EL-i elektroonilise allkirja tasemed (eIDAS): mis vahe on tavalisel, arenenud ja kvalifitseeritud allkirjal?
ELi eIDAS-määrus määratleb kolm elektroonilise allkirja taset: lihtne (SES), täiustatud (AES) ja kvalifitseeritud (QES). Selles artiklis selgitame lihtsas keeles, mida iga tase tähendab, millal igaüks sobib ja kuidas väikeettevõte saab neid oma igapäevaelus kasutada.
eIDAS-määruse põhiidee
eIDAS (electronic IDentification, Authentication and trust Services) on EL-i määrus, mis jõustus 2016. aastal. See loob ühised reeglid elektroonilisele autentimisele ja elektroonilistele allkirjadele kõigis EL-i riikides. Praktikas tähendab eIDAS järgmist: elektroonilist allkirja ei saa kohtus tagasi lükata pelgalt seetõttu, et see on elektroonilisel kujul. See kehtib kogu EL-i piirkonnas. Määrust uuendati 2024. aastal (eIDAS 2.0), millega lisandusid muuhulgas EL-i digitaalne isikutunnistus (EUDI Wallet) ja rangemad nõuded usaldusteenustele.
SES – lihtne elektrooniline allkiri
SES on kõige lihtsam allkirjastamise tase. See võib olla näiteks:
- E-kirjale kirjutatud nimi
- Veebivormi „Nõustun tingimustega” linnuke
- Puuteekraanil joonistatud allkiri
SES ei nõua eraldi identiteedi kinnitamist. See sobib olukordades, kus risk on väike ja osapoolte vahel on juba usaldussuhe.\n\nMida see praktikas tähendab: kui müüte oma tavalisele väikesele kliendile teenust 500 euro eest ja ta kinnitab tellimuse e-posti teel, on tegemist SES-tasemelise allkirjaga. See on kehtiv, kuid vaidluse korral on tõendusväärtus nõrgim.
AES – täiustatud elektrooniline allkiri
AES nõuab, et allkirjastaja on usaldusväärselt tuvastatud ja allkiri on temaga seotud nii, et seda ei saa tagantjärele muuta. Praktikas tähendab AES, et allkirjastaja autentib end enne allkirjastamist näiteks pangatunnuste, mobiili-ID või sarnase meetodiga. AES vastab neljale nõudele:
- Allkiri on unikaalselt seotud allkirjastajaga
- Allkirjastaja on tuvastatav
- Allkirjastajal on eksklusiivne kontroll allkirja loomiseks kasutatud andmete üle
- Pärast allkirjastamist tehtud muudatused dokumendis on tuvastatavad
Mida see praktikas tähendab: kui saadate kliendilepingu allkirjastamiseks EpicSigni kaudu ja klient autentib end pangatunnustega, on tegemist AES-taseme allkirjaga. Enamiku ärilepingute puhul on see piisav.
QES – kvalifitseeritud (täiustatud) elektrooniline allkiri
QES on kõige tugevam tase. EL-i õigusaktides on see võrdväärne käsitsi kirjutatud allkirjaga. QES nõuab kahte asja:
- Kvalifitseeritud usaldusteenuse pakkuja poolt väljastatud sertifikaati (Qualified Certificate)
- Kvalifitseeritud allkirjastamise seade (Qualified Signature Creation Device, QSCD)
QES-allkirja andjad on leitavad ELi ametlikust usaldusnimekirjast (Trusted List) – ametlikust loetelust, kuhu on kantud kvalifitseeritud usaldusteenuse pakkujad. Iga ELi riik peab oma nimekirja. \n\nMida see praktikas tähendab: QES on vajalik peamiselt siis, kui seadus otseselt nõuab kirjalikku vormi (nt teatud kinnisvaratehingud, asjaajamine ametiasutustega) või kui lepingu väärtus ja risk on eriti kõrged.
Millal milline tase sobib?
