Sådan fungerer elektronisk signatur i 2026

Introduktion

Elektronisk signatur står i dag i centrum for virksomhedernes digitale transformation: i 2025 har mere end 70 % af de store europæiske organisationer integreret den i mindst én kontraktuel proces (kilde: Gartner, Digital Process Automation Survey 2025). Alligevel er det sjældent, at beslutningstagere forstår præcis de mekanismer, der gør den juridisk gyldig og teknisk usvigelig. At forstå hvordan elektronisk signatur teknisk set fungerer — kryptering, PKI, certificater — gør det muligt at vælge den rette løsning, reducere juridiske risici og fremskynde intern adoption. Denne artikel guider dig trin for trin gennem den tekniske arkitektur og de standarder, der regulerer elektronisk signatur i 2026.

---

Elektronisk signaturens kryptografiske grundlag

Elektronisk signatur er baseret på påviste kryptografiske primitiver. At forstå mekanismerne er at forstå, hvorfor den er mere pålidelig end en scannet håndskrevet signatur.

Asymmetrisk kryptering: offentlig nøgle og privat nøgle

Det grundlæggende princip er asymmetrisk kryptering, opfundet i 1970'erne og standardiseret af algoritmer som RSA (Rivest–Shamir–Adleman) eller elliptiske kurver (ECDSA). Hver signatar har to matematisk forbundne nøgler:

• Den private nøgle: bevares hemmeligt af signatar, på en sikker enhed (chipkort, HSM-token eller beskyttet softwaremodul). Det bruges til at skabe signaturen.
• Den offentlige nøgle: distribueret frit, inkluderet i et digitalt certifikat. Det bruges til at verificere signaturen.

Sikkerhedsprincippet er baseret på en beregningsmæssig asymmetri: det er matematisk trivielt at verificere en signatur med den offentlige nøgle, men praktisk talt umuligt at rekonstruere den private nøgle fra den offentlige nøgle (diskret logaritmeproblem eller primtalfaktoriseringsproblemet).

Hash-funktioner: dokumentets digitale fingeraftryk

Før signering beregner systemet et kryptografisk fingeraftryk af dokumentet ved hjælp af en hash-funktion (SHA-256 eller SHA-3 i 2026). Dette fingeraftryk, kaldet hash eller message digest, er en fast længde tegnstreng (256 bits for SHA-256), der repræsenterer dokumentets indhold unikt.

Væsentlig egenskab: ændring af et enkelt tegn i dokumentet producerer et radikalt forskellige hash. Det er dette, der garanterer dokumentets integritet: enhver ændring efter signering kan straks opdages.

Elektronisk signatur er således kryptering af dette hash med signatarens private nøgle. Ved verificering:

1. Modtageren dekrypterer signaturen med den offentlige nøgle for at få det oprindelige hash;
2. Modtageren beregner selv hashet af det modtagne dokument;
3. Sammenligner de to: hvis identisk, er signaturen gyldig.

---

Public Key Infrastructure (PKI): tillidsnetværket

Kryptering alene er ikke tilstrækkeligt: man skal også bevise, at den offentlige nøgle tilhører den person, der påstår at have den. Det er PKI (Public Key Infrastructure) — eller Public Key Infrastructure — rolle.

Certificeringsautoriteter (CA)

En Certificeringsautoritet (AC eller CA) er en akkrediteret troværdig tredjepart, der udsteder digitale certificater. Et digitalt certifikat er en standardiseret fil (X.509-format), der indeholder:

• Indehaverens identitet (navn, organisation, e-mail);
• Hans eller hendes offentlige nøgle;
• Gyldighedsperiode;
• CA's egen digitale signatur.

I Europa er akkrediterede CA'er anført i Trusted Lists offentliggjort af hver EU-medlemsstat i overensstemmelse med forordning eIDAS. I Frankrig udgiver ANSSI og vedligeholder denne liste. Kvalificerede tjenesteudbydere af tillidsservices (QTSP) — såsom CertSign, Certigna eller Universign — er underlagt regelmæssige revisioner i henhold til ETSI EN 319 401-standarden.

