Signature biométrique vs électronique : différences et valeur juridique

Introduktion

I en verden, hvor kontrakternes digitalisering accelererer, består forvirringen mellem biometrisk signatur og elektronisk signatur i mange juridiske og HR-retninger. Alligevel dækker disse to begreber fundamentalt forskellige tekniske realiteter, bevisniveauer og juridiske ordninger. Den ene bygger på fysiologiske data, der er unikke for hver enkelt person; den anden baseres på en kryptografisk mekanisme, der anerkendes af europæisk ret. I 2026, når forordningen eIDAS 2.0 konsoliderer sin udrulning på tværs af Den Europæiske Union, er det ikke længere valgfrit at forstå disse skel: det er en nødvendighed for at sikre dine juridiske handlinger. Denne artikel tilbyder dig en ekspertanalyse af forskellene mellem biometrisk signatur og elektronisk signatur, deres respektive juridiske værdi og valgkriterier i henhold til din forretningskontekst.

---

Hvad er en biometrisk signatur?

Teknisk definition og funktionsprincip

Biometrisk signatur refererer til den proces, hvor en person påsætter sin håndskrevne signatur på et digitalt medium (tablet, stylus), mens den samtidig indsamler adfærdsmæssige biometriske data: tracehastighed, påført tryk, bevægelsesacceleration, hældningsvinkel. Disse parametre udgør et dynamisk fingeraftryk, der er unikt for hver person og vanskeligt at gengive troværdigt af en tredjepart.

Nogle biometriske systemer går længere ved at integrere fysiologiske data som fingeraftryk, ansigtsgenkendelse eller iris, men i forbindelse med dokumentsignering dominerer vektoren for adfærd (håndskrevet signatur digitaliseret med dens metadata).

Hvad biometri ikke garanterer

På trods af sin tilsyneladende robusthed har biometrisk signatur alene store juridiske mangler:

• Den garanterer ikke integriteten af dokumentet efter signering: intet teknisk forhindrer ændringer af indholdet efter påsætning.
• Den bygger ikke på noget digitalt certifikat udstedt af en anerkendt certificeringsmyndighed.
• Dens forbindelse til signeringspartens identitet afhænger helt af indsamlingsenheden og datakoncerveringskæden.
• Den indebærer behandling af biometriske data i henhold til artikel 9 i GDPR, hvilket udløser forstærkede beskyttelsesforpligtelser og forpligtelse til at opbevare disse data sikkert i hele dokumentets opbevaringsperiode.

Sammenfattende er biometrisk signatur en mekanisme for stærk autentifikation, men den udgør ikke i sig selv en elektronisk signatur efter forordningen eIDAS — medmindre den kombineres med andre tekniske mekanismer, der opfylder forordningens kriterier.

---

Hvad er en elektronisk signatur efter eIDAS?

De tre niveauer for elektronisk signatur

Forordningen eIDAS nr. 910/2014 — hvoraf eIDAS 2.0 er revisionen, der er gyldig siden 2024-2025 — etablerer en hierarki på tre niveauer, der hver enkelt tilbyder en stigende grad af pålidelighed og beviskraft:

1. Simpel elektronisk signatur (SES): enhver proces, der gør det muligt at identificere signataren (OTP-kode, afkrydsningsfelt, signaturaftryk). Grundlæggende beviskraft, egnet til akter med lav indsats.
2. Avanceret elektronisk signatur (AES): knyttet på unik måde til signataren, gør det muligt at opdage enhver senere ændring af dokumentet, skabt af data, som kun signataren kontrollerer (privat nøgle). I overensstemmelse med artikel 26 i eIDAS.
3. Kvalificeret elektronisk signatur (KES): højeste niveau, baseret på et kvalificeret certifikat udstedt af en kvalificeret tillidstjenesteudbyder (QTSP) registreret på en tillidslist. Det er juridisk svarende til håndskreven signatur i alle EU-medlemsstater (artikel 25, stk. 2 i eIDAS).

For yderligere information om denne reguleringsarkitektur, se vores komplet guide til forordningen eIDAS 2.0.

Rollen for digitale certifikater og kryptografi

Avanceret og kvalificeret elektronisk signatur bygger på asymmetrisk kryptografi: et nøgleparkryptgraphi (offentlig/privat), en hash-algoritme (SHA-256 eller højere) og et X.509-certifikat udstedt af en certificeringsmyndighed. Dokumentets hash krypteres med signeringspartens private nøgle; enhver ændring af dokumentet ugyldiggør signaturen på uigenkaldelig måde.

Det er denne mekanik, der giver elektronisk signatur kvalificeret dens højere beviskraft: domstolen kan ikke afvise den uden at påvise dens manipulation, i henhold til artikel 1367 i den franske civilcode.

