Allekirjoitus on perinteisesti yleisin sopimusten ja asiakirjojen hyväksynnän tai vahvistamisen väline. Muita historiallisia asiakirjan vahvistamiseen ja varmistamiseen käytettyjä välineitä ovat olleet mm. puumerkki ennen kirjoitustaidon yleistä leviämistä sekä sinetti tai leima etenkin varakkaampien henkilöiden tai yhteisöjen piirissä.
Nykyisin sekä yleiskielessä, että lainsäädännössäkin käytetään allekirjoitusta synonyyminä hyväksynnälle ja asiakirjan tai sopimuksen vahvistamiselle. Parempi olisikin puhua allekirjoituksen sijaan sähköisestä hyväksynnästä tai vahvistamisesta. Digitaalisessa maailmassa perinteistä allekirjoitusta elementtinä ei tarvita, koska hyväksynnän ja vahvistamisen voi hoitaa muutenkin ja huomattavasti perinteistä allekirjoitusta turvallisemmin.
Keskeisenä asiana hyväksyntään ja vahvistamiseen kytkeytyy hyväksyjän eli allekirjoittajan henkilöllisyyden tunnistaminen ja vahvistaminen - että henkilö on se joka väittää olevansa. Yritysten ja yhteisöjen piirissä on usein myös varmistettava, että henkilöllä on asiaan liittyvä hyväksyntä- eli allekirjoitusoikeutus joko asemaansa tai erilliseen asemavaltuutukseen perustuen.
Sähköisen ja digitaalisen allekirjoituksen termejä käytetään yleiskielessä ja tuotteiden sekä palveluiden markkinoinnissa hyvin vaihtelevasti. Usein on vaikea selvittää kumpaa oikeasti tarvitaan ja kumpaa tarjotaan. Yleinen väärinkäsitys on, että dokumentteihin vaaditaan perinteinen allekirjoitus tai sen kopio ja päädytään turhankin mutkikkaisiin ratkaisuihin. Oleellista on allekirjoittajan eli hyväksyjän henkilöllisyyden varmentaminen, ei menetelmä.
Suomalainen sähköisen allekirjoituksen lainsäädäntö perustuu Euroopan Unionin asetukseen sähköisestä tunnistamisesta ja luottamuspalveluista (Electronic Identification and Trust Services Regulation, eIDAS), jonka mukaan mikä tahansa sähköinen allekirjoitus on laillinen ja toimeenpanokelpoinen. Lainsäädäntö ei ota kantaa sähköisen allekirjoituksen tekniseen toteutukseen. Ilman vahvaa tunnistautumista haasteeksi voi kuitenkin tulla mahdollisessa riitatilanteessa todistaa allekirjoituksen aitous ja kuka sen on tehnyt.
Sen sijaan esim. Yhdysvaltain elintarvike- ja lääkevirasto FDA määrittelee sähköisen ja digitaalisen allekirjoituksen erikseen.
FDA:n määritelmän mukaan siis sähköinen allekirjoitus on käsinkirjoitettua allekirjoitusta vastaava tietokoneella tuotettu merkki- tai symbolisarja. Yleisimmin tämä on allekirjoituksen skannattu kopio. Digitaalinen allekirjoitus puolestaan on salausmenetelmiin pohjautuva sääntöpohjaisesti toteutettu "allekirjoitus", jonka perusteella datan oikeellisuus ja hyväksyjän henkilöllisyys voidaan todentaa.
Suomen lainsäädännössä sähköisellä allekirjoituksella tarkoitetaan "sähköisessä muodossa olevaa tietoa, joka on liitetty tai joka loogisesti liittyy muuhun sähköiseen tietoon ja jota käytetään allekirjoittajan henkilöllisyyden todentamisen välineenä". Laissa määritellään myös 'kehittynyt sähköinen allekirjoitus', joka tarkoittaa sähköistä allekirjoitusta joka on luotu menetelmällä, jonka allekirjoittaja voi pitää yksinomaisessa valvonnassaan ja allekirjoittaja voidaan yksilöidä yksiselitteisesti sekä on liitetty muuhun sähköiseen tietoon siten, että tiedon mahdolliset muutokset voidaan havaita.
Käytännössä Suomen lainsäädännössä mainittu "kehittynyt sähköinen allekirjoitus" vastaa pitkälti FDA:n määrittelemää digitaalista allekirjoitusta, tosin ilman vaatimusta salaustekniikoista. Digitaalinen allekirjoitus ei vaadi käsinkirjoitetun allekirjoituksen digitaalista kopiota, joka on yleensä korvattu erillisellä digitaalisella, yksiselitteisesti tiettyyn henkilöön yhdistettävällä koodilla tai tunnisteella. Kaikki digitaaliset allekirjoitusratkaisut eivät kuitenkaan täytä kaikkia lainsäädännön asettamia kehittyneen sähköisen allekirjoituksen vaatimuksia. Tekniseltä ja käytännön toiminnan kannalta selkein sähköisen ja digitaalisen allekirjoituksen ero onkin, että digitaalisessa allekirjoituksessa ei vaadita perinteistä analogista allekirjoitus-elementtiä. Tällä sivustolla käytetään tätä määritelmää.
Suomen lainsäädännön mukaan "jos oikeustoimeen vaaditaan lain mukaan allekirjoitus, vaatimuksen täyttää ainakin sellainen kehittynyt sähköinen allekirjoitus, joka perustuu laatuvarmenteeseen ja on luotu turvallisella allekirjoituksen luomisvälineellä". Tämä ei kuitenkaan sulje pois perusmuotoisen sähköisen allekirjoituksen oikeusvaikutuksia, joihin vaikuttaa sekä sopimusvapaus ja em. Euroopan Unionin asetus sähköisestä tunnistamisesta ja luottamuspalveluista (Electronic Identification and Trust Services Regulation, eIDAS), jonka mukaan mikä tahansa sähköinen allekirjoitus on laillinen ja toimeenpanokelpoinen. Allekirjoituksen luotettavuus ja sitä myöten oikeustoimikelpoisuus tulee mahdollisessa riitatilanteessa arvioitavaksi tapauskohtaisesti, ellei ko. tapaukseen kohdistu muita tarkentavia lakeja tai säännöksiä.
