Undirskrift líffræðileg vs rafræn: munur og réttargildi

Inngangur

Í heimi þar sem stafræn skjöl og samningar flýta sér fram, þá halda margir í lögfræðideildum og HR-deildum áfram að rugla saman líffræðilegri undirskrift og rafrænni undirskrift. Þó eru þessi tvö hugtök mjög ólík hvað varðar tæknilega útfærslu, sönnunargildi og réttarleg kerfi. Annað byggir á einstökum líkamlegum eiginleikum hvers einstaklingsins; hitt byggir á dulmálskerfum sem löggilt er af evrópskum rétti. Árið 2026, þegar reglugerð eIDAS 2.0 festir sig á stofum um Evrópusambandið, er skilningur á þessum aðgreiningum ekki lengur valfrjáls heldur nauðsynlegur til að tryggja réttargildi samninga þinna. Þessi grein veitir þér sérfræðigreining á mun á milli líffræðilegrar og rafrænnar undirskriftar, réttargildi þeirra og valkostum til að velja rétta leið eftir þínum viðskiptakennslum.

---

Hvað er líffræðileg undirskrift?

Tæknileg skilgreining og aðgerð

Líffræðileg undirskrift er ferlið þar sem einstaklingur setur handritaða undirskrift sína á stafrænt efni (spjaldtölva, stílkrita) en tekur jafnframt hegðunarlíffræðileg gögn: hraða línuritsins, þrýsting sem beitt er, hröðun hreyfingar, tillitnæming snúningshornsins. Þessir þættir mynda kraftmikla einstaka svokallaða „fingraför" sem er erfitt fyrir aðra að afrita með nákvæmni.

Sum líffræðileg kerfi fara lengra með því að innlima líkamleg gögn eins og fingraför, andlitskenningu eða áskilningu, en í samhengi um undirskrift samninga er hegðunarvigur (handskrifuð undirskrift með stafrænum eiginleikum) yfirgnæfandi.

Það sem líffræði tryggir ekki

Þrátt fyrir að líffræðileg undirskrift virðist robust, hefur hún stærri lagaleg galla:

• Hún tryggir ekki heilleika skjalsins eftir undirskrift: engu er hægt að koma í veg fyrir tæknilega breytingu á efni eftir að undirskrift hefur verið sett.
• Hún byggir ekki á neinum stafrænum skírteini gefnu út af viðurkenndri vottunaraderkinni.
• Tengsl hennar við auðkenni undirritara eru eingöngu háð söfnun og geymslu gagnanna.
• Hún felur í sér vinnslu líffræðilegra gagna skv. 9. grein ALAK, sem kallar fram styrktari vernd og kvaðir á að geyma þessi gögn á öruggan hátt meðan á varðveislu samningsins stendur.

Í stuttu máli er líffræðileg undirskrift sterk auðkenningarmerkil, en hún myndar ekki, ein og sér, rafreina undirskrift samkvæmt reglugerð eIDAS — nema hún sé tengd öðrum tæknilegum aðferðum sem fullnægi skilyrðum reglugerðarinnar.

---

Hvað er rafræn undirskrift samkvæmt eIDAS?

Þrír stigar rafrænnar undirskriftar

Reglugerð eIDAS nr. 910/2014 — en eIDAS 2.0 er endurskoðun sem hefur verið í gildi síðan 2024-2025 — setur upp stigskiptingu með þremur stigum, þar sem hver um sig gefur meira áreiðanleika og sönnunargildi:

1. Einföld rafræn undirskrift (SES): hvaða aðferð sem auðkennir undirritara (OTP kóði, hakareitir, mynd af undirskrift). Grunnarlegt sönnunargildi, hentugt fyrir viðskipti með lítinn áhættu.
2. Brotin rafræn undirskrift (SEA): tengd á einstakan hátt við undirritara, gerir kleift að kanna allar breytingar á skjalinu eftir undirskrift, búin til með gögnum sem aðeins undirritari stjórnar (einkalykilur). Samkvæmt 26. grein eIDAS.
3. Hálöglega rafræn undirskrift (SEQ): hæsti stiginn, byggir á hálöglegu skírteini gefnu út af viðurkenndri trúarðri þjónustuveitandi (QTSP) skráðri á trúarðarlista ríkis (Trust List). Hún er löglega jafngild handritaðri undirskrift í öllum aðildarríkjum ESB (25. grein, málsgrein 2 eIDAS).