Hvis du ønsker et overblik over markedsløsninger, vil vores sammenligning af elektroniske signeringsløsninger hjælpe dig med at evaluere forskellige udbydere i henhold til disse kriterier.

---

Biometrisk signatur vs elektronisk signatur: sammenligningstabel over vigtige forskelle

Juridisk værdi og beviskraft

| Kriterie | Biometrisk signatur | Simpel elektronisk signatur | Avanceret elektronisk signatur | Kvalificeret elektronisk signatur | |---|---|---|---|---| | eIDAS-anerkendelse | ❌ Nej (undtagen kombineret) | ✅ Ja (art. 3) | ✅ Ja (art. 26) | ✅ Ja (art. 28-32) | | Dokumentintegriteten | ❌ Ikke garanteret | ⚠️ Variabel | ✅ Ja | ✅ Ja | | Juridisk svarende til håndskrevet | ❌ Nej | ❌ Nej | ❌ Nej (formodning) | ✅ Ja (art. 25.2) | | GDPR-følsomme data | ✅ Ja (art. 9) | ❌ Nej | ❌ Nej | ❌ Nej | | Implementeringsomkostning | Mellem | Lav | Mellem | Høj |

Tilfælde, hvor biometri kan supplere elektronik

Der findes scenarier, hvor de to tilgange kombineres på hensigtsmæssig vis: en avanceret eller kvalificeret elektronisk signatur kan integrere et biometrisk autentifikationstrin (ansigtsgenkendelse, fingeraftryk) for at øge sikkerheden for identitet ved oprettelsen af signaturen. I dette tilfælde spiller biometri rollen som en autentificeringsfaktor, ikke som signeringsmekanisme i sig selv.

Dette gælder især i fjernprocesser til onboarding (KYC med øget tvang), hvor identitetsbekræftelse gennem scanning af identitetsdokument og ansigtsgenkendelse går forud for udstedelseaf et kvalificeret certifikat. Denne kombination er i overensstemmelse med kravene i standarden ETSI EN 319 401 vedrørende generelle politikker for tillidstjenesteudbydere.

For at forstå, hvordan disse mekanismer praktisk implementeres i din sektor, beskriver vores guide til elektronisk signatur i virksomheder use cases efter organisationsstørrelse.

---

Hvilke data er påvirket af GDPR i hvert tilfælde?

Biometri: en særlig følsom datakategori

Biometriske data — defineret i artikel 4(14) i GDPR som « data om en fysisk person, der er resultatet af specifik teknisk behandling vedrørende vedkommendes fysiske, fysiologiske eller adfærdsmæssige karakteristika » — falder under artikel 9 i GDPR. Deres behandling er i udgangspunktet forbudt, medmindre der foreligger udtrykkelig undtagelse (eksplicit samtykke, nødvendighed for udførelse af kontrakt med juridisk forpligtelse osv.).

I praksis betyder implementering af en biometrisk signeringsløsning:

• En påkrævet påvirkning på databeskyttelse (DPIA) før iværksættelse (artikel 35 GDPR).
• Udpegelsen af en DPO, hvis ikke allerede gjort.
• En strengt begrænset og dokumenteret opbevaringsvarighed.
• Forstærkede tekniske og organisatoriske sikkerhedsforanstaltninger, herunder kryptering af biometriske templates.
• En dokumenteret juridisk grundlag for hver behandling.

Kvalificeret elektronisk signatur: en mere styret GDPR-profil

Kvalificeret elektronisk signatur behandler ikke biometriske data i henhold til artikel 9. Den bygger på et digitalt certifikat, der forbinder en offentlig nøgle til en persons identitet, hvilket udgør en almindelig personlig databehandling (civil identitet, e-mailadresse, certifikatnummer). GDPR-overholdelsesbelastningen er derfor væsentlig lettere.

Denne forskel undervurderes ofte i anbudskald: en juridisk director, der vælger biometri for dens « modernitet », kan ende med en uforholdsmæssig GDPR-risiko for handlinger, der ikke kræver dette autentificeringsniveau.

---

Hvordan vælger man mellem biometrisk signatur og elektronisk signatur i 2026?

Beslutningskriterier efter aktens art

Det rigtige signatursniveau afhænger af den juridiske risiko, der er forbundet med handlingen, af den påkrævede beviskraft og af følsomheden for behandlede data. Det anbefalede læsegitter er følgende:

• Almindelige handlinger, lav indsats (indkøbsordrer, estimater, accepterede vilkår): simpel signatur tilstrækkelig, biometri unødvendig.
• HR-kontrakter, NDA'er, mandat: avanceret signatur anbefalet — den giver robust sporbarhed og dokumentintegritet uden GDPRs kompleksitet ved biometri.
• Autentiske handlinger, ejendomstransaktioner, digitaliserede notarialakter: kvalificeret signatur obligatorisk eller stærkt anbefalet; biometri kan fungere som autentificeringslag.
• Banksektoren, KYC, fjernbaseret onboarding: kombination af biometri (identitetsbekræftelse) + kvalificeret certifikat til dokumentsignering.

