Gå till huvudinnehål
Certyneo

TMD vs TMK : juridiska och praktiska skillnader

TMD och TMK är två digitala förtroendemekanismer med olika juridiska regimer. Upptäck deras konkreta skillnader för att göra rätt val.

Certyneo-teamet10 min lästid

Certyneo-teamet

Skribent — Certyneo · Om Certyneo

Introduktion : varför skilja TMD och TMK ?

I det europeiska ekosystemet för digital tillit väcker begreppen Trustmark för Data (TMD) och Trustmark för Nycklar (TMK) — som motsvarar mekanismer för förtroendemarkeringsdokument respektive för infrastrukturer för kryptografiska nycklar — ofta förvirring bland jurister och IT-ansvariga. Ändå skiljer sig deras juridiska regimer, tekniska omfattning och praktiska konsekvenser fundamentalt. Denna artikel clarifierar dessa två mekanismer, presenterar deras respektive lagstiftningsramar och vägleder B2B-organisationer i valet av den mest lämpade lösningen för deras dokumentflöden.

---

Vad är TMD (Trustmark för Data) ?

TMD, eller förtroendemarkeringsmekanism tillämpd på data, betecknar en uppsättning procedurer och kryptografiska attribut som möjliggör certifiering av integriteten och äktheten hos en datamängd eller ett elektroniskt dokument. Den förlitar sig huvudsakligen på mekanismer för kvalificerad elektronisk förseglin g (qualified electronic seal) enligt eIDAS-förordningen.

Tekniska grunder för TMD

Tekniskt sett baseras en TMD på :

  • En hashfunktion (SHA-256, SHA-3) tillämpad på källdata, som genererar ett unikt digitalt fingeravtryck ;
  • Ett digitalt certifikat utgivet av en Kvalificerad Leverantör av Förtroendetjänster (PSCQ), som garanterar identiteten på den emitterande enheten ;
  • En kvalificerad elektronisk tidsstämpel i överensstämmelse med normen ETSI EN 319 421, som tillhandahåller ett mottagligt tidsbevis.

Dessa tre element kombinerade ger TMD ett högt bevisvärde, jämförbart med ett autentiskt dokument i många EU-medlemsstater. Om du vill veta mer om bevisvärdet för tidsstämplade dokument, konsultera vår kompletta guide till elektronisk signering.

Prioriterade tillämpningsdomäner för TMD

TMD är särskilt lämplig i sammanhang där organisationen måste certifiera integriteten hos stora datamängder utan att kräva aktiv inblandning av en identifierad fysisk person. Den förekommer särskilt inom :

  • Certifiering av redovisnings- och finansiella flöden (revisionsjournal, huvudbok) ;
  • Juridisk bevarande av digitala bevis (lagring i enlighet med standarden NF Z 42-013) ;
  • EDI-utbyten mellan affärspartner i försörjningskedjor.

---

Vad är TMK (Trustmark för Nycklar) ?

TMK, eller förtroendemarkeringsmekanism fokuserad på kryptografiska nycklar, följer en annan logik : den certifierar inte själva data utan infrastrukturer för offentlig nyckel (PKI) och de signaturskapande enheter som används av undertecknare. Den är intimt kopplad till begreppet Kvalificerad Enhet för Signaturskapande (QSCD) definierad i Bilaga II till eIDAS-förordningen.

Kryptografisk arkitektur för TMK

En TMK innebär :

  • En HSM-modul (Hardware Security Module) certifierad CC EAL 4+ eller FIPS 140-2 nivå 3, som garanterar att privata nycklar aldrig lämnar den säkra enheten ;
  • En certifieringspolicy dokumenterad (CPS – Certification Practice Statement) publicerad av PSCQ ;
  • Mekanismer för återkallelse i realtid via OCSP (Online Certificate Status Protocol) eller CRL (Certificate Revocation List).

TMK:s soliditet baseras därför på den fysiska och logiska säkerheten för enheter för generering och lagring av nycklar. För att förstå hur dessa krav är förenliga med det globala regelverket är vår guide till förordningen eIDAS 2.0 en väsentlig referens.

