Uttrycket ”elektronisk underskrift” är den formella benämningen i svensk och EU-rätt till motsvarigheten av ”egenhändig underskrift” i digital miljö.
Rättsligt innebär en elektronisk underskrift helt enkelt ”data i elektronisk form som är fogade till eller logiskt knutna till andra elektroniska data och som används för att kontrollera att innehållet härrör från den som framstår som utställare och att det inte har förvanskats”. En elektronisk underskrift har tolkats omfatta allt från att skriva sitt namn i anslutning till en text såsom ett e-post-meddelande eller annat dokument, till att använda kryptografiska teknologier såsom asymmetriska nycklar.
Att bevara elektroniska underskrifter kräver planering och metodik över tid.
En generell diskussion om problematiken kring elektroniska underskrifter har beskrivits i rapporten ”En liten information om digitala
underskrifter/signaturer”, Botkyrka kommun KS/2020:00541-1.
Elektroniska underskrifter är ett relativt nytt fenomen inom
informationshantering. Många lösningar har presenterats över tid men det är först på senare tid, i och med den accelererande digitaliseringen, som dess rättsliga status på allvar diskuterats. En underskrift ska signalera att
handlingen dels är vad den utger sig för att vara, någon går i god för den och dels att ett behörigt beslut tagits och vara möjligt att bekräfta det över tid.
En underskrift ska signalera handlingens/beslutets/utställarens
tillförlitlighet. Vid bevarandet av den elektroniska underskriftens giltighet över tid krävs att en metodik finns för att möjliggöra autenticiteten för både utställaren och den underskrivna handlingen. En elektronisk underskrift är bevarad om och när dess autenticitet inte kan ifrågasättas eller äventyras.
Det bör emellertid inte vara acceptabelt att anse en underskrift som ogiltig även om dess nycklar och certifikat, efter en giltig tidpunkt, senare
äventyrades. Det bör således vara tillräckligt att man kan visa att en underskrift var giltig en gång i tiden.
Riksarkivet har utifrån sin föreskrivande roll utkommit med en analys om bevarande av elektroniska underskrifter. Två bevarandemetoder, ”rekursiv tidsstämpling” och ”systemberoende” diskuteras och anges där som möjliga alternativ. Dessa diskuteras i detalj i rapporten Framställning och bevarande av elektroniska underskrifter (Riksarkivet, Framställning och bevarande av elektroniska signaturer, diarienummer RA 20-2013-1154). Denna rapport
RAPPORT
Kommunledningsförvaltningen Dnr: KS 2021:00182
Mikael Dahlin Kod: 2.1.0
3/6
beskriver metoderna övergripande och förklarar den för Botkyrka kommun föredragna metoden.
Rekursiv tidsstämpling
Metoden innebär förenklat att man kan visa att en underskrift var giltig en gång i tiden, innan den upphörde att vara giltig, genom att bevara
underskriften och alla komponenter som användes för att validera
underskriften. Detta kräver att man även kan visa att alla komponenter var giltiga en gång i tiden, innan de upphörde att vara giltiga, vilket uppnås genom att tidsstämpla [”signera”] alla komponenter. Tidsstämpeln, vilken i princip använder samma teknologi som underskrifter, lider emellertid av samma problem – den är giltig för en viss period och kommer med tiden att upphöra att vara pålitlig. Detta kräver att tidsstämpeln i sin tur måste
”omstämplas” med jämna mellanrum, det vill säga, rekursiv tidsstämpling.
Slutresultatet är en ”kedja” av tidsstämplar som man kan följa för att utreda om en underskrift var giltig en gång i tiden.
Systemberoende metod
Med ”systemberoende” åsyftas exempelvis tekniska och/eller systematiska åtgärder som tillsammans skapar en kontext som kan validera ett dataobjekt genom att säkerställa att det dataobjektet inte har förändrats och att
dataobjektet isolerats sedan omhändertagande. Detta kan exempelvis vara att man arkiverar ett elektroniskt signerat dokument i ett system för bevarande [”e-arkiv”]. Förutsättningen för att denna metod ska fungera är att det finns en obruten kedja av spårbarhet dvs att hanteringen, signeringen samt överföringen till e-arkiv sker i en kontrollerad miljö där händelserna loggas och är verifierbara. Den systemberoende metoden baserar sig därför inte på en teknisk hantering, såsom tidsstämpling, utan på
förvaltningsprocedurer med det syfta att visa att en underskrift var giltig en gång i tiden. Det är därmed proceduren och metodiken som agerar garant för handlingarnas autenticitet.
Val av metod
Vid e-arkivering av elektroniskt underskrivna besluten och underskrifternas giltighet, från det äldre verksamhetssystemet Lex2 och det nu i drift Public
RAPPORT
Kommunledningsförvaltningen Dnr: KS 2021:00182
Mikael Dahlin Kod: 2.1.0
4/6
360, är det den systemberoende metoden som avses att användas. När kommunstyrelsen intygar de elektroniskt underskrivna beslutens äkthet vid signeringstillfället behöver kommunen inte tillämpa metoden för rekursiv tidsstämpling.
