Réttaráhrif fullgildrar rafrænnar undirskriftar

Samkvæmt 25. gr. eIDAS skal fullgild rafræn undirskrift hafa sömu réttaráhrif og eiginhandarundirskrift. Þó skal ekki hafna því að rafræn undirskrift fái réttaráhrif og sé viðurkennd sem sönnunargagn í málarekstri einungis af þeirri ástæðu að hún er á rafrænu formi eða að hún uppfylli ekki kröfur sem gerðar eru til rafrænna undirskrifta. Viðurkenna á fullgilda rafræna undirskrift sem gefin er út í einu aðildarríki sem fullgilda rafræna undirskrift í öllum öðrum aðildarríkjum.

Traustmerki ESB
Þegar að fullgild staða hefur verið færð inn á traustlistann (Trusted List) mega fullgildir traustþjónustuveitendur nota traustmerki ESB fyrir fullgilda traustþjónustu. Þeir verða þá að tryggja að tengill á viðeigandi traustlista sé aðgengilegur á vefsvæði þeirra. Er traustmerkinu ætlað að aðgreina fullgilda traustþjónustu með skýrum hætti frá annarri traustþjónustu og þannig stuðla að gagnsæi á markaðinum. Notkunin á merkinu er valkvæð.

Öryggisrof
Samkvæmt eIDAS þýðir öryggisrof hvers konar öryggisrof eða glötun á heilleika sem hefur umtalsverð áhrif á traustþjónustu sem veitt er eða á persónuupplýsingar sem í henni felast. Fjallað er nánar um öryggisrof í 10. eIDAS og öryggiskröfur þær er gilda um traustþjónustuveitendur í 19. gr. eIDAS.
Ef það verður öryggisrof þá þarf að tilkynna slíkt í samræmi við 19. gr. eIDAS. Ekki þarf að tilkynna hvert og eitt tilvik sem varðar tímabundið öryggi þjónustunnar en ef það er ástæða til að ætla að atvik hafi eða geti haft meir áhrif en lágmarks áhrif á traustþjónustuna eða þær persónuupplýsingar sem geymdar eru þarf viðkomandi að tilkynna Neytendastofu öryggisrofið innan 24 klukkustunda. Ef að öryggisrof hefur áhrif út fyrir Ísland þá gæti stofnunin þurft að upplýsa erlend stjórnvöld ef rofið varðar önnur Evrópuríki. stofnunin metur ennfremur hvort að þörf sé á að tilkynna almenning um öryggisrof sem verður. Þá þarf að meta hvort þörf sé á að tilkynna viðkomandi notanda þjónustunnar. Þá þarf að íhuga hvort upplýsa ætti fleiri aðila sem gætu orðið fyrir áhrifum. Í vafatilvikum ætti fremur að upplýsa um slíkt en ekki öryggisins vegna.

Ef líklegt er að öryggisrof komi til með að hafa skaðleg áhrif á notendur þá þarf að tilkynna þeim um rofið án óþarfa tafa. Það hvaða samskiptaleið er notuð er frjáls svo framarlega að tilkynningin berist þeim án tafar. Mikilvægt er þó að fram komi upplýsingar um:
    • nafn traustþjónustuveitandans,
    • tengiliðaupplýsingar,
    • dagssetning rofsins,
    • yfirlit yfir rofið,
    • líkleg áhrif þess,
    • þær ráðstafanir sem gripið hefur verið til
    • ráðstafanir sem viðkomandi notandi getur gripið til

Fullvissustig auðkenningar
Það er mismunandi fullvissustig á rafrænum auðkenningarleiðum. Skiptast þær í „lágt“, „verulegt“ og „hátt“ sbr. 8. gr. eIDAS.
Samkvæmt eIDAS reglugerðinni ættu fullvissustig að endurspegla tiltrú á getu rafrænna auðkenningarleiða til að staðfesta kennsl á einstaklingi og þannig veita vissu fyrir því að einstaklingur sem heldur fram tilteknu auðkenni, sé í reynd sá sem fékk auðkenninu úthlutað.

 



 

 

TIL BAKA