Suomen oikeuskäytännössä vallitsee sopimusvapauden periaate, jonka perusteella sopimuksen muoto ja tekotapa ovat vapaita. Tämän perusteella mm. suullinen sopimus on yhtä sitova kuin kirjallinenkin. Allekirjoitus itsessään ei vahvista sopimusta yhtään enempää kuin vaikka "kättä päälle" -kädenpuristus. Sopimuksen voi vahvistaa myös pelkällä sähköpostilla. Tämän johdosta myös kevyeen tai ns. luottamuspohjaiseen tunnistukseen perustuva sähköinen allekirjoitus on yhtä pätevä kuin perinteinenkin allekirjoitus. Haasteeksi tulee kuitenkin todistaa allekirjoitus aidoksi mahdollisissa riitatilanteissa.
Ulkopuolisten kanssa tehtävissä sopimuksissa tulee huomioitavaksi perustuuko hyväksyntä kevyeen vai vahvaan tunnistukseen. Suomalaisten toimijoiden kanssa vahva tunnistus on aika helppoa esim. pankkitunnuksiin perustuvaan tunnistukseen perustuen. Kansainvälisten osapuolten kesken tunnistaminen ei ole yhtä helppoa ja suurin osa ns. sähköisen allekirjoituksen palveluista perustuukin kevyeen tai luottamuspohjaiseen tunnistukseen eli henkilön omaan vakuutukseen.
Jos kyseessä on yrityksen sisäisten työnkiertojen ja dokumenttien hyväksyntä, niin ulkoinen allekirjoituspalvelu on yleensä turha ja ylilyönti. Asian voi hoitaa esim. sisäverkon AD-tunnuksilla ja/tai järjestelmän salasanoilla. Jos taas kyseessä on ulkopuolisten tahojen kanssa tehtyjen, yleensä sopimusten hyväksyntä, niin niihin ulkoinen jollain tapaa henkilövarmennettu palvelu sopii hyvin.
Tuotannonohjaus- tai asianhallintajärjestelmissä on yleensä sisäänrakennettu työnkierto hyväksyntämenettelyineen, jossa henkilön tunnistaminen pohjautuu yrityksen tietoverkon tai järjestelmän henkilökohtaisiin tunnuksiin ja salasanoihin.Tämä yleensä riittää. Hyväksyntätieto on lähtökohtaisesti järjestelmässä, eikä dokumentissa, jota ei välttämättä tarvita ollenkaan.
Sähköisen tai digitaalisen allekirjoituksen tyyppi kannattaakin valita ja toteuttaa oikeantasoisena käyttötapaukset ja riskit huomioiden. Jos allekirjoittaja tunnetaan ja tiedetään yksiselitteisesti eikä sopimuksesta tms. aiheudu suuria riskejä, voidaan käyttää kevyen tunnistuksen menetelmiä. Mikäli allekirjoittajaa ei tunneta tai asiasta voi nousta merkittäviä epäilyja tai riskejä, on syytä käyttää vahvan tunnistuksen menetelmiä.
Ensimmäinen kysymys, minkälaiseen tarpeeseen ja mihin järjestelmään sähköinen tai digitaalinen hyväksyntä ollaan rakentamassa? Täytyykö olla varmuudella oikeus- ja auditointikelpoinen vai riittääkö pelkkä skannattu allekirjoituksen kopio tai kevyempi digitaalinen hyväksyntä? Jos täytyy olla vedenpitävästi oikeustoimikelpoinen ja varmennettu, niin ns. erityinen sähköinen eli digitaalinen allekirjoitus on parempi kuin sähköinen. On hyvä huomioida, että kaikki digitaalisen allekirjoituksen ratkaisut eivät kuitenkaan täytä erityisen sähköisen allekirjoituksen vaatimuksia esim. vahvasta tunnistautumisesta.
On hyvä huomioida myös, että tietyillä aloilla voi olla alakohtaisia säätelyitä ja laatuvaatimuksia hyväksyntöjen suhteen. Tyypillinen vaatimus on ns. auditointikelpoisuus eli audit track tai audit log, jonka avulla hyväksyntäprosessi täytyy olla jälkikäteen yksiselitteisesti todennettavissa. Myös eri maiden lainsäädännöt asiassa vaihtelee, joka kannattaa huomioida mikäli tehdään kansainvälisiä sopimuksia.
Kyberturvallisuuskeskus: Sähköinen tunnistaminen Suomessa
Signicat - kansainvälinen sähköisen tunnistamisen palvelu
Laki sähköisistä allekirjoituksista (Finlex)
Kyberturvallisuuskeskus: Sähköiset luottamuspalvelut ja eIDAS
Trust Services and Electronic identification (EU komissio)
FDA CFR Title 21 part 11: ELECTRONIC RECORDS; ELECTRONIC SIGNATURES
VTT: PK-yrityksen riskienhallinta: Sopimusvapaus
Transform businesses with electronic and digital signaure solutions. (Adobe)
Mietityttääkö sähköinen allekirjoitus? Onko se edes laillinen ja pätevä? Mitä vaatimuksia on sähköiselle allekirjoitukselle?
Älä suotta mieti, vaan kilkkaa alla olevasta napista ja jutellaan lisää, veloituksetta tottakai! 😊