Den systemberoende metoden är tillräcklig för att kommunens behov av att kunna säkerställa beslutens, och den elektroniska underskriftens,
ursprungliga skick och att de inte förvanskats över tid. Detta säkerställs i kommunens e-arkiv.
Bakgrund och övervägande
Att e-arkivera elektroniskt underskrivna handlingar och underskrifters giltighet är ett relativt nytt område för svenska kommuner, regioner och myndigheters informationsförvaltare och arkivarier att ta sig an. Frågan har aktualiserats till följd av den ökade digitaliseringen i samhället och det är många som inte har en praktisk lösning på plats för frågan. För att komma fram till val av metod, för att både säkerställa bevarandet av de elektroniskt underskrivna besluten och deras giltighet under ett långsiktigt perspektiv, har Riksarkivet rådfrågats. Frågan om val av metod är inte helt enkel att svara på eftersom det finns flera aspekter att ta hänsyn till innan e-arkivering görs.
Riksarkivets inspel i ämnet har varit att synliggöra vissa frågor som är relevanta för kommunen att ta hänsyn till vid val av metod. Exempelvis har kommunen behövt ta ställning till om underskrifternas giltighet behöver valideras över tiden för att säkerställa äktheten i ett rättsligt sammanhang, och om så är fallet med vilken intervall det ska ske.
Rent tekniskt skiljer sig inte metoderna för att e-arkivera och bevara elektroniskt underskrivna handlingar mot att e-arkivera och bevara den elektroniska handlingens underskrift. Problematiken handlar om att
säkerställa den elektroniska underskriftens giltighet över tid. Det finns inga garantier för att den som utfärdat certifikatet för den elektroniska
underskriften finns kvar om 10 år, än heller om 50, 100 eller 1000 år. Vilket är det tidsspann som gäller för bevarandet av allmän handling.
När Riksarkivet tillfrågades om de genomfört en e-arkivering av elektroniskt underskrivna handlingar var deras svar nej
RAPPORT
Kommunledningsförvaltningen Dnr: KS 2021:00182
Mikael Dahlin Kod: 2.1.0
5/6
Möjligheterna för att bevara kontrollfunktionen beror på val av tekniska metoder men utifrån den i nuläget sedvanliga metoden med Elektroniska underskrifter kan två problem belysas.
Det ena problemet är, förenklat, att den elektroniska underskriften utgörs av två centrala algoritmer vilka med tiden kan bli enklare att ”förfalska”, till exempel på grund av nya typer av attacker eller nya tekniska utvecklingar.
Det finns ingen möjlighet att ”uppdatera” den elektroniska underskriftens algoritmer eftersom det innebär per definition att en ny underskrift framställs. Om den elektroniska underskriften emellertid framställs med lämpliga algoritmer från början kan den ändå få en relevant lång livslängd.
Detta tillsammans med sådana åtgärder som nämnts för Elektroniska underskrifter kan vara tillräckligt för att bevara underskriften beroende på den avsedda tidsomfattningen. I Justitiedepartementets proposition 2019/20:189 framförs att i processrättsliga sammanhang bör
utställarangivelsen fylla en viktig funktion i situationer där det finns en beaktansvärd risk att ett förfarande obehörigen inleds i en annan persons namn (s. 29, 32, 40). Det tolkas som avancerade elektroniska underskrifter i sådana förfaranden är särskilt viktigt vid början av ett förfarande. Har ett förfarande påbörjats och berörda inte invänt mot att detta anhängiggjorts i deras namn obehörigen bör kontrollfunktionen för ansökan ha uppfyllt sitt syfte och kan låtas förfalla.
Det andra problemet med elektroniska underskrifter är att certifikatet som används för spårbarhet kan med tiden upphöra att gälla. Certifikatet
innehåller implementeringen av den ena av de två algoritmer som nämndes i föregående stycke, det vill säga den ”hemliga nyckeln”. Det innebär att det inte är möjligt att bara ”uppdatera” certifikatet; utan ett nytt certifikat måste utfärdas. Giltigheten av ett certifikat kan sedan vara beroende av andra certifikat, vilket föranleder två nya problem, dels att certifikatutfärdarna i kedjan kan upphöra sin verksamhet eller dra tillbaka sina certifikat, dels att metoden för att certifiering kan skilja sig mellan certifikatutfärdare vilket kan försvåra valideringen av certifikatet. Att bevara kontrollfunktionen av elektroniska underskrifter över längre tid är därmed problematiskt. Det är emellertid fullt möjligt att bevara kontrollfunktionen av den elektroniska underskriften för den begränsade tid som certifikaten är giltiga. Det kan vara möjligt att även förlänga denna tid genom att ställa särskilda krav på
utställarnas certifikat. Till exempel, krav på att certifikatet har
implementerat specifika algoritmer, att livslängden på certifikat ska gälla för viss tid, att kedjan av certifikat mellan utfärdarens certifikat och
certifikatutfärdarnas certifikat är ”kort”. Fråga om lämplighet och den
RAPPORT
Kommunledningsförvaltningen Dnr: KS 2021:00182
Mikael Dahlin Kod: 2.1.0
6/6
praktiska genomförbarheten av sådana krav lämnas till en annan förstudie eller utredning.