Certificeringskæde og tilbagekaldelse

PKI fungerer på en hierarkisk model:

• En Root CA (Root Certification Authority) selv-signeret, opbevaret offline under maksimale fysiske sikkerhedsforhold;
• Mellemliggende CA'er, der udsteder certificater til slutbrugere.

Tilbagekaldelse af certificater er en kritisk mekanisme: hvis en privat nøgle kompromitteres, udgiver CA sin ugyldighed via en CRL (Certificate Revocation List) eller via OCSP-protokollen (Online Certificate Status Protocol), hvilket tillader realtidsverificering.

For kvalificeret elektronisk signatur i henhold til eIDAS, skal den private nøgle genereres og opbevares i en QSCD (Qualified Signature Creation Device) — certificeret hardware CC EAL4+ eller højere, såsom chipkort eller HSM (Hardware Security Module).

---

De tre niveauer af signatur ifølge eIDAS

Den europæiske forordning eIDAS nr. 910/2014 (og dens udvikling eIDAS 2.0 i implementering) definerer tre niveauer af signatur, hver med stigende tekniske garantier. For at uddybe denne regulatoriske ramme, se vores fuldstændige guide til eIDAS-forordningen.

Simpel elektronisk signatur (SES)

Simpel signatur er teknisk set den mindst krævende form. Den kan være så enkel som en checkbox, en OTP-kode (One-Time Password) sendt via SMS, eller et billede af en håndskrevet signatur. Det indebærer ikke nødvendigvis et kvalificeret certifikat.

Typisk brug: validering af tilbud, marketingsamtykker, kontrakter med lav indsats.

Risiko: begrænset bevisværdi ved eventuel juridisk tvist. Bevisbyrden påhviler den, der påberåber signaturen.

Avanceret elektronisk signatur (AdES)

Avanceret signatur opfylder fire præcise tekniske krav (artikel 26 eIDAS):

1. Den er entydigt forbundet med signatar;
2. Den tillader identifikation af signatar;
3. Den er oprettet ud fra data under signatarens enekontrol;
4. Den tillader detektion af enhver efterfølgende ændring af dokumentet.

I praksis indebærer det brug af et personligt digitalt certifikat og en robust autentiseringsmekanisme. Standardformaterne er defineret af ETSI: PAdES (til PDF), XAdES (XML), CAdES (binære data) og JAdES (JSON), alle standardiseret i ETSI EN 319 100-serien.

Kvalificeret elektronisk signatur (QES)

Kvalificeret signatur er det højeste niveau. Det kræver:

• Et kvalificeret certifikat udstedt af en QTSP akkrediteret af eIDAS;
• En QSCD til oprettelse af signaturen.

Den nyder godt af en lovgivningsmæssig formodning om pålidelighed og juridisk ækvivalens med håndskreven signatur i hele EU (artikel 25 eIDAS). Det er niveauet, der kræves for elektroniske ægte dokumenter, visse notarialakter eller følsomme offentlige udbud.

Vores sammenligning af elektronisk signaturløsninger analyserer praktiske forskelle mellem disse niveauer for at hjælpe dig med at vælge.

---

Fuldstændigt forløb for elektronisk signatur trin for trin

Her er, hvordan en elektronisk signaturtransaktion konkret forløber på en SaaS-platform som Certyneo:

Trin 1: dokumentforberedelse og afsendelse

Signeringsinitiator uploader dokumentet (kontrakt, ændring, indkøbsordre) på platformen. Systemet genererer straks et SHA-256 hash af originalfilen, tidsstemplet og opbevaret uforanderligt. Dette fingeraftryk vil tjene som reference for alle fremtidige verifikationer.

Trin 2: signatarens godkendelse

Alt efter valgt signeringsniveau varierer godkendelsen:

• SES: e-mail + signeringslink;
• AdES: stærk godkendelse (OTP SMS, FIDO2-mobilapp);
• QES: forudgående identitetsverifikation (ansigt-til-ansigt eller video-IDV), udstedelse af et kvalificeret certifikat til engangsanvendelse eller vedvarende brug.