Til að fræðast frekar um þetta eftirlitskerfið, lestu okkar ítarlegri leiðbeiningar um reglugerð eIDAS 2.0.

Hlutverk stafræna skírteina og dulmála

Brotin og hálöglega rafræn undirskrift byggir á ósamhverfu dulmáli: par af lyklum (opinberum/einkakeim), dulmálsaðgerð (SHA-256 eða betri) og X.509 skírteini gefið út af vottunaraðila. Hash skjalsins er dulkóðaður með einkalykilnum undirritara; allar breytingar á skjalinu ógildir undirskriftina óyggjandi.

Þetta er það kerfi sem gefur rafrænni undirskrift með hálöglegum gildi sitt stærri sönnunargildi: dómurinn getur ekki hafnað henni án þess að sýna fram á breytingu hennar, samkvæmt 1367. grein frönsku borgaralöganna.

Ef þú vilt heildaryfirsýn yfir lausnir á markaðinum, okkar samanburður á rafrænni undirskrift lausnum mun hjálpa þér að meta mismunandi veitendur eftir þessum skilyrðum.

---

Líffræðileg undirskrift vs rafræn undirskrift: samanburðartafla lykilmunanna

Réttargildi og sönnunargildi

| Viðfangsefni | Líffræðileg undirskrift | Einföld rafræn undirskrift | Brotin rafræn undirskrift | Hálöglega rafræn undirskrift | |---|---|---|---|---| | eIDAS viðurkenning | ❌ Nei (nema sameinuð) | ✅ Já (3. grein) | ✅ Já (26. grein) | ✅ Já (28-32. grein) | | Heilleiki skjals | ❌ Ekki tryggð | ⚠️ Breytilegt | ✅ Já | ✅ Já | | Jafngildi handskrifaðri undirskrift | ❌ Nei | ❌ Nei | ❌ Nei (forsendu) | ✅ Já (25. grein.2) | | ALAK-viðkvæm gögn | ✅ Já (9. grein) | ❌ Nei | ❌ Nei | ❌ Nei | | Útfærslu kostnaður | Meðaltal | Lágt | Meðaltal | Hátt |

Tilvik þar sem líffræði getur bætt rafræn kerfi

Það eru aðstæður þar sem báðar aðferðir saman geta verið gagnlegar: brotin eða hálöglega rafræn undirskrift getur innlimað líffræðilega auðkenningu (andlitskenning, fingraför) til að styrkja vissu um persónu þegar undirskriftin er búin til. Í þessu tilviki gegnir líffræðin hlutverki auðkenningarstig, ekki undirskriftarkerfis sjálfs.

Þetta á sérstaklega við um fjarkerfisbreytingu (styrkt KYC) þar sem auðkenni framkvæmi með birtingu auðkenniskorta og andlitskenni gengur fram miðlun á útgáfu hálöglegra skírteina. Þessi samsetning er samkvæmt ETSI EN 319 401 stöðlum um almenna stefnu trúarðra þjónustuveita.

Til að skilja hvernig þessum aðferðum er beitt í þinum geira, okkar leiðbeining um rafreina undirskrift í fyrirtækjum skýrir notkunartilvik eftir stærð stofnunar.

---

Hvaða gögn varða ALAK í hverju tilviki?

Líffræðin: sérstaklega viðkvæm gagnaflokkun

Líffræðileg gögn — skilgreind í 4. grein (14) ALAK sem „gögn með persónulegum tengslum sem stafa af sérstakri tæknilegri vinnslu og snerta efnislega, líffræðilega eða hegðunarlega eiginleika einstaklingsins" — falla undir 9. grein ALAK. Meðhöndlun þeirra er að meginreglu bönnuð, nema að einhverju undantekningu (skýrt samþykki, nauðsyn fyrir framkvæmd samnings með lagalegri skyldu, o.s.frv.).

