Juridisk och teknisk säkerhet
Innehåll
- eIDAS
- Bindande avtal
- Beviskrav - hur står sig elektroniska avtal vid en tvist?
- Händelselogg
- Försegling av avtal
- Referensdokument
- Dataskydd - GDPR
- Biträdesavtal
- Privacy by design
- Lagringstider
- Säkerhet/tekniskt dataskydd
- Egreemeent som personuppgiftsbiträde
- Lagring och behandling av personuppgifter inom EU
- Säker kommunikation
- Säker lagring
- Behörighetshantering och loggning av händelser
- Rutiner och styrning av informationssäkerhet
Juridik
eIDAS
Den 1 juli 2016 började EU:s förordning om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden (eIDAS-förordningen) tillämpas i Sverige.
Dokument som skrivs under elektroniskt med Egreements tjänst följer eIDAS-förordningens regler om elektroniska underskrifter och kan därmed inte förvägras rättslig verkan i en domstol endast på grund av att de är i elektronisk form. Det finns dock undantag i eIDAS-förordningen gällande speciella formkrav i svensk lagstiftning. Exempelvis kan det finnas krav på en elektronisk underskrift med hög tillitsnivå som en avancerad elektronisk underskrift eller krav på underskrift med penna på papper.
Med Egreements tjänst är det möjligt att skriva under dokument med avancerade elektroniska underskrifter med hjälp av t. ex. BankID eller annan e-legitimation.
Som tillhandahållare av betrodda tjänster är Egreement i enlighet med eIDAS-förordningen skyldig att vidta lämpliga tekniska och organisatoriska åtgärder för att hantera riskerna för säkerheten hos de betrodda tjänster som Egreement tillhandahåller. Egreement är också skyldig att senast inom 24 timmar efter upptäckt, underrätta tillsynsorganet Post-och telestyrelsen och i förekommande fall andra relevanta organ, om alla säkerhetsincidenter eller integritetsförluster som i betydande omfattning påverkar den betrodda tjänst som tillhandahålls eller på de personuppgifter som ingår i denna.
Bindande avtal
Ett avtal ingånget via Egreements tjänst är juridiskt bindande. Det finns några undantag när det är speciella formkrav enligt lag, vilket endast är fallet vid ett fåtal avtalstyper i Sverige såsom vid exempelvis köp av fast egendom, överlåtelse av bostadsrätt och testamente.
I vissa fall kan det finns speciella formkrav i avtal. Om ett avtal säger att avtal/ändringar eller tillägg ska ingås skriftligt kan Egreements tjänst användas. Även vid andra formkrav, t.ex. om ett avtal säger att ett avtal ska vara underhändigt undertecknade kan alltid Egreements tjänst användas om parterna är överens.
Eftersom digitala signaturer blivit allt vanligare har fler och fler som standard i sina avtal att digital signatur av ett avtal ska likställas med handskriven signatur.
Som ovan beskrivits faller en underskrift med BankID under betrodda tjänster eIDAS-förordningen som en avancerad elektronisk underskrift, och den typen av underskrift har därför rättslig verkan inom hela EU.
Beviskrav - hur står sig elektroniska avtal vid en tvist?
I svensk processrätt gäller principen om fri bevisföring och fri bevisprövning – varje part kan själv välja hur denne vill bevisa att ett avtal är ingånget eller underskrivet av en viss person. Fördelen med elektroniska underskrifter är att det är enkelt att tekniskt bevisa vem som skrivit under avtalet och att det finns spårbarhet vad gäller avtalets innehåll.
En traditionell underskrift med penna på papper kan vara lättare att förfalska och det krävs i vissa fall omfattande granskning för att säkerställa dess äkthet, om det överhuvudtaget är möjligt. Ett avtal som ingåtts med elektroniska underskrifter kan därför t.o.m. anses ha högre bevisvärde än ett fysiskt underskrivet avtal.
Tjänsten erbjuder flera olika metoder för elektronisk underskrift. Starkast bevis för att rätt person undertecknat avtalet ger en elektronisk underskrift med e-legitimation, exempelvis BankID.
Händelselogg
Bevisföring samlas i avtalets händelselogg. Den innehåller information om alla viktiga händelser. Exempelvis att en part har skrivit under avtalet och vilken person som har genomfört underskriften. I händelseloggen sparas för varje händelse relevanta uppgifter som tidpunkter, IP-adresser, e-postadresser och personuppgifter.
- Kontrollsummor för alla ingående avtalsfiler
- Tidpunkter
- Namn
- Personnummer
- E-postadresser
- IP-adresser
- Organisationsnummer
- Organisationsnamn
- Underskrifter*
*Vid underskrift med e-legitimation, BankID, sparas även BankID-signatur och OCSP-svar i händelseloggen.
*Vid underskrift med tvåfaktors SMS-signatur sparas även telefonnummer och engångskod
*Vid underskrift med ritsignatur sparas även bilden på underskriften, en Base64-kodad vektorbaserad SVG-fil.
