av att se över det på detta stadium. Trots detta planerar kommissionen att samråda med länderna och aktuella intressenter för att ta upp en rad frågor, i synnerhet gällande problem med driftskompatibiliteten, tekniska aspekter och standardisering.

Kommissionens beslut 2003/511/EG av den 14 juli 2003 om offentliggörande av referensnummer till allmänt erkända standarder för produkter för elektroniska signaturer i enlighet med Europaparlamentets och rådets direktiv 1999/93/EG (Europeiska unionens officiella tidning L 175, 15.7.2003, s. 45-46).

I detta beslut ges hänvisningar till tre allmänt erkända standarder för produkter för elektriska signaturer där det förutsätts överensstämmelse med den kvalificerade elektroniska signaturen.

Kommissionens beslut 2000/709/EG av den 6 november 2000 om de minimikriterier som skall beaktas av medlemsstaterna när de utser organ enligt artikel 3.4 i Europaparlamentets och rådets direktiv 1999/93/EG om ett gemenskapsramverk för elektroniska signaturer (Europeiska gemenskapernas officiella tidning L 289, 16.11.2000, s. 42-43).

I detta beslut fastställs de kriterier som EU-länderna måste ta hänsyn till när de utser nationella organ som ska bedöma överensstämmelsen för säkra anordningar för skapande av signaturer.

Senast ändrat den 09.01.2015