Í framkvæmdinni felur innleiðing á líffræðilega undirskriftarleysu:

• Áhrifagreiningu gagnagæða (DPIA/AIPD) sem er skylda fyrir innleiðingu (35. grein ALAK).
• Skipun á DPO ef ekki þegar gerð.
• Strangt takmörkuð varðveislu og skjalfest.
• Styrktari tæknilegir og skipulagslegar öryggisaðgerðir, þar með talið dulkóðun líffræðilegra sniðmáta.
• Lögleg grundvöllur sem skjalfestur fyrir hverri meðhöndlun.

Rafræn undirskrift með hálöglegum gildi: betra ALAK-snið

Rafræn undirskrift með hálöglegum gildi meðhöndlar ekki líffræðileg gögn samkvæmt 9. grein. Hún byggir á stafrænu skírteini sem tengir opinberan lykil við sjálfsmynd manns, sem myndar óbundna persónulegra gagnameðhöndlun (borgaraleg auðkenni, netfang, skírteinisnúmer). Álagi ALAK-samhæfingar er því verulega minnkað.

Þessi munur er oft vanmetinn í tilboðum: lögfræðiráðherra sem velur líffræðina fyrir „endurnýjun" sinni gæti staðið frammi fyrir óhóflegu ALAK-áhættu fyrir viðskipti sem ekki krefjast þess auðkenningustigs.

---

Hvernig á að velja milli líffræðilegrar og rafrænnar undirskriftar árið 2026?

Ákvarðanasvið eftir eðli verkefnis

Rétt staðreynd for undirskrift fer eftir lagalegri áhættu sem tengist verkefninu, sönnunargildinu sem krafist er og viðkvæmni gagnanna sem unnir eru. Ráðlögð lestur er sem hér segir:

• Almenn viðskipti, lítil hætta (sölupantanir, tilboð, samþykktir skilmála): einföld undirskrift næg, líffræðin óþörf.
• Samningar um mannauðinn, NDA, umboð: brotin undirskrift mælt með — hún veitir áreiðanlega rakstráningu og heilleika skjala án ALAK-flókins líffræðinnar.
• Löglegu athöfn, fasteignaviðskipti, stærðahlutir dómkaup: hálöglega rafræn undirskrift skylda eða mjög ráðlögð; líffræðin getur verið auðkenningarstig.
• Bankageirinn, KYC, fjarkerfis innskráning: samsetning líffræðu (auðkennisathugun) + hálöglegur skírteini fyrir undirskrift samninga.

Okkar ROI reiknivél fyrir rafreina undirskrift gerir þér kleift að áætla avöxtun fjárfestingar eftir magni og eðli viðskipta þinna, þar með talið ALAK-samhæfingaraðferðir fyrir hvern valkost.

eIDAS 2.0 breytingar til að eftirfara árið 2026

EIDAS 2.0 kynnir evrópska stafrænt auðkennisveski (EUDIW), en virk útfærsla er búin fyrir 2026-2027. Þetta veski gerir evrópskum borgurum kleift að geyma auðkennis-eigindi sín — þar með talið líffræðileg gögn — í vottuðu veski, sem hægt er að nota fyrir auðkenningu og undirskrift samninga.

Þessi þróun nálgaðist tvö heim: líffræðin verður vottuð auðkennisvigur sem hægt er að nota í hálöglegu undirskriftarflæði, án þess að birta hrá gögn þjónustuveitu. Þetta er mikil breyting á hugsunarháttum sem DSI-deildir og lögfræðideildir ættu að ætla sér núna í forvarnarstefnu.

Fyrir skipulagða eftirlitsáherslu um þessa þróun, okkar leiðbeining Certyneo um reglugerð eIDAS 2.0 er reglulega uppfærð með nýjustu útgáfum frá Framkvæmdastofnun Evrópusambandsins og ENISA.

