Leiðbeiningar um notkun rafrænna undirskrifta

Leiðbeiningarnar byggja á minnisblaði sem LEX lögmannsstofa vann fyrir Sambandið og er aðgengilegt hér að aftan. Markmið leiðbeininganna er að auðvelda sveitarfélögum að átta sig á mismunandi tegundum rafrænna undirritana, réttaráhrifum þeirra og í hvaða tilvikum nauðsynlegt er að notast við tilteknar tegundir undirritana.  

Reglugerð Evrópuþingsins og ráðsins (ESB) nr. 910/2014 um rafræna auðkenningu og traustþjónustu fyrir rafræn viðskipti á innri markaðinum („eIDAS“) var lögfest hér á landi með lögum nr. 55/2019 um rafræna auðkenningu og traustþjónustu fyrir rafræn viðskipti („lög um rafræna auðkenningu“). Markmið laganna er meðal annars að auka traust í rafrænum viðskiptum með því að kveða á um réttaráhrif og kröfur til rafrænna auðkenningarleiða og traustþjónustu.  

Traustþjónusta er skilgreind sem „rafræn þjónusta, sem að öllu jöfnu er veitt gegn þóknun og felst m.a. í myndun, sannprófun og staðfestingu rafrænna undirskrift. 

Traustþjónustur flokkast í fullgilda og ófullgilda þjónustuveitendur. Fullgildir traustþjónustuveitendur eru þeir sem veita eina eða fleiri tegundir fullgildrar traustþjónustu og sem eftirlitsstofnun hefur veitt fullgilda stöðu. 

Fullgildar traustþjónustur eru skráðar á lista framkvæmdastjórnar ESB yfir fullgilda þjónustuveitendur í öllum aðildarríkjum EES. Einnig er hægt að skoða íslenskan traustlista þar sem hægt er að nálgast upplýsingar um hverjir hafa stöðu fullgildra traustþjónustuveitenda á Íslandi og lúta eftirliti Fjarskiptastofu.  

Líkt og fram kemur á listanum veitir Advania Íslandi ehf. fullgilda traustþjónustu fyrir rafræna tímastimplun en Auðkenni ehf. veitir fullgilda traustþjónustu fyrir fullgilda rafræna undirskrift og rafrænt innsigli. Erlendir aðilar sem eru skráðir á traustlistann geta einnig veitt sína þjónustu á Íslandi og nýtur sú þjónusta viðurkenningar hjá öllum EES-ríkjum.  

Ófullgildar traustþjónustur ganga ekki í gegnum úttekt á hlítni við kröfur líkt og fullgildar traustþjónustur, þó vissulega eigi þær að uppfylla ákveðnar kröfur. Slíkum aðilum er óheimilt að markaðssetja sig sem fullgildar traustþjónustur.  

Ófullgildar traustþjónustur geta verið álitlegur kostur en ætíð skal hafa hugfast hvert markmið þjónustunnar er, hvaða upplýsingar verið er að meðhöndla sem og hvert lögmæti og fullvissustig þarf að vera.  

 

Mikilvægt er að þeir aðilar sem hyggjast notast við rafrænar undirskriftir meti hvaða kröfur séu gerðar til þeirrar þjónustu og þeirra upplýsinga sem skal meðhöndla. Þannig verður að velja tegund rafrænna undirskrifta eftir öryggis- og fullvissustigi.  

Þrjár tegundir rafrænna undirskrifta eru skilgreindar í eIDAS: 

„Einföld/Almenn“ Rafræn undirskrift 

Rafræn undirskrift er skilgreind sem „gögn á rafrænu formi sem eru tengd við eða rökrænt vensluð við önnur gögn á rafrænu formi og undirritandi notar til að undirrita. Samkvæmt framangreindu má því sem dæmi nefna undirritun með nafni í tölvupósti er svokölluð einföld rafræn undirskrift. 

