Digitala underskrifter är vardagsmat. Tekniken är extremt tillförlitlig. I offentlig sektor är dessvärre regelrätta underskrifter ovanliga. Där ser man mest indirekta underskrifter. Det vill säga, en extra legitimering ersätter underskrift.
Med din e-legitimation kan du i princip göra två saker: legitimera dig eller skriva under. Titta i loggen för din e-legitimation. Vid bankärenden gör du en signering (underskrift), i offentlig sektor ofta enbart identifiering (legitimering).
Din e-legitimation är naturligtvis godkänd för Svensk e-legitimation. Det innebär att underskrifter du gör med den är ytterst pålitliga och håller exempelvis i domstol.
Det är inte helt lätt att undersöka underskrifter. Vissa myndigheter, exempelvis Skatteverket, har en djupt rotad tradition att neka medborgare tillgång till dokument de själva har skrivit under. Kvitto kan man få, men inte det signerade originalet. En märklighet som är värd en egen artikel.
Stockholms stad är ett undantag med sin transparenta tjänst för digitala underskrifter. När du skriver under ett avtal där gör du en extra identifiering, ingen signering. Om du laddar ner det färdiga avtalet visar pdf-läsaren att dokumentet innehåller signaturer. I typfallet dels från någon person i staden, dels från dig.
Trots att du aldrig signerade verkar det alltså finnas en underskrift av dig i avtalet. Närmare inspektion visar att den ser ut som om den var gjord med en e-legitimation utfärdad av Stockholms stad. Hmm. Då är den inte godkänd för Svensk e-legitimation.
Dessutom finns inga spår av digitalt DNA från din egen e-legitimation. Det finns strängt taget inget som säger att du har medverkat till denna underskrift alls. Stockholms stad är säkert en hederlig organisation, men den kan faktiskt självständigt producera sådana här underskrifter för vilket personnummer som helst.
Stockholms stad tar rollen som betrodd tjänst i lagens mening. En betrodd tjänst står för tilliten i digitala underskrifter, ungefär som den som bevittnar en namnteckning. Den som bevittnar får inte själv vara inblandad i vad det nu är namnteckningen gäller. Man kan säga att den aktuella tjänsten från Stockholms stad både skriver under åt motparten och bevittnar dennes namnteckning. Praktiskt förstås, men är det hälsosam juridik?
Samma resonemang gäller Skatteverket. Det är svårare att vara tvärsäker eftersom vi inte får tillgång till signerade dokument. Myndigheter använder något som kallas fristående underskriftstjänst, som Digg (Myndigheten för digital förvaltning) definierar. Den som är van vid sådant kan läsa tjänstespecifikationen. Innebörden är en underskriftsrobot som liknar funktionen i Stockholms stad.
Indirekta underskrifter, som vi nu har haft ett antal år, håller knappast för närmare granskning. Det rullar ändå på därför att ingen vill ta det otacksamma jobbet att utmana dem. Systemen tycks ju fungera trots bristande transparens och fyller en viktig funktion. Det beror nog mer på att våra myndigheter är pålitliga och har medborgarnas förtroende än på att de digitala underskrifterna är särskilt trovärdiga.
Håkan Söderström, utvecklare och konsult
