Danske firmaer bange for at underskrive kontrakter med NemID

Når virksomheder indgår i en aftale med kunder, må de fortsat skrive under med kuglepen. En detajle i Retsplejeloven får nemlig de danske firmaer til at tvivle på, om digitale kontrakter holder i fogedretten.

Teknisk set er det muligt at underskrive kontrakter digitalt med NemID, og i mange tilfælde er det også særdeles belejligt.

Men en bemærkning i Retsplejeloven afholder virksomheder fra at digitalisere kuglepennen, når underskriften skal forsegle kontrakten. For hvis virksomheden ender i fogedretten for at få opfyldt kontrakten, så kræver domstolen et originalt dokument af papir.

»Det er et skridt tilbage i forhold til digitaliseringen af vores samfund. Der arbejdes meget på at få alt gjort så digitalt som muligt, for det er grundlæggende rationelt at anvende digitale løsninger, men vi har altså et meget stort område af vores økonomi, hvor der ikke er nogen, der tør gøre brug af de her løsninger, som egentlig ligger til rådighed,« siger it-advokat Nis Peter Dall til Version2.

Han er ekspert i it-kontrakter og har udarbejdet et notat for virksomheden Signicat om brugen af digitalt signerede dokumenter.

Kravet om et originalt dokument er dog ikke uden undtagelse. For kravet behøver ikke at være gældende, hvis fogedretten anser det for at være unødvendigt.

Problemet er bare, ifølge Nis Peter Dall, at det skal bedømmes i hver enkelt sag, og det er aldrig blevet afprøvet, så man ved ikke, hvordan fogedretten vil reagere.

Netop det får virksomhederne til at holde sig tilbage.

Alligevel slog Domstolsstyrelsens arbejdsgruppe fast i 2003, at en kontrakt underskrevet med digital signatur er lige så pålidelig som en traditionel kontrakt. Det skriver de i rapporten »Redegørelse om digital kommunikation med domstolene.«

Hæmmer effektivisering

Kravet blev i sin tid indført, da kopimaskinen kom til verden.

Men nu får loven virksomheder til at holde sig fra at digitalisere kontrakter. Det mærker virksomheden Signicat, som leverer løsninger til digitale identiteter.

»Vi mærker, at der er rigtig mange virksomheder, der gerne vil det her. Men de tør ikke, for de ved ikke, hvad de kan risikere at møde i en retssag,« siger Lars Møller Kristensen, landechef i Signicat, til Version2.

Virksomheden har adskillige gange forgæves forsøgt at få Justitsministeriet til at tage hånd om problemet.

Ifølge Lars Møller Kristensen kunne virksomheder spare meget tid og penge, hvis de ikke skulle sende kontrakter ud med post, for så derefter at skanne dem ind igen, når kontrakterne er underskrevet. Men han har også oplevet, at en kunde måtte fryse alle sine kontrakter ned efter en vandskade for at bevare de originale kontrakter.

I værste fald tror Lars Møller Kristensen, at det kan hæmme danske virksomheders konkurrenceevne.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (23)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Anonym

NemID er et log-in-system.

Der indgår ikke nogen SIKKER identifikation i NemID.

Det er et system, der redegør over for tredie person, om en given identitet, hvilket medfører at der ikke er tale om egentlig identifikation. Man kan kun identificerer, hvis man direkte tilspørger den enkelte identitet, ellers ved man jo ikke, om identiteten overhovedet vil identificeres i forbindelse med identifikationen. Derfor er der alle disse muligheder for MIM angreb og identitetstyverier, i forbindelse med NemID.

Der kan aldrig blive tale om, at NemID bliver en sikker identifikationsløsning, i dets nuværende udformning. Der er ikke nogen sikker digital relation, mellem identiteten og dennes juridiske myndighed. Her er papkortet ikke en sikker relation ! Papkortet svarer til, at man udsteder en kuglepen, og siger at enhver der underskriver med denne kuglepen, er den samme som en given identitet, og det passer jo ikke.

  • 10
  • 3
#3 Claus Pedersen

Men en kuglepen er jo ikke mere sikker? Så hvis der er tvivl om det faktisk er den rigtige der har underskrevet (analogt eller digitalt), så ville det alligevel være en sag for domstolene.