Útfærð rafræn undirskrift 

Útfærð rafræn undirskrift uppfyllir eftirfarandi kröfur:  

  1. hún tengist undirritanda með einkvæmum hætti,  
  2. hún ber kennsl á undirritanda,  
  3. hún er gerð með rafrænum undirskriftargögnum sem undirritandi getur, með miklum áreiðanleika, einn haft stjórn á og  
  4. hún tengist gögnunum sem eru undirrituð með þeim hætti að unnt er að greina síðari breytingar á þeim.  

Sú tækni sem uppfyllir framangreindar kröfur og algengast er að notuð sé, er almenningslykill (e. public-key infrastructure, PKI), sem felur í sér notkun vottorða og dulmálslykla.  

Fullgild rafræn undirskrift 

Fullgild rafræn undirskrift er skilgreind sem útfærð rafræn undirskrift sem er mynduð með fullgildum rafrænum undirskriftarbúnaði og studd fullgildu vottorði fyrir rafrænar undirskriftir. Fullgilt vottorð fyrir rafræna undirskrift er gefið út af fullgildum traustþjónustuveitanda. 

Samkvæmt I. viðauka eIDAS skulu fullgild vottorð fyrir rafrænar undirskriftir innihalda:  

  1. vísbendingu, a.m.k. á formi sem hentar fyrir sjálfvirka vinnslu, um að vottorðið hafi verið gefið út sem fullgilt vottorð fyrir rafræna undirskrift,  
  2. gögn sem með ótvíræðum hætti standa fyrir fullgildan traustþjónustuveitanda sem gefur út fullgildu vottorðin, þ.m.t. a.m.k. aðildarríkið þar sem þjónustuveitandinn hefur staðfestu og: — að því er varðar lögaðila: heiti og, eftir atvikum, skráningarnúmer sem er skráð í opinberum skrám, — að því er varðar einstakling: nafn einstaklingsins,  
  3. a.m.k. nafn undirritanda eða gervinafn; ef gervinafn er notað skal það koma skýrt fram, 
  4. staðfestingargögn rafrænnar undirskriftar sem svara til rafrænna undirskriftargagna,  
  5. upplýsingar um upphaf og lok gildistíma vottorðsins,  
  6. kennikóða vottorðsins, sem skal vera einkvæmur hjá fullgildum traustþjónustuveitanda,  
  7. útfærða rafræna undirskrift eða útfært rafrænt innsigli fullgilds traustþjónustuveitanda sem gefur þau út,  
  8. staðinn þar sem vottorðið, sem styður við útfærða rafræna undirskrift eða útfært rafrænt innsigli, sem um getur í g-lið, er aðgengilegt án endurgjalds,  
  9. staðsetningu þjónustunnar þar sem hægt er að spyrjast fyrir um gildisstöðu fullgilda vottorðsins,  
  10. þegar rafrænu undirskriftargögnin sem tengjast staðfestingargögnum rafrænnar undirskriftar eru staðsett í fullgildum rafrænum undirskriftarbúnaði, viðeigandi vísbendingu um það, a.m.k. á formi sem hentar fyrir sjálfvirka vinnslu. 

Starfsemi sveitarfélaga felur í sér að undirrita þarf ýmis skjöl, hvort sem er við meðferð stjórnsýslumála eða við gerð samninga einkaréttar eðlis. Hægt er að nota fullgildar rafrænar undirskriftir í hvaða aðstæðum sem er þar sem handskrifaðar undirskriftir eru notaðar, jafnvel yfir landamæri, enda eru réttaráhrif slíkra undirritana jafngildar handskrifuðum undirritunum.  

Í flestum tilvikum er einnig hægt að notast við aðrar tegundir rafrænna undirskrifta þar sem meginreglan er sú að ekki skuli hafna réttaráhrifum rafrænnar undirskriftar af þeirri ástæðu að hún er á rafrænu formi eða að hún uppfylli ekki kröfur sem gerðar eru til fullgildrar rafrænnar undirskriftar.  