Vores ROI-kalkulator for elektronisk signatur giver dig mulighed for at estimere returneringen af investeringen i henhold til volumen og art af dine handlinger, idet implementeringsomkostninger til GDPR-overholdelse for hver tilgang tages med i betragtning.

Udviklingerne eIDAS 2.0 at overvåge i 2026

EIDAS 2.0 introducerer Den Europæiske Wallet for digital identitet (EUDIW), hvis operationelle udrulning forventes i 2026-2027. Denne wallet gør det muligt for EU-borgere at opbevare deres identitetsattributter — herunder biometriske data — i en certificeret lommebok, der kan bruges til autentifikation og dokumentsignering.

Denne udvikling nærmer de to univers: biometri bliver et certificeret identitetsattribut mobiliserbart i en flow til kvalificeret signering, uden at eksponere rådata for signeringsudbyderen. Det er en væsentlig paradigmeskift, som IT-direktioner og juridiske retninger skal foregribe nu i deres køreplan.

For struktureret overvågning af disse udviklingstrends er Certyneo-guiden til forordningen eIDAS 2.0 opdateres regelmæssigt med de seneste publikationer fra Kommissionen og ENISA.

Gældende juridisk ramme for biometrisk og elektronisk signatur

Fransk civilcode: artikler 1366 og 1367

Artikel 1366 i den franske civilcode etablerer det grundlæggende princip: « Elektronisk skrift har samme bevisenværdi som skrift på papirmedium, bortset fra at den person, fra hvem den stammer, skal kunne identificeres på passende vis, og at den skal være etableret og opbevaret på måder, der garanterer dets integritet. » Artikel 1367 præciserer, at elektronisk signatur « består i brugen af en pålidelig identifikationsprocedure, der garanterer dens forbindelse til den handling, som den vedhæftes ». Den etablerer en formodning om pålidelighed for kvalificeret signatur efter eIDAS.

Biometrisk signatur alene opfylder ikke nødvendigvis integritetsforholdet for dokumenter, som artikel 1366 stiller, medmindre den kombineres med en kryptografisk forseglingsmekanisme for dokumentet.

Forordning eIDAS nr. 910/2014 og eIDAS 2.0 (EU-forordning 2024/1183)

Den originale eIDAS-forordning etablerer tre signatursniveauer (simpel, avanceret, kvalificeret) i artikler 3, 26 og 28-32. Kvalificeret signatur nyder godt af en juridisk effekt svarende til håndskreven signatur i alle medlemsstater (artikel 25, stk. 2), hvilket giver den en unik grænsekrydsende rækkevidde.

EIDAS 2.0 (EU-forordning 2024/1183, i kraft siden 2024) styrker denne ramme ved at introducere Den Europæiske Wallet for digital identitet (EUDIW), kvalificerede elektroniske attestationer for attributter (QEAA) og forstærkede krav til QTSP'er. Det ændrer ikke fundamentalt hierarkiet af signaturer, men regulerer nu brugen af biometriske attributter i identifikationsprocesser.

GDPR nr. 2016/679: særlige forpligtelser for biometri

Artikel 4(14) klassificerer biometriske data som en særlig kategori. Artikel 9 forbyder deres behandling som standard. Artikel 35 foreskriver obligatorisk DPIA forud for implementering. Artikel 83 fastslår bøder på op til 20 millioner euro eller 4 % af det globale årlige omsætning ved alvorlige mangler. CNIL har offentliggjort specifikke retningslinjer for biometriske behandlinger (afgørelse nr. 2022-118), der blandt andet kræver pseudonymisering af biometriske templates og deres separate opbevaring fra det signerede dokument.

Gældende ETSI-standarder

• ETSI EN 319 132: tekniske specifikationer for oprettelse af avancerede elektroniske signaturer (XAdES, CAdES, PAdES).
• ETSI EN 319 401: generel politik geldende for tillidstjenesteudbydere.
• ETSI EN 319 411: krav til certificeringsmyndigheder, der udsteder kvalificerede certifikater.

PAdES-formaterne (PDF Advanced Electronic Signatures) er mest udbredt i B2B-dokumentstrømme og garanterer integritet og ikke-afvisning efter revisionsbare standarder.