Jeg kan derfor ikke se hvorfor man ikke skulle bruge NemID hvis det kan gøre det nemmere og sikkerheden minimum er den samme som en analog underskrift.

  • 6
  • 5
#4 Erik Jacobsen

Forskellen på en kuglepen og NemID anvendt som underskrift, er at det med NemID slet ikke er muligt at skelne mellem en underskrift lavet af NemID, udenom dig, og så den underskrift du selv har lavet (dvs. bedt NemID om at lave på dine vegne).

Det er trods alt, i praksis, muligt at se forskel på underskrifter lavet med en kuglepen.

  • 9
  • 0
#5 Anonym

Re: Ikke en digital signatur

Men en kuglepen er jo ikke mere sikker? Så hvis der er tvivl om det faktisk er den rigtige der har underskrevet (analogt eller digitalt), så ville det alligevel være en sag for domstolene.

Jeg kan derfor ikke se hvorfor man ikke skulle bruge NemID hvis det kan gøre det nemmere og sikkerheden minimum er den samme som en analog underskrift.

Det er mulig at foretage en sådan identifikation Digitalt. Altså skabe sammenhæng mellem selve identiteten og "kuglepennen". Det vil tilsvarende kunne overholde almindelig retspraksis, f.eks. med hensyn til underskrifter foretaget med "ført hånd".

Det er primært Digitaliseringsstyrelsen, der hænger i bremsen i den sammenhæng. Men DanID, der jo skulle have leveret en sikker identifikationsløsning, for mange år siden, hænger også meget i bremsen. Problemet ligger nok mest i det økonomiske, og i almindelig jantelov/protektionisme.

  • 1
  • 1
#6 Jes Rasmussen

Fra nettsidene til Nets-DanID (Sitat): "Underskrift med NemID Elektroniske dokumenter og aftaler kan underskrives med NemID. En digital underskrift med NemID forpligter og er lige så gyldig som en underskrift på papir." (Sitat Slut)

I Norge fungerer lignende løsning (BankID)bra og har gjort det lenge. Sikkerheten (utover kryptering og annen sikkerhetsteknikk) ligger i utlevering av aktiverings-løsenord og nøkkelkort papir eller elektronisk). Det er selvfølgelig avgjørende at utlevering skjer tilrett person. Ellers faller hele troværdigheten. Det meste kan signeres elektronisk i følge norsk lovgivning.

Man kan bare håpe at våre danske venner (tjenesteutbydere, myndigheter, banker etc.) får på plass system og lovgivning som muliggjør samme. De samfundsmessige fordeler er store.

  • 1
  • 1
#7 Christian Nobel

Jeg kan derfor ikke se hvorfor man ikke skulle bruge NemID hvis det kan gøre det nemmere og sikkerheden minimum er den samme som en analog underskrift.

Et. Nemmere er en floskel, så lad os bare se bort fra den

To. "NemID" er ikke en digital signatur, jeg gentager "NemID" er ikke en digital signatur, men udelukkende en (endog yderst ringe) SSO løsning.

Tre. Sikkerheden, nåeh sikkerheden for at der kan laves MiM angreb, der sendes kodekort sammen med aktiveringsbreve, udbyderen ikke engang kan finde ud af at opdatere et certifikat, softwaren opfører sig som en trojaner osv. osv - ja det er altsammen meget betryggende.

Herudover så er det tit og ofte sådan at blækunderskriften på en kontrakt er en del af en fysisk handling, hvor parterne ser hinanden i øjnene (så er man sjældent i tvivl om identiteten er rigtig), eller også så skrives der under med vitterlighedsvidner - det vil sige hele ceremonien omkring en kuglepensunderskrift er meget mere seriøs end indlogning via en central overvågningsserver.

Endvidere så findes der slet ikke nogen erhvervsløsning endnu, og hvordan skal man overhovedet bruge en SSO løsning (hvis vi ser bort fra den er ulovlig) til signering?

PS. Det ville være rigtig smart hvis V2's forum kunne acceptere punktnummerering uden selv at lave underlige lister!!!

