Sähköinen ja digitaalinen allekirjoitus

Sähköinen ja digitaalinen allekirjoitus


Allekirjoitus on perinteisesti yleisin sopimusten ja asiakirjojen hyväksynnän tai vahvistamisen väline. Muita historiallisia asiakirjan vahvistamiseen ja varmistamiseen käytettyjä välineitä ovat olleet mm. puumerkki ennen kirjoitustaidon yleistä leviämistä sekä sinetti tai leima etenkin varakkaampien henkilöiden tai yhteisöjen piirissä.

Nykyisin sekä yleiskielessä, että lainsäädännössäkin käytetään allekirjoitusta synonyyminä hyväksynnälle ja asiakirjan tai sopimuksen vahvistamiselle. Parempi olisikin puhua allekirjoituksen sijaan sähköisestä hyväksynnästä tai vahvistamisesta. Digitaalisessa maailmassa perinteistä allekirjoitusta elementtinä ei tarvita, koska hyväksynnän ja vahvistamisen voi hoitaa muutenkin ja huomattavasti perinteistä allekirjoitusta turvallisemmin.

Keskeisenä asiana hyväksyntään ja vahvistamiseen kytkeytyy hyväksyjän eli allekirjoittajan henkilöllisyyden tunnistaminen ja vahvistaminen - että henkilö on se joka väittää olevansa. Yritysten ja yhteisöjen piirissä on usein myös varmistettava, että henkilöllä on asiaan liittyvä hyväksyntä- eli allekirjoitusoikeutus joko asemaansa tai erilliseen asemavaltuutukseen perustuen.

Sähköinen vs. digitaalinen allekirjoitus

Sähköisen ja digitaalisen allekirjoituksen termejä käytetään yleiskielessä ja tuotteiden sekä palveluiden markkinoinnissa hyvin vaihtelevasti. Usein on vaikea selvittää kumpaa oikeasti tarvitaan ja kumpaa tarjotaan. Yleinen väärinkäsitys on, että dokumentteihin vaaditaan perinteinen allekirjoitus tai sen kopio ja päädytään turhankin mutkikkaisiin ratkaisuihin. Oleellista on allekirjoittajan eli hyväksyjän henkilöllisyyden varmentaminen, ei menetelmä.

Suomalainen sähköisen allekirjoituksen lainsäädäntö perustuu Euroopan Unionin asetukseen sähköisestä tunnistamisesta ja luottamuspalveluista (Electronic Identification and Trust Services Regulation, eIDAS), jonka mukaan mikä tahansa sähköinen allekirjoitus on laillinen ja toimeenpanokelpoinen. Lainsäädäntö ei ota kantaa sähköisen allekirjoituksen tekniseen toteutukseen. Ilman vahvaa tunnistautumista haasteeksi voi kuitenkin tulla mahdollisessa riitatilanteessa todistaa allekirjoituksen aitous ja kuka sen on tehnyt.

Sen sijaan esim. Yhdysvaltain elintarvike- ja lääkevirasto FDA määrittelee sähköisen ja digitaalisen allekirjoituksen erikseen.

Electronic signature means a computer data compilation of any symbol or series of symbols executed, adopted, or authorized by an individual to be the legally binding equivalent of the individual's handwritten signature.

Digital signature means an electronic signature based upon cryptographic methods of originator authentication, computed by using a set of rules and a set of parameters such that the identity of the signer and the integrity of the data can be verified.

FDA:n määritelmän mukaan siis sähköinen allekirjoitus on käsinkirjoitettua allekirjoitusta vastaava tietokoneella tuotettu merkki- tai symbolisarja. Yleisimmin tämä on allekirjoituksen skannattu kopio. Digitaalinen allekirjoitus puolestaan on salausmenetelmiin pohjautuva sääntöpohjaisesti toteutettu "allekirjoitus", jonka perusteella datan oikeellisuus ja hyväksyjän henkilöllisyys voidaan todentaa.