Prioriterade tillämpningsdomäner för TMK

TMK är absolut nödvändig i scenarier där den juridiska ansvar för en identifierad fysisk person måste fastställas med säkerhet :

  • Signering av avtal med högt juridiskt värde (överlåtelse av affärsenheter, kommersiella hyreskontrakt, avdigitaliserade notariedokument) ;
  • Stark autentisering i administrations- och företagsportaler (tullAPI:er, plattformar som Chorus Pro) ;
  • Validering av betalningsorder hos finansiella institut som är föremål för DSP2.

---

Juridisk jämförelse : TMD vs TMK

Den mest strukturerande skillnaden mellan TMD och TMK ligger i deras juridiska anknytning inom eIDAS-förordningen (nr 910/2014) och dess efterföljare eIDAS 2.0 (EU-förordning 2024/1183).

Ansvarregim

| Kriterium | TMD | TMK | |---|---|---| | Ansvarig enhet | Juridisk person (organisation) | Identifierad fysisk eller juridisk person | | Förtroendenivå | Avancerad eller kvalificerad (förseglin g) | Kvalificerad (elektronisk signatur) | | Juridisk presumption | Dataintegritet | Samtycke och identitet på undertecknare | | Gränsöverskridande räckvidd | Automatisk EU-erkännande | Automatisk EU-erkännande (artikel 25 eIDAS) |

TMD förbinder den emitterande enhetens ansvar : om integriteten hos de certifierade data är komprometterad måste organisationen ansvara för detta. TMK förbinder däremot den individuella ansvaret för nyckelinnehavaren — vilket gör det till det oumbärliga verktyget för varje handling där den personliga viljan måste bevisas utan tvetydighet.

Bevisvärde inför franska domstolar

I fransk rätt fastställer artikel 1366 i den civila lagboken att « elektronisk skrift har samma bevisvärde som skrift på pappersunderlag, under förutsättning att det är möjligt att korrekt identifiera personen från vilken den utgår och att det upprättats och bevarats under sådana förhållanden att integriteten kan garanteras ». Denna formulering omfattar båda mekanismerna, men med viktiga nyanser :

  • Ett dokument skyddat av en kvalificerad TMD åtnjuter en presumtion om integritet som vänder bevisbördan ;
  • Ett dokument undertecknat via en kvalificerad TMK åtnjuter dessutom en presumtion om tillskrivning — undertecknaren måste själv bevisa att han eller hon inte undertecknade, vilket är extremt svårt.

Denna asymmetriska bevisregel förklarar varför jurister och juridiska byråer som använder elektronisk signering föredrar TMK för handlingar underställda juridiska formkrav.

Interoperabilitet och ömsesidigt erkännande

eIDAS 2.0 stärker interoperabiliteten via European Digital Identity Wallets (EDIW), som på ett naturligt sätt kommer att integrera TMK-mekanismer för medborgare och professionella. TMD förlitar sig istället mer på nationella förtroendlistor (Trusted Lists) publicerade av varje medlemsstat. Frankrike publicerar sin via ANSSI, och alla kvalificerade PSCQ är registrerade där. För en jämförande analys av marknadslösningar ger vår jämförelse av elektroniska signeringslösningar dig konkreta beslutselement.

---

Praktiska konsekvenser för B2B-företag

Välja mellan TMD och TMK enligt dokumenttyp

Den enkla huvudregeln är : dokumentets juridiska risknivå dikterar vilken mekanism som ska implementeras.

  • Dokument med måttlig risk (beställningar, offert, allmänna villkor, standardavtal om sekretess (NDA)) : en avancerad TMD räcker i allmänhet. Den erbjuder robust dataintegritetsskydd utan merkostnad relaterad till QSCD-kvalificering.
  • Dokument med högt risk (anställningskontrakt, mandat, överlåtelsehandlingar, finansiella åtaganden över 50 000 €) : kvalificerad TMK rekommenderas eller till och med krävs av vissa reglerade sektorer (bank, försäkring, hälsa).