Trin 3: oprettelse af kryptografisk signatur

Signatar udløser signeringsakten. Platformen (eller QSCD):

1. Beregner dokumentets hash;
2. Krypterer dette hash med signatarens private nøgle;
3. Integrerer signaturen og certifikatet i dokumentet (PDF signeret i PAdES-LTV-format til langtidsopbevaring).

Trin 4: kvalificeret tidsstempel

En kvalificeret tidsstempelservice (TSA) svarende til RFC 3161-standarden anbringer et kryptografisk timestamp, der beviser, at signaturen eksisterede på et præcist tidspunkt. Dette beskytter mod datofalsk og garanterer bevisværdi over tid — selv hvis signatarens certifikat senere udløber.

Trin 5: bevisenlig arkivering

Det signerede dokument arkiveres med dets komplette revisionsspor: signatarens identitet, IP-adresse, tidsstempel, dokumenthash, brugte certificater. Dette bevishold (audit trail) er afgørende ved eventuel juridisk tvist. eIDAS-kompatible løsninger opretholder disse beviser i PAdES-LTV-format (Long-Term Validation), der integrerer valideringsdata for at muliggøre verifikation år efter signeringen.

For at forstå, hvordan du integrerer denne proces i dine HR-workflow, se vores løsning til elektronisk signatur for HR og vores kontraktskabeloner til download.

Gældende juridisk ramme for elektronisk signatur

Elektronisk signatur indgår i en multilayer normativ ramme, som artikulerer nationalt borgerret og harmoniseret europæisk ret.

Fransk borgerlig kodeks

Artikel 1366 i den franske borgerlige kodeks opstiller det grundlæggende princip: « Den elektroniske skrift har samme bevisværdi som skrift på papir, under forudsætning af, at den person, som skriften stammer fra, på ordentlig måde kan identificeres, og at skriften er udformet og opbevaret på måder, der sikrer dens integritet. » Artikel 1367 præciserer, at elektronisk signatur « består i brugen af en pålidelig identifikationsprocedure, der garanterer dens forbindelse til den akt, den knyttes til ».

Dekret nr. 2017-1416 af 28. september 2017 definerer formodningen om pålidelighed for kvalificerede og avancerede signaturer, der er kompatible med eIDAS.

forordning eIDAS nr. 910/2014

Hjørnestenen i europæisk ret for digital tillid, eIDAS-forordningen (electronic IDentification, Authentication and trust Services) etablerer en ensartet juridisk ramme for elektronisk signatur, elektronisk segl, kvalificeret tidsstempel, anbefalede afsendelsesservices og webstedsgodkendelsescertifikater. Dens artikel 25, stk. 2, giver kvalificeret signatur en lovgivningsmæssig formodning om ækvivalens med håndskreven signatur i hele EU.

eIDAS 2.0-forordningen (under implementering til 1. kvartal 2026) styrker disse bestemmelser med den europæiske digitale identitetsportefølj (EUDIW) og udvider forpligtelserne til finansielle og sundhedsmærkeder.

ETSI-standarder

Signaturformater standardiseres af ETSI:

• ETSI EN 319 132 (XAdES), EN 319 122 (CAdES), EN 319 102 (PAdES) definerer tekniske profiler for avancerede og kvalificerede signaturer;
• ETSI EN 319 421 regulerer politikker for kvalificerede tidsstempelservices.

GDPR og databeskyttelse

Behandling af identitetsdata i forbindelse med elektronisk signatur (navn, e-mail, biometri til identitetsverifikation) er underlagt GDPR nr. 2016/679. Dataansvarlige skal: have et retsgrundlag (legitim interesse eller kontraktudførelse), anvende minimumsprincippet for databehandling og sikre sikkerhed gennem passende tekniske foranstaltninger (kryptering, pseudonymisering).

