EU's elektroniske underskriftsniveauer (eIDAS): Hvad er forskellen på en simpel, avanceret og kvalificeret underskrift?
EU's eIDAS-forordning definerer tre niveauer af elektroniske underskrifter: simpel (SES), avanceret (AES) og kvalificeret (QES). I denne artikel gennemgår vi i et enkelt sprog, hvad hvert niveau betyder, hvornår det er tilstrækkeligt, og hvordan en lille virksomhed kan udnytte dem i hverdagen.
Grundideen bag eIDAS-forordningen
eIDAS (electronic IDentification, Authentication and trust Services) er en EU-forordning, der trådte i kraft i 2016. Den skaber fælles regler for elektronisk identifikation og elektroniske underskrifter i alle EU-lande. I praksis betyder eIDAS følgende: En elektronisk underskrift kan ikke afvises i retten udelukkende fordi den er i elektronisk form. Dette gælder i hele EU-området. Forordningen blev opdateret i 2024 (eIDAS 2.0), hvor bl.a. EU's digitale identitetsmappe (EUDI Wallet) og strengere krav til tillidstjenester blev inkluderet.
SES – simpel elektronisk underskrift
SES er det enkleste underskriftsniveau. Det kan f.eks. være:
- Et navn skrevet i en e-mail
- Et flueben i en webformular om "Jeg accepterer betingelserne"
- En tegnet underskrift på en berøringsskærm
SES kræver ikke en særskilt identitetsbekræftelse. Det er tilstrækkeligt i situationer, hvor risikoen er lille, og der allerede er et tillidsforhold mellem parterne. Hvad dette betyder i praksis: Hvis du sælger en ydelse til din faste kunde for 500 euro, og kunden bekræfter ordren via e-mail, er der tale om en underskrift på SES-niveau. Den er gyldig, men i tilfælde af tvist er bevisværdien den svageste.
AES – avanceret elektronisk underskrift
AES kræver, at underskriveren er pålideligt identificeret, og at underskriften er knyttet til vedkommende, så den ikke kan ændres efterfølgende. I praksis betyder AES, at underskriveren identificerer sig f.eks. med bank-id, mobilcertifikat eller en lignende metode før underskriften. AES opfylder fire krav:
- Underskriften er unikt knyttet til underskriveren
- Underskriveren er identificerbar
- Underskriveren har eksklusiv kontrol over de data, der bruges til at skabe underskriften
- Ændringer i dokumentet efter underskriften er detekterbare
Hvad dette betyder i praksis: Når du sender en kundeaftale til underskrift via EpicSign, og kunden identificerer sig med bank-id, er der tale om en underskrift på AES-niveau. For de fleste kommercielle aftaler er dette fuldt ud tilstrækkeligt.
QES – kvalificeret (godkendt) elektronisk underskrift
QES er det stærkeste niveau. I EU-lovgivningen sidestilles det direkte med en håndskrevet underskrift. QES kræver to ting:
- Et certifikat udstedt af en godkendt tillidstjenesteudbyder (Qualified Certificate)
- En godkendt anordning til oprettelse af underskrifter (Qualified Signature Creation Device, QSCD)
Udstederne af QES-underskrifter findes på EU's Trusted List – en officiel liste, hvor godkendte tillidstjenesteudbydere er registreret. Hvert EU-land vedligeholder sin egen liste. Hvad betyder dette i praksis: QES er hovedsageligt nødvendig, når loven udtrykkeligt kræver skriftlig form (f.eks. visse ejendomshandler, kontakt med myndigheder) eller når aftalens værdi og risiko er særligt høj.
Hvornår er hvilket niveau tilstrækkeligt?
For en lille virksomhed afhænger valget af det rigtige niveau af dokumentets risiko og værdi:
| Dokumenttype | Anbefalet niveau | Begrundelse |
|---|---|---|
| Intern kvittering, ordrebekræftelse | SES | Risiko lille, hurtig og økonomisk |
| Kundeaftale, tilbud | AES | Identificere underskriveren pålideligt |
| Ansættelsesaftale, fortrolighedsaftale | AES | Identifikation af begge parter vigtig |
| Underleverandøraftale | AES | Stærk forbindelse til underskriveren |
| Referat (bestyrelse, generalforsamling) | AES | Identificeret person, ændringsbeskyttelse |
| Ejendomshandler, myndighedsdokument | QES | Loven kan kræve den stærkeste niveau |
Audit trail og beviser
Hver elektronisk underskrift efterlader et digitalt spor, en audit trail. Det er et elektronisk bevis for, hvem der underskrev, hvornår og hvorfra. En veludført audit trail indeholder:
- Allekirjoittajan tunnistustiedot (navn, e-mail, identifikationsmetode)
- Tidsstempel (hvornår underskriften blev foretaget)
- IP-adresse og enhedsoplysninger
- Dokumentets hash, der beviser, at dokumentet ikke er blevet ændret efter underskriften
Praktisk eksempel: konsulentvirksomhed og aftalestyring
En konsulentvirksomhed med tre ansatte i Tampere indgår 10-15 kundeaftaler hver måned. Tidligere blev aftalerne printet, underskrevet og scannet. Processen tog 30-45 minutter pr. aftale. Overgangen til AES-niveau elektronisk underskrift med EpicSign ændrede processen:
- Aftalen uploades til EpicSign (1 min)
- Underskrivere tilføjes, og underskriftsanmodningen sendes (1 min)
- Kunden autentificerer sig med bankoplysninger og underskriver (2 min)
- Den underskrevne aftale arkiveres automatisk (0 min)
Tidsbesparelse: ca. 2 timer om ugen. Desuden kan hver aftale spores takket være audit trail.
Ofte stillede spørgsmål
Hvad er forskellen på SES-, AES- og QES-underskrifter i praksis?
SES er den enkleste (f.eks. et navn i en e-mail). AES kræver stærk autentificering, såsom bankoplysninger. QES er den stærkeste og svarer til en håndskrevet underskrift – kræver et godkendt certifikat.
Er AES-niveauet tilstrækkeligt til en ansættelseskontrakt?
Ja, i de fleste tilfælde er AES tilstrækkeligt til ansættelseskontrakter i Finland. Loven kræver normalt ikke QES-niveau i ansættelseskontrakter.
Hvad er EU's Trusted List?
Trusted List er en officiel liste over godkendte udbydere af tillidstjenester, der vedligeholdes af EU-landene. Listen findes på EU-Kommissionens hjemmeside.
Kan en SES-underskrift bestrides i retten?
En SES-underskrift kan ikke afvises udelukkende, fordi den er i elektronisk form (eIDAS artikel 25). Bevisværdien er dog svagere end for AES eller QES.
Understøtter EpicSign AES-niveau underskrift?
Ja. EpicSign understøtter stærk autentificering (bankoplysninger), som opfylder AES-kravene.
Har en lille virksomhed brug for en QES-underskrift?
Sjældent. QES er kun nødvendig, når loven udtrykkeligt kræver en skriftlig form, eller når man handler med myndigheder. AES er tilstrækkelig til almindelige aftaler.
Kilder
- eIDAS-forordningen (EU) nr. 910/2014 – om elektronisk identifikation og tillidstjenester
- Digital- og befolkningsdataagenturet (DVV) – Elektronisk identifikation og tillidstjenester
- Traficom – Tillidstjenester og elektroniske underskrifter
- EU Trusted Lists – liste over godkendte udbydere af tillidstjenester
Denne artikel er af generel karakter og er ikke juridisk rådgivning.
Prøv EpicSign
Start en gratis prøveperiode og send den første underskriftsanmodning på under 20 sekunder.
Se priser