EU:s nivåer för elektroniska signaturer (eIDAS): vad är skillnaden mellan vanlig, avancerad och kvalificerad signatur?
EU:s eIDAS-förordning definierar tre nivåer av elektroniska signaturer: enkel (SES), avancerad (AES) och godkänd eller kvalificerad (QES). I den här artikeln går vi igenom på klartext vad varje nivå betyder, när vilken räcker och hur ett litet företag kan dra nytta av dem i sin vardag.
Grundidén i eIDAS-förordningen
eIDAS (electronic IDentification, Authentication and trust Services) är en EU-förordning som trädde i kraft 2016 och som skapar gemensamma regler för elektronisk identifiering och elektroniska signaturer i alla EU-länder.\n\nI praktiken innebär eIDAS att en elektronisk signatur inte kan avvisas i domstol enbart på grund av att den är i elektronisk form. Detta gäller i hela EU.\n\nFörordningen uppdaterades 2024 (eIDAS 2.0), med införandet av bland annat EU:s digitala identitetsplånbok (EUDI Wallet) och strängare krav för förtroendetjänster.
SES – enkel electronic signature
SES är den enklaste signaturnivån. Det kan till exempel vara:
- Ett namn skrivet i ett e-postmeddelande
- En kryssruta "Jag godkänner villkoren" i ett webbformulär
- En ritad signature på en pekskärm
SES kräver ingen separat identifieringskontroll. Den räcker i situationer där risken är liten och det redan finns en förtroenderelation mellan parterna. Vad detta betyder i praktiken: om du säljer en tjänst för 500 euro till en liten stamkund och de bekräftar beställningen via e-post, är det en SES-nivåsignatur. Den är giltig, men bevisvärdet är svagast vid en tvist.
AES – avancerad electronic signature
AES kräver att undertecknaren är tillförlitligt identifierad och att signature är kopplad till hen på ett sådant sätt att den inte kan ändras i efterhand. I praktiken innebär AES att undertecknaren autentiserar sig med till exempel bank-ID, mobilcertifikat eller en liknande metod innan signature. AES uppfyller fyra krav:
- Signaturen är unikt kopplad till undertecknaren
- Undertecknaren är identifierbar
- Undertecknaren har ensam kontroll över informationen som används för att skapa signaturen
- Ändringar i dokumentet efter signering är spårbara
Vad detta betyder i praktiken: när du skickar ett kundavtal för signering via EpicSign och kunden identifierar sig med bankidentifiering, är det en AES-nivåsignatur. Detta räcker väl för de flesta kommersiella avtal.
QES – kvalificerad (godkänd) elektronisk signatur
QES är den starkaste nivån. Enligt EU-lagstiftningen jämställs den direkt med en handskriven signatur. QES kräver två saker:
- Ett certifikat utfärdat av en godkänd betrodd tjänsteleverantör (Qualified Certificate)
- En godkänd enhet för att skapa signaturer (Qualified Signature Creation Device, QSCD)
De som utfärdar QES-signaturer finns på EU:s Trusted List – en officiell förteckning där godkända betrodda tjänsteleverantörer är registrerade. Varje EU-land upprätthåller sin egen lista. Vad detta innebär i praktiken: QES är främst nödvändigt när lagen uttryckligen kräver skriftlig form (t.ex. vissa fastighetsköp, myndighetsärenden) eller när avtalets värde och risk är särskilt höga.
När räcker vilken nivå?
För ett småföretag beror valet av rätt nivå på dokumentets risk och värde:
| Dokumenttyp | Rekommenderad nivå | Motivering |
|---|---|---|
| Intern kvittens, beställningsbekräftelse | SES | Låg risk, snabb och kostnadseffektiv |
| Kundavtal, offert | AES | Känna igen undertecknaren på ett pålitligt sätt |
| Anställningsavtal, sekretessavtal | AES | Identifiering av båda parter är viktig |
| Underentreprenadavtal | AES | Stark koppling till undertecknaren |
| Protokoll (styrelse, bolagsstämma) | AES | Identifierad person, förändringsskydd |
| Fastighetsaffär, myndighetsdokument | QES | Lagen kan kräva högsta nivån |
Audit trail och bevis
Varje elektronisk signatur lämnar ett digitalt spår, en audit trail. Det är ett elektroniskt bevis på vem som signerade, när och varifrån. En väl genomförd audit trail innehåller:
- Undertecknarens identifieringsuppgifter (namn, e-post, identifieringsmetod)
- Tidsstämpel (när signature gjordes)
- IP-adress och enhetsinformation
- Dokumentets hash, som bevisar att dokumentet inte har ändrats efter signature
Praktiskt exempel: konsultföretag och avtalshantering
Ett konsultföretag med tre anställda i Tammerfors gör 10–15 kundavtal per månad. Tidigare skrevs avtalen ut, signerades och skannades. Processen tog 30–45 minuter per avtal. Övergången till en AES-nivå för elektronisk signering med EpicSign förändrade processen:
- Avtalet laddas upp till EpicSign (1 min)
- Undertecknare läggs till och en signaturbegäran skickas ut (1 min)
- Kunden autentiserar sig med bank-ID och signerar (2 min)
- Det signerade avtalet arkiveras automatiskt (0 min)
Tidsbesparing: cirka 2 timmar i veckan. Dessutom är varje avtal spårbart tack vare audit trail.
Vanliga frågor
Vad är skillnaden mellan SES-, AES- och QES-signaturer i praktiken?
SES är den enklaste (t.ex. ett namn i ett e-postmeddelande). AES kräver stark autentisering, som bankID. QES är den starkaste och motsvarar en handskriven signatur – kräver ett godkänt certifikat.
Är AES-nivån tillräcklig för ett anställningsavtal?
Ja, i de flesta fall är AES tillräcklig för anställningsavtal i Finland. Lagen kräver vanligtvis inte QES-nivån för anställningsavtal.
Vad är EU:s Trusted List?
Trusted List är en officiell lista över godkända tillitstjänsteleverantörer som upprätthålls av EU-länderna. Listan finns på EU-kommissionens webbplats.
Kan en SES-signature bestridas i domstol?
En SES-signature kan inte avvisas enbart på grund av att den är i elektronisk form (eIDAS artikel 25). Bevisvärdet är dock svagare än för AES eller QES.
Stöder EpicSign AES-nivåns signatur?
Ja. EpicSign stöder stark autentisering (bank-ID), som uppfyller AES-kraven.
Behöver ett litet företag QES-signatur?
Sällan. QES är främst nödvändig när lagen uttryckligen kräver skriftlig form eller när det rör sig om myndighetsärenden. För vanliga avtal räcker AES.
Källor
- eIDAS-förordningen (EU) nr 910/2014 – om electronic identification och tillitstjänster
- Myndigheten för digitalisering och befolkningsdata (DVV) – Elektronisk identifiering och betrodda tjänster
- Traficom – Tillitstjänster och elektroniska signaturer
- EU Trusted Lists – lista över godkända tillitstjänsteleverantörer
Denna artikel är av allmän karaktär och utgör inte juridisk rådgivning.
Prova EpicSign
Starta din kostnadsfria provperiod och skicka den första signeringsbegäran på under 20 sekunder.
Se priser