Försegling av avtal
Egreement kan försegla avtalet med en elektronisk stämpel i syfte att skydda dess integritet och därmed säkerställa samt bevisa dess äkthet samt att det inte har förändrats sedan det undertecknades. Samtidigt möjliggör det validering av att avtalet är oförändrat – även oberoende av Egreement, med hjälp av en standard PDF-läsare som exempelvis Adobe Acrobat Reader kan var och en tydligt själva se då se om dokumentet är oförändrat eller har förändrats.
Förseglingen sker med Egreements AATL-certifikat som är utfärdat av GlobalSign. Certifikatet använder en 2048-bitars nyckel och SHA256 RSA för undertecknande. LTV, LongTerm Validation, möjliggör bevarande och giltighet över lång tid för att när som helst i framtiden kunna validera att signaturen, och därmed avtalet, är giltigt.
Referensdokumentation
Utöver att avtalen förseglas innehåller alla avtal som skapas med tjänsten, förutom händelseloggen, även en referensdokumentation för att ytterligare förstärka dess oberoende av Egreement. Referensdokumentationen beskriver avtalsformatet och tillgängliga metoder för elektronisk underskrift i detalj. Alla avtal skapade i tjänsten är därmed självbärande, dvs. kan lagras var som helst och valideras oberoende av Egreement.
Dataskydd - GDPR
Egreement följer Dataskyddsförordningen, GDPR, gällande all hantering av personuppgifter och arbetar därför kontinuerligt med att genomföra och säkerställa att lämpliga tekniska och organisatoriska åtgärder finns på plats för att all behandlingen ska utförs i enlighet med GDPR.
Biträdesavtal
Egreement tillhandahåller ett standard biträdesavtal som uppfyller alla krav som ställs enligt GDPR. Egreement vidtar i övrigt ett stort antal åtgärder för att säkerställa att man behandlar alla personuppgifter inom tjänsten korrekt, detta beskrivs mer i detalj nedan.
Privacy by design
Egreements lösning är uppbyggd utifrån principerna om ”Privacy by design” och ”Privacy
by default” (inbyggt dataskydd och dataskydd som standard) enligt GDPR. Detta innebär
bl.a. att lösningen:
- säkerställer att kunden kan följa de grundläggande principerna enligt dataskyddsförordningen enligt de specifika krav som just kunden har utifrån vilken typ av personuppgifter som kunden behandlar m.m. Detta innefattar bl.a. att kunden inom systemet kan uppfylla krav på uppgiftsminimering, lagringsminimering och ändamålsbegränsning
- säkerställer åtkomstkontroll, att kunden kan styra vilka personer som ska ha åtkomst till vilka uppgifter
- säkerställer möjligheter till rättelse, radering, begränsning och gallring av uppgifter i enlighet med de krav som förordningen ställer (Detta kan kunden själv styra inom ramen för systemet.)
- säkerställer att kunden kan möjliggöra för den registrerade att få tillgång till uppgifter som finns registrerade om denne i systemet.
Lagringstider
Ni som kund styr helt hur längre respektive avtal samt information om avtalet och de personer som signerat avtalet ska sparas.
Säkerhet/tekniskt dataskydd
Se nedan beskrivning under informationssäkerhet.
Egreement som personuppgiftsbiträde
Egreement agerar i enlighet med GDPR personuppgiftsbiträde då tjänsten alltid hanterar personuppgifter för den personuppgiftsansvarige kundens räkning. Som personuppgiftsbiträde tillhandahåller Egreement ett personuppgiftsbiträdesavtal som uppfyller alla krav som ställs enligt GDPR.
Egreement behandlar endast de personuppgifter kunden är personuppgiftsansvarig för i enlighet med dokumenterade instruktioner från kunden. Egreement för därtill ett register över alla kategorier av behandling som utförs för den personuppgiftsansvariges, kundens, räkning.
I de fall Egreement anlitar underbiträden för behandling av personuppgifter tecknar Egreement alltid ett underbiträdesavtal som omfattar minst samma skyldigheter som Egreement har gentemot kunden enligt personuppgiftsbiträdesavtalet med kunden.
Vid anlitande av underbiträden säkerställer Egreement att underleverantörerna följer de instruktioner som kunden har vad gäller behandling av personuppgifter. Egreement samarbetar på begäran med Integritetsskyddsmyndigheten som är tillsynsmyndighet gällande GDPR i Sverige. Egreement har vidtagit lämpliga tekniska och organisatoriska åtgärder för att säkerställa att en hög och lämplig säkerhetsnivå upprätthålls.
Egreement lämnar inte ut personuppgifter eller annan information om behandlingen av personuppgifter om inte sådan skyldighet föreligger enligt Dataskyddsreglerna. Skulle sådan skyldighet föreligga kommer Egreement, om det inte strider mot tvingande lag, alltid först att informera kunden.
All personal och alla konsulter har undertecknat sekretessavtal och fått information om hur inloggningsuppgifter ska förvaras på ett säkert sätt för att säkerställa att ingen obehörig ges åtkomst till personuppgifter
Även i övrigt kommer Egreement bistå kunden för att – i enlighet med vad som krävs av Egreement såsom personuppgiftsbiträde - säkerställa att kunden kan uppfylla de relevanta krav som denne har på sig i enlighet med GDPR.