Engu að síður er það landslaga hvers ríkis að skilgreina réttaráhrif rafrænna undirskrifta nema að því er varðar kröfurnar sem kveðið er á um í eIDAS um að fullgild rafræn undirskrift eigi að hafa jafngild réttaráhrif og eiginhandarundirskrift. Í samræmi við framangreint gera íslensk lög í sumum tilvikum kröfu um að notast sé við fullgilda rafræna undirskrift, líkt og nánar verður vikið að hér á eftir.  

Rafrænar undirritanir við afgreiðslu stjórnsýslumála 

Hvað varðar undirskriftir við meðferð stjórnsýslumála kemur fram í 38. gr. stjórnsýslulaga nr. 37/1993 að þegar sett lög, almenn stjórnvaldsfyrirmæli eða venjur áskilja að gögn frá aðila eða stjórnvaldi séu undirrituð er stjórnvaldi heimilt að ákveða að rafræn undirskrift komi í stað eiginhandarundirskriftar, enda tryggi rafræna undirskriftin með sambærilegum hætti og eiginhandarundirskrift persónulega staðfestingu þess sem gögnin stafa frá. Fullgild rafræn undirskrift teljast ætíð fullnægja áskilnaði laganna um undirskrift.  

Það er þó ekki afdráttarlaus skylda að fullgild rafræn undirskrift sé notuð við afgreiðslu stjórnsýslumála. Ef ekki er notast við fullgilda rafræna undirritun við meðferð stjórnsýslumála verður sú tegund rafrænnar undirritunar sem verður fyrir valinu, að tryggja með sambærilegum hætti og eiginhandarundirskrift persónulega staðfestingu þess sem gögnin stafa frá. Ef ekki er notast við fullgilda rafræna undirskrift þarf því að leggja mat á öryggis- og fullvissustig þeirrar tegundar rafrænnar undirskriftar sem valin er og sönnunargildi hennar ef á reyndi. Hér er sérstök athygli vakin á nauðsyn þess að gæta sérstaklega að því, sé notast við rafræn auðkenni við samningsgerð lögaðila, að rafræna auðkennið beri með sér þann einstakling innan lögaðilans sem raunverulega stóð að undirskriftinni og hafði jafnframt til þess umboð, svo að umboðsreglum félagaréttar sé fylgt.  

Kröfur laga um fullgilda rafræna undirskrift 

Íslensk lög gera í sumum tilvikum kröfu um að notast sé við fullgilda rafræna undirskrift. Um undantekingartilfelli er að ræða sem á þá við skjöl sem varða mikilvæg réttindi og krefjast ríkrar réttarverndar sbr. eftirfarandi dæmi: 

  • Í 12. gr. laga um neytendalán nr. 33/2013 að lánssamningar skuli gerðir skriflega og skulu undirritaðir af neytanda.  
  • Þá kemur fram í 3. mgr. 22. gr. þinglýsingalaga nr. 39/1978 að fullgild rafræn undirskrift á beiðni um þinglýsingu afsals eða veðbréfs vegna fasteignar með rafrænni færslu staðfesti dagsetningu og undirskrift.  
  • Í kosningalögum nr. 112/2021 skulu tilkynningar um framboð til Alþingis og sveitarstjórna undirritaðar eigin hendi eða með fullgildri rafrænni undirskrift, sbr. 36. gr. laganna. 
  • Í lögum um fjárstuðning til minni rekstraraðila vegna heimsfaraldurs kórónuveiru nr. er t.a.m. kveðið á um að skuldabréf vegna stuðningsláns geta verið rafræn og skulu þau þá vera undirrituð með fullgildri rafrænni undirskrift, sbr. 14. gr. laganna.  
  • Þá er í fleiri lögum að finna ákvæði þar sem krafist er fullgildrar rafrænnar undirritunar, svo sem í 13. gr. hjúskaparlaga nr. 31/1993 og 4. gr. barnalaga nr. 76/2003.