Illusionen om digitala underskrifter i offentlig sektor (in Swedish)
Du har vant dig vid digitala underskrifter i offentlig sektor och uppskattar att det är så pass enkelt. Det kan vara Skatteverket, Försäkringskassan, Bolagsverket eller någon annan myndighet. Alla gillar det. Få, inte ens myndigheterna själva, verkar inse att underskrifterna praktiskt taget alltid är en illusion utan juridisk verkan.
Det är inget fel på tekniken. BankID bygger på internationellt erkända och säkra standarder. (Det finns andra leverantörer, men BankID är mest känd.) Felet är tillämpningen.
Ett tecken på att något är snett är att ingen någonsin har fått en kopia av dokumentet man skrev under. Visst, man kan få kvitto och annan typ av bekräftelse, men inte exakt det man skrev under. I andra sammanhang, säg när du köper en lägenhet, får alla parter självklart sitt exemplar av kontraktet. Det är inte så att du får ett kvitto på att du skrivit under ett kontrakt. Du får själva kontraktet. Anar du en skillnad där?
Det är helt omöjligt att få en myndighet att förstå frågan om man exempelvis ber att få en kopia av sin undertecknade inkomstdeklaration. Tanken har aldrig föresvävat organisationen. (Det gäller för övrigt även banker, som annars inte fuskar bort digitala underskrifter på samma sätt.) Kvitto kan man få, men inte det undertecknade dokumentet.
Om du skriver under ett kontrakt binder du dig till i första hand informationen i kontraktet. Men inte bara det. Du skriver under helhetsbilden, synintrycket, information plus uppställning. Det gäller även i papperslös hantering. (Det här kan vara svårt att smälta för it-arkitekter.)
Ett annat tecken på att något är snett är att myndigheten inte kan återskapa det synintryck som du förmodar att du skrivit under. Faktum är att myndigheten troligen inte ens kan återskapa den information du förmodar att du skrivit under.
Nu blir det hett, här finns kärnan i problemet. Det synintryck och den information som du tekniskt och faktiskt skrev under med BankID är nämligen en text i stil med “Jag skriver under de uppgifter jag lämnat.” Texten visas i BankID när man gör underskriften och varierar mellan myndigheter. Detta odödliga yttrande är vederbörligen förseglat med BankID enligt alla konstens regler och med hög säkerhet.
Det du skrev på är alltså att du egentligen skrev på något annat! Undra på att ingen myndighet vill lämna ut kopior av sådant trams. När du skrev under hade du ett ärende. Den underskrivna texten innehåller inte minsta ledtråd till ärendet. Ärendet själv är inte alls undertecknat.
Hur blev det så här?
Om jag får gissa tror jag att de som började använda digitala underskrifter utanför bankvärlden var riktigt stora organisationer som Skatteverket. Avståndet mellan ledning ner till kodnivån är enormt. När projekt redovisas uppåt i organisationen filtreras tänkandet i PowerPoint-skikt i flera led. Detaljer försvinner. Kanske också grundläggande idéer.
Det har också varit så att chefer och jurister har kunnat skratta bort frågan genom att säga att man “inte kan alla tekniska detaljer”.
Man kan köra bil utan att kunna mycket om den komplicerade teknik som får den att fungera. Men man får inte körkort utan att veta att om man vrider ratten åt ett håll så svänger bilen åt det hållet. Det finns en gräns för vad man kan kalla “tekniska detaljer”. Det är ingen teknisk detalj att man får bilen att svänga med hjälp av ratten.
På samma sätt finns det principer för digitala underskrifter som inte är tekniska detaljer.
Lagstiftningen har funnits i 20 år. Det är hög tid att chefer, projektledare och jurister sätter sig in i grundläggande principer för digitala underskrifter. Helt enkelt tar körkort för digitala underskrifter.
Kommentarer är avstängda på grund av spamfaktorn, men du kan mejla till
blog KANELBULLE soderstrom PUNKT se