Lögfræðilegur rammi sem á við um líffræðilega og rafreina undirskrift

Frönsku borgaralögin: 1366. og 1367. greinar

1. grein frönsku borgaralöganna setur grunn­ síðu að: „Stafrænt skjal hefur sama sönnunargildið og skjal á blaðinu, með því skilyrði að auðkenna megi verðandi sem það kemur frá og að það hafi verið sett og varðveitt á þann hátt sem tryggir heilleika þess." 1367. grein skýrir að rafræn undirskrift samanstendur af „notkun á áreiðanlegri aðferð auðkenningar sem tryggir tengsl hennar við verkefnið sem henni var hengt". Það setur forsendu áreiðanleika fyrir hálöglegri undirskrift samkvæmt eIDAS.

Líffræðileg undirskrift ein og sér fullnægir ekki endilega kröfu 1366. greinar um heilleika skjals, nema hún sé tengd dulmálslestu skjalsins.

Reglugerð eIDAS nr. 910/2014 og eIDAS 2.0 (Reglugerð ESB 2024/1183)

Upprunalega reglugerð eIDAS setur þrjá þrepa undirskriftar (einfalda, brjóta, hálöglegum) í 3., 26. og 28-32. greinum. Hálöglega undirskrift nýtur jafngildi við handskrifaða undirskrift í öllum aðildarríkjum (25. grein, málsgrein 2), sem gefur henni einstaka þjóðarborgaraleggan stærðar.

EIDAS 2.0 (Reglugerð ESB 2024/1183, sem hefur verið lög síðan 2024) styrkir þennan ramma með því að kynna evrópska stafræmt auðkennisveski (EUDIW), hálöglega rafræna eigindi (QEAA) og styrktari kröfur fyrir QTSP. Það breytir ekki stærðargólfi undirskrifta, en setur nú rammann um notkun líffræðilegra eigindi í auðkenningum.

ALAK nr. 2016/679: sérstakar skyldur á líffræðilandi

1. grein (14) skilgreinir líffræðileg gögn sem sérstök flokkun. 9. grein bannar meðhöndlun hennar að öllu jöfnu. 35. grein gerir skyldu til DPIA fyrir framkvæmd. 83. grein leyfir viðurlög sem geta náð 20 milljónum evra eða 4% af árlegum heildarvöruh-turnúsi ef róg bresta. CNIL hefur gefið út sérstakar leiðbeiningar um líffræðilega meðhöndlun (ákvörðun 2022-118), sem krefjast meðal annars gervilækningamörkuðun sniðmáta og aðskilinnar geymslu frá undirskriftuðu skjali.

Gildandi ETSI staðlar

• ETSI EN 319 132: tæknileg skilyrði fyrir gerð brotninna rafrænna undirskrifta (XAdES, CAdES, PAdES).
• ETSI EN 319 401: almenn stefna sem gildir um þjónustuveitendur sem treysta um að treysta.
• ETSI EN 319 411: kröfur fyrir vottunaraðila sem gefa út hálögleg skírteini.

PAdES snið (PDF Advanced Electronic Signatures) eru algengust í B2B skjalflustigum og tryggja heilleika og óumdeilanlegt jarðir samkvæmt stöðlum sem hægt er að endurskoða.

Lagalegar áhættur dregnar saman

Að velja líffræðilega undirskrift án dulmálshlutafalls gerir fyrirtækið fyrir þremur meginóhottum: (1) óviðtekugar sönnunargögn ef ekki má sanna heilleika skjalsins; (2) ALAK-viðurlög fyrir ólöglega meðhöndlun viðkvæmra gagna; (3) þjóðarlögverk að heiti í milliríkjasamskiptum þar sem aðeins hálöglega undirskrift er talin jafngild handritaðri undirskrift.

Raunveruleg notkunartilvik

Tilvik 1: Lögfræðistofa sem gerir umboð og málsgörn

Lögfræðistofa með 15 samstarfsmönnum, um 400 umboð á ári og mörg mál, hafði fyrst ætlað að setja líffræðilega undirskriftarkerfi til að tæknilega uppfæra undirskriftarferlið við viðtöl við viðskiptavini. Réttarleg forskoðun gaf í ljós tvo stærstu vanda: engin þróun heilleika skjals eftir undirskrift og nauðsyn á fullu DPIA fyrir meðhöndlun hegðunargagna sem tekin voru upp.