Suomen lainsäädännössä sähköisellä allekirjoituksella tarkoitetaan "sähköisessä muodossa olevaa tietoa, joka on liitetty tai joka loogisesti liittyy muuhun sähköiseen tietoon ja jota käytetään allekirjoittajan henkilöllisyyden todentamisen välineenä". Laissa määritellään myös 'kehittynyt sähköinen allekirjoitus', joka tarkoittaa sähköistä allekirjoitusta joka on luotu menetelmällä, jonka allekirjoittaja voi pitää yksinomaisessa valvonnassaan ja allekirjoittaja voidaan yksilöidä yksiselitteisesti sekä on liitetty muuhun sähköiseen tietoon siten, että tiedon mahdolliset muutokset voidaan havaita.

Käytännössä Suomen lainsäädännössä mainittu "kehittynyt sähköinen allekirjoitus" vastaa pitkälti FDA:n määrittelemää digitaalista allekirjoitusta, tosin ilman vaatimusta salaustekniikoista. Digitaalinen allekirjoitus ei vaadi käsinkirjoitetun allekirjoituksen digitaalista kopiota, joka on yleensä korvattu erillisellä digitaalisella, yksiselitteisesti tiettyyn henkilöön yhdistettävällä koodilla tai tunnisteella. Kaikki digitaaliset allekirjoitusratkaisut eivät kuitenkaan täytä kaikkia lainsäädännön asettamia kehittyneen sähköisen allekirjoituksen vaatimuksia. Tekniseltä ja käytännön toiminnan kannalta selkein sähköisen ja digitaalisen allekirjoituksen ero onkin, että digitaalisessa allekirjoituksessa ei vaadita perinteistä analogista allekirjoitus-elementtiä. Tällä sivustolla käytetään tätä määritelmää.

Oikeusvaikutukset

Suomen lainsäädännön mukaan "jos oikeustoimeen vaaditaan lain mukaan allekirjoitus, vaatimuksen täyttää ainakin sellainen kehittynyt sähköinen allekirjoitus, joka perustuu laatuvarmenteeseen ja on luotu turvallisella allekirjoituksen luomisvälineellä". Tämä ei kuitenkaan sulje pois perusmuotoisen sähköisen allekirjoituksen oikeusvaikutuksia, joihin vaikuttaa sekä sopimusvapaus ja em. Euroopan Unionin asetus sähköisestä tunnistamisesta ja luottamuspalveluista (Electronic Identification and Trust Services Regulation, eIDAS), jonka mukaan mikä tahansa sähköinen allekirjoitus on laillinen ja toimeenpanokelpoinen. Allekirjoituksen luotettavuus ja sitä myöten oikeustoimikelpoisuus tulee mahdollisessa riitatilanteessa arvioitavaksi tapauskohtaisesti, ellei ko. tapaukseen kohdistu muita tarkentavia lakeja tai säännöksiä.

Sopimusvapaus

Suomen oikeuskäytännössä vallitsee sopimusvapauden periaate, jonka perusteella sopimuksen muoto ja tekotapa ovat vapaita. Tämän perusteella mm. suullinen sopimus on yhtä sitova kuin kirjallinenkin. Allekirjoitus itsessään ei vahvista sopimusta yhtään enempää kuin vaikka "kättä päälle" -kädenpuristus. Sopimuksen voi vahvistaa myös pelkällä sähköpostilla. Tämän johdosta myös kevyeen tai ns. luottamuspohjaiseen tunnistukseen perustuva sähköinen allekirjoitus on yhtä pätevä kuin perinteinenkin allekirjoitus. Haasteeksi tulee kuitenkin todistaa allekirjoitus aidoksi mahdollisissa riitatilanteissa.

Vahva tunnistautuminen

Ulkopuolisten kanssa tehtävissä sopimuksissa tulee huomioitavaksi perustuuko hyväksyntä kevyeen vai vahvaan tunnistukseen. Suomalaisten toimijoiden kanssa vahva tunnistus on aika helppoa esim. pankkitunnuksiin perustuvaan tunnistukseen perustuen. Kansainvälisten osapuolten kesken tunnistaminen ei ole yhtä helppoa ja suurin osa ns. sähköisen allekirjoituksen palveluista perustuukin kevyeen tai luottamuspohjaiseen tunnistukseen eli henkilön omaan vakuutukseen.