För HR-team som hanterar stora volymer anställningskontrakt erbjuder vår elektronisk signeringslösning för HR naturligt en förtroendenivå anpassad för varje dokumenttyp.

Kostnader och implementeringsleder

TMD är generellt billigare att implementera eftersom den inte kräver stark identifieringsprocess (KYC/AML) för varje undertecknare. Dess integration via API i ett dokumenthanteringssystem (GED) eller ERP tar i genomsnitt 2 till 6 veckor beroende på IT-miljöns komplexitet.

TMK, på grund av QSCD-kraven och identifieringsverificeringsprocessen, innebär en onboarding-tid på 3 till 10 arbetsdagar per undertecknare. För organisationer som hanterar många externa partners kan detta representera en friktionsfaktor att förutse vid förändringshantering.

Arkivering och lagring

Oavsett vilken mekanism som valts måste alla organisationer som är föremål för fransk rätt respektera juridiska lagringsperioder : 10 år för kommersiella kontrakt (artikel L. 110-4 i handelslagboken), 5 år för tillhörande personuppgifter (GDPR artikel 5). Ett bevismässigt lämpligt arkiveringssystem i enlighet med standarden NF Z 42-013 garanterar att TMD:s eller TMK:s juridiska värde bevaras över tid, även i händelse av teknologisk migrering.

Tillämpligt lagstiftningsramverk för TMD och TMK

eIDAS-förordningen och dess utveckling

Det regelstiftande underlaget för TMD- och TMK-mekanismer utgörs av Europaparlamentets och Rådets förordning (EU) nr 910/2014 från den 23 juli 2014, kallad eIDAS-förordningen. Denna grundande text fastställer hierarkin för förtroendenivåer (enkel, avancerad, kvalificerad) och definierar förutsättningarna för gränsöverskridande erkännande av förtroendetjänster inom Europeiska unionen.

År 2024 reviderade förordning (EU) 2024/1183 (eIDAS 2.0) detta ramverk väsentligt och införde särskilt :

  • European Digital Identity Wallets (EDIW) obligatoriska för medlemsstater före 2026 ;
  • Nya kategorier av förtroendetjänster, inklusive kvalificerade elektroniska attributcertifikat ;
  • Stärkt cybersäkerhetskrav för PSCQ (anpassning till NIS2).

Fransk civillag : artiklar 1366 och 1367

I intern rätt fastställer artiklarna 1366 och 1367 i den civila lagen (från förordningen nr 2016-131 från den 10 februari 2016) förutsättningarna för bevisvärdet för elektronisk skrift. Artikel 1367 klargör att kvalificerad elektronisk signatur (baserad på en kvalificerad TMK och en QSCD) « skapar en enkel presumtion om tillförlitlighet ». Denna presumtion kan motbevisas, men den vänder bevisbördan till förmån för undertecknarens mottagare.

Tillämpliga ETSI-standarder

De tekniska specifikationerna för TMD och TMK normaliseras av ETSI (European Telecommunications Standards Institute) :

  • ETSI EN 319 132 : avancerad elektronisk signatur XAdES ;
  • ETSI EN 319 122 : signatur CAdES ;
  • ETSI EN 319 142 : signatur PAdES (PDF) ;
  • ETSI EN 319 421 : policy för kvalificerad elektronisk tidsstämpel ;
  • ETSI EN 319 401 : allmänna krav för PSCQ.

GDPR och dataskydd

Implementeringen av TMD och TMK innebär behandling av personuppgifter (undertecknarens identitet, signaturmetadata). Förordning (EU) 2016/679 (GDPR) föreskriver :

  • En uttrycklig juridisk grund för behandlingen (avtalsutförande, artikel 6.1.b, eller juridisk förpliktelse, artikel 6.1.c) ;
  • Ett behandlingsregister som dokumenterar dataflöden till PSCQ ;
  • Lämpliga avtalsvillkor om PSCQ är etablerad utanför EU eller använder underentreprenörer utanför Europa.