  • 11
  • 1
#8 Jacob Pind

kigger man på loven omkring digital signatur, er der jo flere ting som springer i øjene, kapitel 2 som definere hvad en digital signatur er, har man senest med 2c stemt nemid ude.

Selv hvis nemid skulle komme med en løsning med Kvalificerede certifikater, vil kapitel 4 , § 5.2 fuldstændig diskvalificeret dem. " 2) beskæftige personale med den fornødne ekspertise, erfaring og kvalifikationer, herunder personale med sagkundskab inden for elektronisk signaturteknologi og indgående kendskab til korrekte sikkerhedsprocedurer i forbindelse hermed,"

https://www.retsinformation.dk/Forms/R0710.aspx?id=6193#K2

  • 4
  • 1
#10 Simon Holm Frandsen

NemID er en udemærket løsning både til identifikation af brugeren og til at signere dokumenter med alm. x509 certifikater. (Nå ja snart kan Erhverv også underskrive dokumenter med NemID :-) )

Det jeg i mine tidligere løsning for en mellemstor dansk bank har fundet svært er at bruge underskriften retsligt til noget. Man kan af DanID kun få brugeres PID og kan dermed ikke sikre at den der skriver under på et juridisk dokument reelt er den som han har udfyldt kontrakten på eller at han i erhverv har prokura eller er tegningsberettiget til det.

Det er ret svært at bruge en underskrift i en retsag når man så finder ud af den er lavet med konens papkort eller det der er værre. (Her forudsætter jeg for at være flink at der ikke er sket identitets tyveri)

Jeg mener man skal skanne sygesikringspapir, pas og alt muligt andet skidt men at få sikkerhed for at underskriften er fra den person som det juridiske dokument omhandler er ret svært.

  • 1
  • 1
#11 Knud Larsen

Nu er det jo sådan, at juristerne er imod alt, der kunne mindske deres omsætning. Så lad være. Et firma forespurgte for 10 år siden vedr. dokumneter med login til en database. Fik nej men kunne ikke få en saglig begrundelse? Fornuftigt nok etablerede firmaet sin nye løsning!

  • 0
  • 0
#12 Rasmus Faber-Espensen

Det jeg i mine tidligere løsning for en mellemstor dansk bank har fundet svært er at bruge underskriften retsligt til noget. Man kan af DanID kun få brugeres PID og kan dermed ikke sikre at den der skriver under på et juridisk dokument reelt er den som han har udfyldt kontrakten på eller at han i erhverv har prokura eller er tegningsberettiget til det.

DanID tilbyder tjenester til enten at verificere at et PID tilhører et givent CPR-nummer eller direkte at få oplyst CPR-nummer ud fra et PID.

Tilsvarende kan man også verificere sammenhænge mellem CPR-numre og medarbejderes RID.

Til gengæld kunne man godt ønske sig at man automatisk kunne se, om en medarbejder var f.eks. tegningsberettiget for en virksomhed. Men problemet er nok, at der kan være vilkårligt komplicerede bestemmelser vedrørende det. Jeg så f.eks. fornyligt et eksempel, hvor direktør og bestyrelsesformand var tegningsberettigede tilsammen, undtaget hvis virksomheden skulle nedlægges, hvor det krævede et flertal af bestyrelsen. Noget sådant er ret svært at formulere i et automatisk system.

Typisk vil man vel håndtere det således, at virksomhedens tegningsberettigede henvender sig til tjenesteudbyderen og bemyndiger en specifik medarbejder (eller flere) til at handle på virksomhedens vegne.

  • 0
  • 0
#15 Christian Kaab Hesselholdt
  • 3
  • 0
#16 Jakob Ottesen

Fuld sikkerhed eksisterer formentligt ikke.

Nej formentligt ikke, men det er som jeg ser det ikke nogen undskyldning for ikke at vælge den bedste MULIGE løsning, og som det er blevet beskrevet masser af gange efterhånden, både i Version2's debattråde og andre steder (f.eks. af IT-politisk Forening) så kunne man sagtens have konstrueret en løsning der fungerede teknisk langt bedre (og ja - med samme niveau af brugervenlighed) inden for de teknologiske muligheder der er til rådighed pt.