Yrityksen sisäiset hyväksyntäprosessit

Jos kyseessä on yrityksen sisäisten työnkiertojen ja dokumenttien hyväksyntä, niin ulkoinen allekirjoituspalvelu on yleensä turha ja ylilyönti. Asian voi hoitaa esim. sisäverkon AD-tunnuksilla ja/tai järjestelmän salasanoilla. Jos taas kyseessä on ulkopuolisten tahojen kanssa tehtyjen, yleensä sopimusten hyväksyntä, niin niihin ulkoinen jollain tapaa henkilövarmennettu palvelu sopii hyvin.

Tuotannonohjaus- tai asianhallintajärjestelmissä on yleensä sisäänrakennettu työnkierto hyväksyntämenettelyineen, jossa henkilön tunnistaminen pohjautuu yrityksen tietoverkon tai järjestelmän henkilökohtaisiin tunnuksiin ja salasanoihin.Tämä yleensä riittää. Hyväksyntätieto on lähtökohtaisesti järjestelmässä, eikä dokumentissa, jota ei välttämättä tarvita ollenkaan.

Sähköisen tai digitaalisen allekirjoituksen valinta

Sähköisen tai digitaalisen allekirjoituksen tyyppi kannattaakin valita ja toteuttaa oikeantasoisena käyttötapaukset ja riskit huomioiden. Jos allekirjoittaja tunnetaan ja tiedetään yksiselitteisesti eikä sopimuksesta tms. aiheudu suuria riskejä, voidaan käyttää kevyen tunnistuksen menetelmiä. Mikäli allekirjoittajaa ei tunneta tai asiasta voi nousta merkittäviä epäilyja tai riskejä, on syytä käyttää vahvan tunnistuksen menetelmiä.

Ensimmäinen kysymys, minkälaiseen tarpeeseen ja mihin järjestelmään sähköinen tai digitaalinen hyväksyntä ollaan rakentamassa? Täytyykö olla varmuudella oikeus- ja auditointikelpoinen vai riittääkö pelkkä skannattu allekirjoituksen kopio tai kevyempi digitaalinen hyväksyntä? Jos täytyy olla vedenpitävästi oikeustoimikelpoinen ja varmennettu, niin ns. erityinen sähköinen eli digitaalinen allekirjoitus on parempi kuin sähköinen. On hyvä huomioida, että kaikki digitaalisen allekirjoituksen ratkaisut eivät kuitenkaan täytä erityisen sähköisen allekirjoituksen vaatimuksia esim. vahvasta tunnistautumisesta.

On hyvä huomioida myös, että tietyillä aloilla voi olla alakohtaisia säätelyitä ja laatuvaatimuksia hyväksyntöjen suhteen. Tyypillinen vaatimus on ns. auditointikelpoisuus eli audit track tai audit log, jonka avulla hyväksyntäprosessi täytyy olla jälkikäteen yksiselitteisesti todennettavissa. Myös eri maiden lainsäädännöt asiassa vaihtelee, joka kannattaa huomioida mikäli tehdään kansainvälisiä sopimuksia.


Lähteet ja hyödyllisiä linkkejä

Kyberturvallisuuskeskus: Sähköinen tunnistaminen Suomessa
Signicat - kansainvälinen sähköisen tunnistamisen palvelu
Laki sähköisistä allekirjoituksista (Finlex)
Kyberturvallisuuskeskus: Sähköiset luottamuspalvelut ja eIDAS
Trust Services and Electronic identification (EU komissio)
FDA CFR Title 21 part 11: ELECTRONIC RECORDS; ELECTRONIC SIGNATURES
VTT: PK-yrityksen riskienhallinta: Sopimusvapaus
Transform businesses with electronic and digital signaure solutions. (Adobe)

Täältä löydät käytännön ratkaisuja sähköisen ja digitaalisen allekirjoituksen käyttöönottoon.


info@kivaridigital.com +358 40 484 5300