Riktlinjer för elektroniska underskrifter

Sammanfattning av riktlinjerna

Karolinska Institutet (KI) strävar efter att i så stor utsträckning som möjligt gå över i en digital förvaltning. Ett led i detta är att använda sig av elektroniska underskrifter (e-underskrifter). Det finns en mängd olika underskriftstjänster men inte någon gemensamt framtagen sådan för offentlig verksamhet vare sig inom Sverige eller inom EU. Däremot finns ett gemensamt regelverk. Här ingår bland annat lösningar för e-underskrifter, så kallade betrodda tjänster.

Inom KI och flera andra universitet och högskolor erbjuds tjänsten eduSign framtagen av Sunet (Swedish University Computer Network) och följer Myndigheten för digital förvaltnings (DIGG) ramverk för digitala signaturer för statliga myndigheter. Vissa administrativa system (t.ex. Agresso och Primula) har inbyggda e-underskrifter.

När du tar emot en handling som innehåller en e-underskrift behöver du avgöra om den går att lita på, dvs. att signaturen är äkta och att dokumentet inte har blivit ändrat efter signeringen. Det kallas för att validera e-underskriften. Du behöver också bedöma om handlingens form uppfyller din verksamhets behov, och ta ställning till hur handlingen ska bevaras.

En e-underskrift tillhandahålls som regel i form av en tjänst som ger användaren en verifieringskod eller en möjlighet att identifiera sig med en e-legitimation. En e-underskrift är rättsligt bindande på samma sätt som ett egenhändigt undertecknande.

Att klistra in en inskannad underskrift som en bildfil i ett dokument eller att verifiera ett dokument via e-post är inte samma sak som en e-underskrift. De är lätta att förfalska och kan inte knytas till den som undertecknar. Sådana bör därför inte användas inom KI.