Opsummerede juridiske risici

At vælge biometrisk signatur uden kryptografisk integration udsætter virksomheden for tre større risici: (1) modtagelighed for bevis i tilfælde af konflikt, hvis dokumentets integritet ikke kan påvises; (2) GDPR-sanktion for ulovlig behandling af følsomme data; (3) manglende grænsekrydende overholdelse i intra-EU-udvekslinger, hvor kun kvalificeret signatur formodes at være svarende til håndskreven signatur.

Konkrete use cases

Scenario 1: Et advokatfirma, der administrerer mandat og procedurudgifter

Et advokatfirma på 15 medarbejdere, der behandler omkring 400 klientmanddater årligt og mange procedurudgifter, overvejede oprindeligt at implementere en biometrisk signeringsløsning for at modernisere sine signaturprocesser ved klientmøder. Forudgående juridisk analyse afslørede to større forhindringer: mangel på garanti for dokumentintegriteten efter signering og behovet for at gennemføre en komplet DPIA for behandling af de indsamlede adfærdsmæssige data.

Firmaet valgte til slut en avanceret elektronisk signatur (niveau AES) til almindelige manddater og en kvalificeret signatur for handlinger med beløb over €50.000. Resultat: reduktion af gennemsnitlig signaturvarighed fra 4,2 dage til 38 minutter, GDPR-overholdelse opretholdt uden biometrisk databehandling, og øget acceptabilitet blandt klienter på grund af en 100 % fjernproces. Løsninger til advokatfirmaer integrerer disse signaturniveauer som standard.

Scenario 2: En SMV inden for industri med leverandør-onboarding på afstand

En industriel SMV på 180 ansatte, der administrerer omkring 350 leverandørkontrakter årligt med partnere fordelt på 12 europæiske lande, ønskede at accelerere sine kontraktlige processer, mens den sikrede sine juridiske transaktioner på tværs af grænserne. Juridisk ledelse havde oprindeligt indsat biometri i sit specifikationkatalog, tiltrukket af markedsargumentet om « øget autenticity ».

Efter revision var anbefalingen at implementere en kvalificeret elektronisk signatur for alle rammekontrakter og væsentlige ændringer, baseret på en QTSP registreret på Europas Trust List. Biometri (ansigtsgenkendelse) blev bevaret kun som autentifikationstrin ved initial registrering af nye leverandører forud for certificerudstedelses. Observeret resultat: 68 % reduktion af kontraktningsvarighed, eliminering af tvister knyttet til signaturkontestationover de 18 følgende måneder, og valideret overholdelse af DPO'en i 11 af 12 partnerjurisdiktioner.

Scenario 3: Et hospitalsgrupperingsprojekt for patienterklæringer og HR-kontrakter

Et hospitalsgrupperingsprojekt på omkring 900 senge og 2.200 ansatte måtte skelne to dokumentstrømme med modsatrettet krav. For patientkonsentskemaer stiller sanitetsreguleringen (artikler L.1111-4 og L.1111-11 i den franske sundhedscode) krav om sikker patientidentifikation; biometri (fingeraftryk) blev overvejet, men afvist på grund af GDPR artikel 9-begrænsninger og kompleksiteten ved template-administration for en diversificeret befolkning omfattende ældre personer eller personer med nedsat mobilitet. En simpel elektronisk signatur tidsstempel kombineret med autentifikation via kode sendt til patientens telefon blev valgt, i overensstemmelse med CNIL's anbefalinger til denne use case.

For HR-kontrakter (2.200 ansættelseskontrakter, ændringer, stillingsbeskrivelser) implementerede gruppen en avanceret signeringsløsning integreret i sin SIRH og reducerede den administrative behandlingstid fra 3 timer til 12 minutter i gennemsnit pr. dossier, hvilket svarer til en sparet kapacitet på omkring 1.400 timers medarbejdertid årligt. Sundhedssektoren har tilpassede løsninger integrerende disse specifikke reguleringsmæssige begrænsninger.

Konklusion

Biometrisk signatur og elektronisk signatur er to komplementære, men ikke udskiftelige teknologier. Biometri fremstår som en mekanisme til stærk autentifikation af identitet; kvalificeret elektronisk signatur, baseret på kryptografi og certifikater udstedt af anerkendte QTSP'er, er den eneste mekanisme, der tilbyder en juridisk værdi svarende til håndskreven signatur i hele Den Europæiske Union i henhold til eIDAS 2.0.

I 2026 er det rigtige valg ikke den ene eller den anden, men den passende kombination efter arten af handlingen, niveauet af juridisk risiko og GDPR-forpligtelserne for din organisation. At vælge uden metode kan udsætte din virksomhed for uenforcerbare handlinger eller væsentlige regulatoriske sanktioner.

Certyneo ledsager dig i denne analyse med elektroniske signeringsløsninger, der overholder eIDAS, er integrerede og evolutionære. Start gratis eller kontakt vores team for en revision af dine dematérialiserede signeringsbehov.