Mikä tekee sähköisistä allekirjoituksista laillisesti sitovia?
Ovatko sähköiset allekirjoitukset laillisesti sitovia? Pätevätkö ne lakituvassa erimielisyyksiä ratkaistaessa? Vastaus tähän yleiseen kysymykseen on selvä: kyllä, sähköiset allekirjoitukset ovat aivan yhtä päteviä kuin perinteiset kynällä paperille tehdyt allekirjoitukset kun ne noudattavat markkinoilla yhteisesti sovittuja periaatteita.
Tässä artikkelissa avaamme tarkemmin sitä, millä perusteella myös sähköiset allekirjoitukset ovat laillisesti sitovia – ja usein myös perinteisiä allekirjoituksia turvallisempia.
EU:n eIDAS-asetus määrittää sähköisten allekirjoitusten laillisuuden
Euroopan Unionin alueella sähköisten allekirjoitusten asema on nykyään selkeä. Vuodesta 2014 voimassa ollut EU:n eIDAS-asetus (Electronic Identification, Authentication and Trust Services) määrittää sähköisessä tunnistamisessa ja allekirjoittamisen laillisen viitekehyksen, keskeiset käsitteet sekä yhteiset toimintatavat.
eIDAS-asetus tarjoaa myös viitekehyksen ja standardit sähköisessä allekirjoituksessa käytettäville “komponenteille” – luottamuspalveluille – joita ovat esimerkiksi sähköiset aikaleimat sekä varmenteet. Luottamuspalveluilta voidaan edellyttää myös viranomaisen etukäteishyväksyntää, jolloin puhutaan hyväksytyistä (qualified) luottamuspalveluista. Osa palveluista on taas jälkikäteisen valvonnan (non-qualified) piirissä, jolloin niitä kutsutaan ei-hyväksytyiksi luottamuspalveluiksi. Sähköisen allekirjoituksen luontipalvelulle ei voi hakea hyväksyntää, mutta itse allekirjoituksessa on käytettävä hyväksyttyä varmennetta, jotta se on pätevä.
On hyvä huomata, että kaikki EU-maat eivät toistaiseksi tarjoa kansallista digitaalista identiteettiä, joka täyttää eIDAS:n vahvan tunnistamisen vaatimukset. Tämä ei kuitenkaan tarkoita, että sähköisiä allekirjoituksia ei voisi käyttää näissä maissa. Allekirjoittajan tunnistukseen voidaan aina käyttää vaihtoehtoisia globaaleja tunnistustapoja, kuten sähköpostilinkkiä tai kertakäyttöistä PIN-koodia, joka välitetään allekirjoittajalle tekstiviestillä. Sähköposti ja tekstiviesti ovat B2B-kontekstissa useimmiten riittäviä tunnistustapoja, mutta tietyillä toimialoilla, kuten rahoitustoiminnassa tai terveydenhuollossa, laki edellyttää aina vahvaa tunnistusta.
Yleisesti ottaen, allekirjoittajan vahva tunnistaminen on usein paras vaihtoehto: vahvalla tunnistuksella dokumenttiin voidaan liittää luotetulta osapuolelta (esimerkiksi pankilta tai viranomaiselta) saatu “digitaalinen sormenjälki”, eli henkilöllisyys (eID) allekirjoitettuun PDF-dokumenttiin. Kun sähköinen allekirjoitus tehdään EU:n periaatteiden mukaisesti, allekirjoituksen todentaminen jälkeenpäin on kiistatonta ja läpinäkyvää.
Kolme sähköisen allekirjoituksen tasoa
EU:n eIDAS-asetus määrittelee kolme tasoa sähköisille allekirjoituksille: “perustaso” (basic), kehittynyt (advanced) ja hyväksytty (qualified).