NIS2-direktiv

NIS2-direktivet (2022/2555/EU), implementeret i fransk ret siden oktober 2024, pålægger operatører af væsentlige tjenester og leverandører af digitale tjenester (herunder udbydere af elektronisk signatur) styrket cybersikkerhed, risikostyring og anmeldelse af hændelser inden for 24 timer. Manglende overholdelse medfører bøder op til 10 millioner euro eller 2 % af det verden-omfattende omsætning.

Konkrete brugsscenarier for elektronisk signatur

Scenario 1: et erhvervsjuraintekabinet automatiserer signering af mandater

Et erhvervsjuraintekabinet med omkring tolv medarbejdere behandlede i gennemsnit 120 repræsentationsmandater pr. måned. Papirproceduren indebar udskrivning, postafgiftelse eller personlig levering, derefter skanering af returnerede dokumenter — hvilket medførte en gennemsnitlig forsinkelse på 4,5 arbejdsdage pr. sag og en estimeret tab af dokumenter på 8 %.

Ved implementering af avanceret elektronisk signatur (AdES) med OTP-godkendelse reducerede kabinet signeringsforsinkelsen til mindre end 4 timer i gennemsnit, reducerede dokumentanomalien til mindre end 1 % og sparede omkring 2.200 € årligt i porto- og trykomkostninger. Det automatisk genererede revisionsspor forenklede også to mandatbestridelsesprocedurer ved at give uomtvisteligt tidsstemplet bevis. Se vores løsning til juridiske kontorer.

Scenario 2: en lille industrivirksomhed digitaliserer sine leverandørkontrakter

En lille industrivirksomhed, der styrede omkring 200 leverandørkontrakter årligt (indkøbsbetingelser, pristilpasninger, NDA), led under signeringsforsinkelser, der kunne overstige tre uger for grænsekrydsende kontrakter med partner i Tyskland og Spanien. Forskellene i juridiske systemer og manglende gensidig anerkendelse forsinkelede forhandlingerne.

Ved at vedtage kvalificeret signatur (QES) udstedt af en QTSP akkrediteret af eIDAS, anerkendt i alle tre lande, havde virksomheden automatisk juridisk anerkendelse uden yderligere legalisering. Gennemsnittet for grænsekrydsende signeringsforsinkelse faldt fra 18 dage til 2,5 dage. Elektronisk signatur i virksomheden detaljerer disse fordele for indkøbsteam.

Scenario 3: en hospitalsgruppe sikrer patientsamtykke

En hospitalsgruppe med omkring 800 senge skulle indsamle informeret samtykke fra patienter til kliniske forskningsprotokoller. Papirbehandling skabte GDPR-overensstemmelserisici (dårligt arkiverede dokumenter, sporbare datoer) og mobiliserede medicineringspersonale til administrative opgaver.

Ved at integrere simpel elektronisk signatur med SMS-kodeidentifikation — tilstrækkelig for handlinger, der ikke kræver kvalificering — automatiserede hospitalet indsamlingen, arkiveringen og sporbarhed af samtykker. Den administrative tid pr. patient faldt fra 12 minutter til mindre end 2 minutter, frigørende omkring 800 sygeplejestimer årligt. Alle dokumenter arkiveres med kvalificeret tidsstempel, der fuldt ud opfylder CNIL-krav. Udforsk vores signeringslløsning for sundhed.

Konklusion

At forstå, hvordan elektronisk signatur teknisk set fungerer — fra asymmetrisk kryptering til PKI, fra kvalificerede certificater til bevisholdig tidsstempel — er uundværligt for at træffe velafvejet valg vedrørende compliance og operativ effektivitet. De tre eIDAS-niveauer (simpel, avanceret, kvalificeret) opfylder forskellige behov, og valget bør altid være vejledt af juridisk risikoanalyse og forventet bevisværdi.

Certyneo ledsager dig i denne overgang med en eIDAS-kompatibel SaaS-platform, akkrediterede QTSP'er og forenklet integration i dine eksisterende processer. Vurder potentialet for gevinster i din organisation med vores elektronisk signatur ROI-lommeregner, eller kom i gang med vores tilbud og priser. Compliance og performance er ikke længere kompromisser.