Lögfræðistofan var endanlegur með brjótinni rafrænni undirskrift (SEA stigi) fyrir almenn umboð og hálöglega undirskrift fyrir viðskipti sem náðu 50.000 € og hærri. Niðurstaða: minnkun á meðalundirskriftartíma úr 4,2 dögum í 38 mínútur, ALAK-samhæfingu með engri meðhöndlun líffræðilegra gagna og betri viðtaka frá viðskiptavinum vegna 100% fjarkerfis. Lausnir sem ætlaðar eru lögfræðistofum innlima þessa undirskrifturstiga í eðli sínu.

Tilvik 2: Lítil fyrirtæki með fjarkerfis innskráningu birgjafélaga

Lítil iðnaðarfyrirtæki með 180 starfsmenn, um 350 birgjasamning á ári með samstarfsaðilum útfærðum á 12 lönd í Evrópu, vildu flýta samningaferlum um leið og tryggðu réttargildi samnings þvert á landamæri. Lögfræðiráðherra hafði fyrst flutt líffræðina inn í skillyrðaskrá fyrir markaðssetningarrök um „styrksmugs auðkenningu".

Eftir úttekt var ábending að setja hálöglegum rafrænni undirskrift fyrir allt rammasamning og breytingar með verulegum fjárlegum áhrifum, með stuðningi QTSP sem var á evrópsku trúarðalista. Líffræðin (andlitskenning) var haldin bara sem auðkenningarstig þegar ný birgjendur voru skráðir inn, áður en skírteini voru gefin. Sá hagnaður: 68% minnkun undirskriftartíma, endalok deila um undirskriftarganga á næstu 18 mánuðum og samhæfingu sem vottuð var af DPO í 11 af 12 landabitum.

Tilvik 3: Sjúkrahúshópur fyrir samþykki sjúklinga og HR-samning

Sjúkrahúshópur með um 900 rúm og 2.200 starfsmenn verðandi að aðgreina tveir skjalflæðir með gagnstæðum skyldum. Fyrir samþykki sjúklinga setur heilbrigðisreglugerð (greinar L.1111-4 og L.1111-11 frönsku heilsulöganna) kröfu um örugga auðkenningu sjúklings; líffræðin (fingarför) hafði verið hugsað en hafnað vegna ALAK-9. greinarkvara og flókins snið sniðmáta fyrir fjölbreytilega hópa þar með talið aldraða og fatlaða. Ein einföld rafræn undirskrift með tímasetningu ásamt auðkenningu með kóða sem sendur var á sími sjúklings var valin, samkvæmt tilmælum CNIL fyrir slíkt notkunartilvik.

Fyrir HR-samninger (2.200 starfssamningar, breytingar, vinnusviðslýsingar), setti hópurinn fram brotin undirskriftarkerfi samþætt við SIRH sitt, sem lækkaði stjórnsýslutíma um 3 tíma í 12 mínútur fyrir dóm og meðaltal, eða um 1.400 starfsklukkustundir á ári. Heilbrigðisgeirinn hefur aðgengilegan lausnir sem samningaðu þessum sértækum reglugerðum.

Ábyrg niðurstaða

Líffræðileg undirskrift og rafræn undirskrift eru tvær viðbótarkerfisúrræði en ekki skiptanleg. Líffræðin er framúrskarandi sem mátkerfis-auðkenning; rafræn undirskrift með hálöglegum gildi, byggð á dulmáli og skírteinum gefnum út af viðurkennum QTSP, er eina kerfið sem veitir réttarlega jafngildi við handritaða undirskrift um allt ESB, samkvæmt eIDAS 2.0.

Árið 2026 er rétti kosturinn ekki annað hvort heldur heldur rétt samsetning fyrir hverja tegund viðskipta, áhættustig og ALAK-skyldur fyrirtækisins þíns. Að velja án aðferðafræði getur útsettu þitt fyrir óviðteknum athöfnum eða verulegum reglugerðaraðilum.

Certyneo fylgir þér í þessari greiningu með rafrænni undirskriftarleysum sem samhæfa eIDAS, samþætt og þróandi. Byrjaðu ókeypis eða hafðu samband við okkar teymi fyrir úttekt á þörfum þínum fyrir stafræna undirskrift.