Väikeettevõtte jaoks sõltub õige taseme valik dokumendi riskist ja väärtusest:
| Dokumendi tüüp | Soovitatav tase | Põhjendus |
|---|---|---|
| Sisemine kinnitus, tellimuse kinnitamine | SES | Väike risk, kiire ja soodne |
| Kliendileping, pakkumine | AES | Tunnistab allkirjastaja usaldusväärselt |
| Tööleping, konfidentsiaalsusleping | AES | Mõlema poole tuvastamine on oluline |
| Allhangeteleping | AES | Tugev seos allkirjastajaga |
| Protokoll (juhatus, üldkoosolek) | AES | Tuvastatud inimene, muudatuste kaitse |
| Kinnisvaratehing, ametlik dokument | QES | Seadus võib nõuda kõrgeimat taset |
Auditeerimislogi ja tõendid
Iga elektrooniline allkiri jätab digitaalse jälje ehk auditraja. See on elektrooniline tõend selle kohta, kes, millal ja kust allkirjastas.\n\nHästi teostatud audititrada sisaldab:
- Allkirjastaja tuvastusteave (nimi, e-post, autentimise viis)
- Ajatempel (millal allkiri anti)
- IP-aadress ja seadme andmed
- Dokumendi räsi (hash), mis tõendab, et dokumenti pole pärast allkirjastamist muudetud
Praktiline näide: konsultatsioonifirma ja lepingute haldamine
Kolmeliikmeline konsultatsioonifirma Tamperes sõlmib igakuiselt 10–15 kliendilepingut. Varem prinditi lepingud välja, allkirjastati ja skaneeriti. Protsess võttis lepingu kohta 30–45 minutit. Üleminek AES-taseme elektroonilisele allkirjale EpicSigniga muutis protsessi:
- Leping laaditakse üles EpicSigni (1 min)
- Allkirjastajad lisatakse ja allkirjastamistaotlus saadetakse (1 min)
- Klient tuvastab end pangatunnustega ja allkirjastab (2 min)
- Allkirjastatud leping arhiveeritakse automaatselt (0 min)
Ajasääst: umbes 2 tundi nädalas. Lisaks on iga leping tänu auditirajale jälgitav.
Korduma kippuvad küsimused
Mis vahe on SES-, AES- ja QES-allkirjadel praktikas?
SES on kõige lihtsam (nt nimi e-kirjas). AES nõuab tugevat autentimist, nagu pangatunnused. QES on kõige tugevam ja võrdub käsitsi kirjutatud allkirjaga – nõuab heakskiidetud sertifikaati.
Kas AES-tase piisab töölepingu jaoks?
Jah, enamikul juhtudel on AES-tase töölepinguteks Soomes piisav. Seadus ei nõua tavaliselt QES-taset töölepingutes.
Mis on ELi usaldusväärsete loend (Trusted List)?
Trusted List on EL-i riikide hallatav ametlik heakskiidetud usaldusteenuse pakkujate nimekiri. Nimekiri on leitav EL-i komisjoni veebilehelt.
Kas SES-allkirja saab kohtus vaidlustada?
SES-allkirja ei saa tagasi lükata üksnes seetõttu, et see on elektroonilises vormis (eIDAS artikkel 25). Selle tõendusväärtus on siiski väiksem kui AES-i või QES-i puhul.
Kas EpicSign toetab AES-taseme allkirja?
Jah. EpicSign toetab tugevat autentimist (pangatunnused), mis vastab AES-i nõuetele.
Kas väikeettevõte vajab QES-allkirja?
Harva. QES on vajalik peamiselt siis, kui seadus selle tingimata nõuab või toimingud on seotud ametiasutustega. Tavaliste lepingute puhul piisab AES-ist.
Allikad
- eIDAS-määrus (EL) nr 910/2014 – elektroonilise identifitseerimise ja usaldusteenuste kohta
- Digi- ja rahvastikuministeerium (DVV) – Elektrooniline identifitseerimine ja usaldusteenused
- Traficom – Usaldusteenused ja elektroonilised allkirjad
- ELi usaldusloendid – heakskiidetud usaldusandmeteenuse osutajate loetelu
See artikkel on üldise iseloomuga ega anna õigusnõu.
Proovi EpicSigni
Alusta tasuta prooviversiooni ja saada esimene allkirjastamistaotlus alla 20 sekundiga.
Vaadake hindu