Der hvor diskussionen typisk opstår i min verden er når man kommer til omkostningssiden. Ofte, men selvf. ikke altid, er der en sammenhæng mellem pris og kvalitet og valget mellem forskellige løsninger bliver et spørgsmål om hvor mange ressourcer man vil afsætte og hvilken løsning man vurderer giver mest "bang for the buck". Det er her at valget af NemID går fra at være håbløst til decideret talentløst. Som især Stephan Engberg i sin tid fremhævede (tjek de gamle tråde på version2) så er der betydelige økonomiske omkostninger forbundet med nemID løsningen. F.eks. når man vælger at lægge et helt unødvendigt monopolistisk dannet profitlag på digitale transaktioner og når et hav af systemer skal kodes specifikt til nemID løsningen osv. Her taler jeg både om de direkte omkostninger men i den grad også om de afledte omkostninger der er forbundet med tab af økonomisk aktivitet og innovation i fremtiden. Så vi har kort og godt fået en teknisk underlegen løsning til en dyrere pris.

Nej, den 100% sikre løsning findes måske ikke men det er slet ikke dér vi befinder os når vi skal vurdere nemID. Der er tilsyneladende masser af plads til forbedringer inden for vores nuværende teknologiske formåen.

  • 1
  • 0
#17 Per Erik Rønne

Jeg ser så en del it-løsninger, hvor man sætter en indskannet underskrift ind i et dokument.

Hvor ligger sikkerheden der? Jeg ville i hvert fald ikke have besvær ved at sætte Dronningens underskrift på en erklæring om udskrivelse af valg!

  • 1
  • 0
#18 Anonym

Jeg har brugt den slags indscanet underskrift i mange år. Det ser nydeligt ud når man printer et dokument ud.

Sådan bekræfter man ikke sin identitet, i en given situation.

  • 0
  • 0
#19 Michael Nielsen

At NemID, er næsten den værst mulige løsning kan kunne lave, set ud fra et teknisk og sikkerheds synspunkt.

løsningen er kun marginalt bedre end passwords (den beskytter mod replay attacks).

Men er lige så sårbar som et godt stærkt password over for næsten alle gængse angrebs metoder, derved kan man konstantere, at NemID har kun marginalt forbedrede sikkerheden over de gamle "tast-selv" koder som man brugte...

Hvis nogen betvivler det, skal jeg gerne beskrive det udførelig, har endda en præsentation på emnet, jeg gerne sender rundt.

  • 0
  • 3
#20 Christian Kaab Hesselholdt

Jeg må erkende at jeg ikke helt forstår din påstand. Jeg er ikke programmør, men glæder mig over at følge dette forum, hvor der kommer mange meget professionelle indlæg til hvad der rør sig indenfor IT. Jeg har ingen aktie i NEM-id, det kunne garanteret gøres meget bedre, det er jeg ikke i tvivl om. Men jeg oplever samtidig at NEM-id er udsat for en hetz, hvor jeg oplever at sagligheden går tabt. Det virker næsten som om det er organiseret. Så hvis der var en beskrivelse, der kunne forstås af "Ikke programmører" der forklarer hvorfor NEM-id er næsten lige så dårlig som et gammeldags password. Ville jeg være meget taknemlig. Ved NEM-id bruger man da et ny password ved hvert login.

De brud på NEM-id jeg indtil nu har hørt om, har jo krævet en aktiv tilstedeværelse af den IT-kriminelle for hvert enkelt brud. Det kan sikkert automatiseres, men hvilket system kan forhindre den type brud på sikkerheden ?

  • 1
  • 1
#21 Christian Nobel

Christian, jeg synes du skal prøve at læse de debatter igennem der har været om NemID her på V2 - det har ikke skortet på analogier og forklaringer, så det burde ikke være nødvendigt at gentage dem.

Og der er ikke tale om en hetz, men klart kvalificerede udtalelser som modvægt til den det-går-åh-så-godt propaganda som DanID står for, og som politikerne æder råt - faktisk synes jeg du trækker et don't-metion-the-war kort der, og gør dig til talsmand for at kvæle debatten.

Og at tale om "det virker næsten som det er organiseret" er direkte smagløst.

  • 1
  • 3
Log ind eller Opret konto for at kommentere