Mikael Dahlin Chef Kommunarkiv
Källor:
Riksarkivet 2015, Arkiv E - Delprojekt 3: Framställning och bevarande av elektroniska signaturer (avsnitt 6)
En liten information om digitala underskrifter/signaturer, Botkyrka kommun KS/2020:00541-1
EUROPAPARLAMENTETS OCH RÅDETS FÖRORDNING (EU) nr 910/2014
Lag (2000:832) om kvalificerade elektroniska signaturer För övriga källor se: En liten information om digitala
underskrifter/signaturer, Botkyrka kommun KS/2020:00541-1
ORDFÖRANDEFÖRSLAG 1[2]
Kommunstyrelsen 2021-08-24 Kod:1.1.3.1
Botkyrka Kommun
Adress: Botkyrka kommun, 147 85 TUMBA · Org.nr: 212000-2882 · Bankgiro: 624-1061 Medborgarcenter: 08-530 610 00 · E-post: medborgarcenter@botkyrka.se
Hemsida: www.botkyrka.se
Referens Mottagare
Ebba Östlin
ebba.ostlin@botkyrka.se Kommunstyrelsen
tjänstekatalog, prislista och IT-servicenivåer 2022 (KS/2021:00438)
Förslag till beslut
1. Kommunstyrelsen beslutar att 40 000 000 kronor av årskostnaden för att leverera tjänsterna inom ram för SNÖVIT inte ska ingå i den
månadsvisa interndebiteringen utan motsvarande kostnad ska istället anslagsfinansieras.
2. Kommunstyrelsen beslutar att resterande 48 000 000 kronor ska internfaktureras likt nuvarande princip, dock i enlighet med den nya prissättningen.
3. Kommunstyrelsen fastställer principerna för ny prissättning.
Sammanfattning
Nuvarande interndebitering 2021 till förvaltningarna för Snövits tjänster är ca 93 000 000 kronor. Ny interndebitering 2022 baserad på nya priser uppskattas till ca 48 000 000 kronor. Resterande kostnader för
IT-tjänsteleveransen finansieras via anslag, ca 40 000 000 kronor. I enlighet med detta, och även i enlighet med andra effektiviseringar, föreslås nya priser sättas för Snövit-tjänsterna och att dessa träder i kraft 2022-01-01.
Den totala kostnadsbilden 2022 för tjänsterna levererade inom ramen för Snövit kommer för samtliga förvaltningar vara i nivå med, eller lägre än, kostnaden för dessa tjänster 2021, allt annat lika.
De kostnader som föreslås anslagsfinansieras är kostnader för:
• Hållbar, långsiktig, och kompetent leveransorganisation (automatisering & självbetjäning, incidenthantering, förvaltningsstyrning, projektkontor, arkitektur)
ORDFÖRANDEFÖRSLAG 2[2]
Kommunstyrelsen 2021-08-24 Kod:1.1.3.1
Botkyrka Kommun
Adress: Botkyrka kommun, 147 85 TUMBA · Org.nr: 212000-2882 · Bankgiro: 624-1061 Medborgarcenter: 08-530 610 00 · E-post: medborgarcenter@botkyrka.se
Hemsida: www.botkyrka.se
• IT-support
• IT-utveckling av gemensam infrastruktur och Snövittjänsterna (basbemanning)
• Delar av nät (kostnader i långa avtal avseende t ex fiber)
Genom dessa förändringar skapas en större tydlighet och transparens, och vi skapar en bättre plattform för gemensamma insatser för att digitalisera Bot-kyrka Kommun för ökat värde för medborgare och medarbetare.
Kommunledningsförvaltningen redogör för ärendet i tjänsteskrivelse 2021-06-16.
TJÄNSTESKRIVELSE 1[5]
Kommunledningsförvaltningen 2021-06-16 Kod:1.1.2.1 Dnr: KS/2021:00438
Botkyrka Kommun
Adress: Botkyrka kommun, 147 85 TUMBA · Org.nr: 212000-2882 · Bankgiro: 624-1061 Medborgarcenter: 08-530 610 00 · E-post: medborgarcenter@botkyrka.se
Hemsida: www.botkyrka.se
Referens Mottagare
Claes Oldenburg
claes.oldenburg@botkyrka.se Kommunstyrelsen