Lagring och behandling av personuppgifter inom EU
Egreement behandlar endast personuppgifter inom EU och lagring av personuppgifter sker i Amazon Web Services på tre fysiskt skilda platser, AWS Availability zones, på Irland.
En kontinuerligt uppdaterad lista med underbiträden finns publicerad för inloggade användare i tjänsten.
Egreement använder för närvarande följande underbiträden för att leverera tjänsten:
- Amazon Web Services EMEA SARL, Luxemburg, (lagring och serverkapacitet)
- Idfyed Solutions AB, Sverige, (eID service provider)
- 21st Century Mobile AB, Sverige, (SMS-tjänster)
- mySMTP (e-postnotifieringar)
Underbiträdesavtal har tecknats med samtliga underbiträden.
Vid anlitande av underleverantörer säkerställer Egreement att korrekta underbiträdesavtal ingås samt att underleverantörerna följer de instruktioner som kunden har vad gäller behandling av personuppgifter.
Eftersom Amazon Web Services är ett irländskt bolag och Egreements avtal tydligt anger att personuppgifter inte överförs utanför EU/EES uppfylls de krav på personuppgiftsbehandling som ställs enligt EDPBs rekommendationer om överföringsmekanismer(01/2020) som antogs 18 juni 2021.
Informationssäkerhet
scroll to meSäker kommunikation
All extern kommunikation med tjänsten och transport av data sker krypterat med HTTPS. Egreement använder ett certifikat med 2048 bitars nyckel och signaturalgoritmen SHA256 RSA. Tjänsten testas regelbundet för att upprätthålla klass A eller A+ enligt Qualys SSL Labs. All extern kommunikation med tjänsten sker via lastbalanserare som hanterar applikationssäkerhet. Test utförs även regelbundet mot intrångsförsök, s.k penetrationstest.
All kommunikation internt mellan tjänstens servrar begränsas av brandväggsregler för att säkerställa att endast auktoriserad åtkomst sker.
Säker lagring
För att säkerställa hög tillgänglighet lagras all information i tjänsten på tre fysiskt skilda platser (availability zones). Avtal och andra filer lagras i Amazon S3. Övriga strukturerade data lagras i databas.
All information som hanteras i tjänsten krypteras vid lagring för att ytterligare skydda mot obehörig åtkomst. Kryptering sker med algoritmen AES-256.
Backup av databasen sker regelbundet, en gång per dag. Backuper lagras på tre fysiskt skilda platser och sparas i tre månader varefter de raderas.
Ni som kund styr själva hur länge respektive avtal med tillhörande information ska lagras i tjänsten.
Rutiner och styrning av informationssäkerhet
Egreements ledning har infört ett systematiskt och riskorienterat arbetssätt avseende hur vi jobbar med frågor och uppgifter som handlar om informationssäkerhet, ett ledningssystem för informationssäkerhet. Informationssäkerhetsarbetet bedrivs med utgångspunkt i den internationella ledningssystemstandarden för informationssäkerhet, SS-ISO/IEC 27001. Vidare ska de artiklar i Europaparlamentets och rådets förordning (EU) 2016/679, GDPR, som berör informationssäkerhet efterlevas.
Som stöd för detta har Egreement fastslagit en informationssäkerhetspolicy som omfattar samtliga informationstillgångar inom verksamheten. Med tillhörande riktlinjer och rutiner skapas förutsättningar för ett systematiskt arbete som leder till ständiga förbättringar. Det övergripande syftet med Egreements informationssäkerhetsarbete är att säkerställa ett väl avvägt skydd för våra informationstillgångar så att rätt information är tillgänglig för rätt person vid rätt tidpunkt och på ett spårbart sätt.
Med informationssäkerhet avses skydd av information oavsett vilken form den har, hur den överförs, hanteras eller lagras. Informationen skall skyddas mot alla hot oavsett om de är interna, externa, avsiktliga eller oavsiktliga. Begreppet innefattar, fysisk säkerhet, IT-säkerhet, administrativ säkerhet samt personsäkerhet.
Egreement har fastslagit en organisation med tydliga roller och ansvarsfördelning för att hantera informationssäkerhetsarbetet.
Egreement hanterar, utifrån regelbundna risk- och sårbarhetsanalyser och inträffade incidenter, risker och vidtar lämpliga åtgärder för att upprätthålla rätt anpassade skyddsnivåer för verksamhetens informationstillgångar.
Uppföljning av informationssäkerhetsarbetet sker genom att samtliga informationssäkerhetsincidenter registreras i därför avsett system. Uppföljning av skyddsåtgärder, gjorda med utgångspunkt från genomförda riskanalyser, sker kontinuerligt.
Medarbetare har möjlighet att anonymt kunna rapportera misstänkta felaktigheter eller oegentligheter till informationssäkerhetsansvarig på Egreement.
Kontinuitetsplanen antas årligen av ledningen. Den reglerar och definierar de kritiska verksamhetsprocesser som ska fungera vid allvarliga incidenter. Ledningen följer årligen upp genomförda riskanalyser. Rapportering görs av utsedd informationssäkerhetsansvarig till ledningen.