Perustasolla esimerkiksi pelkkä sähköpostiin kirjoitettu nimi tai digitaalinen nimenkirjoitus kosketusnäytöllä muodostaa pätevän sähköisen allekirjoituksen. Kehittynyt sähköinen allekirjoitus tuo lisää turvallisuutta, koska allekirjoitus voidaan linkittää tiettyyn sähköisessä tunnistautumispalvelussa tunnistautuneeseen luonnolliseen henkilöön. Korkein allekirjoitustaso, hyväksytty allekirjoitus, edellyttää erillisen fyysisen allekirjoituslaitteen (QSCD, qualified signature creation device) käyttämistä allekirjoituksen yhteydessä.
Kehittyneessä ja hyväksytyssä sähköisessä allekirjoituksessa allekirjoittaja voidaan yksilöidä ja allekirjoitus liittää sisältöön siten, että tiedon mahdolliset muutokset voidaan havaita. Jos sähköistä asiakirjaa muutetaan jälkikäteen, aiemmin tehty allekirjoitus ei täsmää muutetun asiakirjan sisällön kanssa.
Sähköiset allekirjoitukset EU:n ulkopuolella
EU:n ulkopuolella sähköisten allekirjoitusten asema pätevänä allekirjoitustapana vaihtelee maakohtaisesti. Esimerkiksi koko USA:n alueella sähköisillä allekirjoituksilla on sama asema käsin kirjoitettujen allekirjoitusten kanssa maan E-Sign Act ja Uniform Electronic Transactions Act -asetusten kautta. Mikäli yrityksesi toiminta on kansainvälistä, tarkista aina sähköisten allekirjoitusten maakohtainen tilanne etukäteen.
Sähköisten allekirjoitusten turvallisuus
Perinteinen allekirjoitus on tarkoittanut kynällä raapustettua nimeä paperille tulostetun sopimuksen viimeisellä sivulla. Tähän verrattuna sähköiset allekirjoitukset parantavat merkittävästi allekirjoitusprosessin sujuvuutta ja turvallisuutta.
Sähköiset allekirjoitukset mahdollistavat täysin digitaalisen prosessin, jossa paperikappaleita ei tarvita lainkaan. Digitaalinen dokumentinhallinta on todennäköisesti tehokkaampi ja nopeampi, ja mahdollistaa myös helpon tavan arkistoida ja varmuuskopioida kaikki dokumenttiversiot.
Kun dokumentti on lisäksi sinetöity, sitä on lähes mahdoton väärentää. Jos sähköisesti allekirjoitettu dokumentti avataan esimerkiksi Adobe Reader -lukusovelluksessa, sovellus ilmoittaa välittömästi jos allekirjoitusta on muokattu tai siinä käytettyyn sinettiin ei voida luottaa. Sähköinen allekirjoitus kertoo aina tarkalleen myös sen, milloin allekirjoitus on tehty.
Sähköiset allekirjoitukset mahdollistavat myös sen, ettei dokumenteista tarvitse lähettää maailmalle useita eri kappaleita. Voit esimerkiksi ladata dokumentin allekirjoituspalveluun ja jakaa linkin samaan dokumenttiin kaikille tarvittaville allekirjoittajille. Tällöin dokumentin omistaja välttyy lähettämästä dokumentteja sähköpostissa, joka tunnetusti ei ole kovin turvallinen kanava.
Metadata varmistaa aitouden
Kun dokumentti allekirjoitetaan eIDAS-asetuksen edellytysten mukaisesti, siihen lisätään tieto allekirjoituspalvelun käyttämästä varmenteesta, allekirjoituspalvelun nimi sekä muita teknisiä tietoja. On tärkeää tallentaa ja arkistoida nimenomaan se versio joka on saatu sähköisestä allekirjoituspalvelusta. Jälkeenpäin sähköisesti muokatut tai tulostetut kappaleet eivät enää sisällä alkuperäiskappaleen aitouden varmistamaa varmenneta tai muuta metadataa.
Olemme kirjoittaneet hyödyllisen ja kattavan oppaan sähköisistä allekirjoituksista. Käy lukemassa oppaamme The Ultimate Guide to eSignatures.