NIS2-direktiv och cybersäkerhet för PKI-infrastrukturer

Direktiv (EU) 2022/2555 (NIS2), som genomfördes i fransk rätt genom lagen från den 17 april 2024, föremål föremål för kvalificerade PSCQ:er under stärkt cyberriskkrav, incidentmeddelanden (24-timmars meddelningsperiod till ANSSI) och periodiska revisioner. För användarföretag innebär detta en ökad due diligence-skyldighet vid val av förtroendeleverantör.

Konkreta användningsscenarier

Scenario 1 : ett litet industriföretag som hanterar 300 leverantörskontrakt per år

Ett mindre industriföretag med cirka hundra anställda, specialiserat på tillverkning av mekaniska komponenter, hanterar årligen cirka 300 leverantörskontrakt (köp av råmaterial, underhållstjänster, logistiska ramavtal). Hittills har dessa dokument använt posten eller osäker e-post, med genomsnittliga underteckningsperioder på 12 till 18 arbetsdagar.

Genom att implementera en kvalificerad TMD-mekanism för kontrakt värderade under 20 000 € och en kvalificerad TMK för större eller fleråriga åtaganden reducerar företaget sina underteckningsperioder till i genomsnitt 1,8 arbetsdagar, vilket är en minskning på över 85 %. De tvister relaterade till utmaningar av dokumentintegritet, som representerade 2 till 3 rättsfall per år, minskar till noll under de 18 månader som följer implementeringen — den juridiska presumtionen associerad med kvalificerade mekanismer avskräcker försök att bestrida dem.

Scenario 2 : en sjukhusgrupp på cirka 600 sängar

En offentlig sjukhusgrupp som leder flera etablissemang måste underteckna årligen flera tusen dokument : avtal för sjukhuspraktiker, kliniska forskningsprotokoll, konventioner med universitetsmotparter och läkemedelsföretag. Hälsosektorn ställer särskilda regulatoriska krav (HDS —HealthData Storage, PGSSI-S).

Gruppen implementerar en kvalificerad TMK för signaturer från praktiker (som förbinder deras medicinska och juridiska ansvar) och en avancerad TMD för certifiering av patientdataflöden mellan etablissemang. Kombinationen av de två mekanismerna möjliggör reduktion av kostnader för utskrift, digitalisering och fysisk lagring med 45 000 € per år och samtidigt stärker GDPR- och HDS-överensstämmelse. Efterlevnadsrevisioner, tidigare kräva 3 veckors förberedelsetid, reduceras till 4 dagar tack vare automatiserade revisionsloggar.

Scenario 3 : ett mellanstort M&A-rådgivningskontor

Ett kontor specialiserat på M&A som tillhandahåller tio operationer per år måste hantera avsiktsförklaringar (LOI), förstärkta sekretessavtal, avtal och överlåtelsehandlingar. Transaktionsvärdet ligger mellan 5 M€ och 80 M€. Ringaste bestridandet av dokumentäktheten kan blockera en transaktion i månader.

Genom att kontraktsmässigt föreskriva användning av kvalificerad TMK för alla transaktionsdokument från due diligence-fasen eliminerar kontoret formella bestridelserisk. Utländska motparter (särskilt brittiska och amerikanska efter Brexit) erkänner bevisvärdet hos eIDAS-kvalificerade signaturer i samband med europeisk tillämplig lag-klausuler. Den genomsnittliga tiden för avslutningsdokumentation minskar från 22 dagar till 8 dagar, vilket är en besparing på 63 % för finalisering.

Slutsats

TMD och TMK är inte utbytbara : det första certifierar dataintegritet på organisationsnivå, det andra förbinder undertecknarens individuella ansvar med maximalt bevisvärde enligt eIDAS. Att förstå denna skillnad är nu en förutsättning för någon seriös dokumentpolicy i B2B-miljö. Valet av rätt mekanism beror direkt på den juridiska risknivån för varje dokumenttyp och de tillämpliga sektorspecifika kraven.

Certyneo hjälper dig att implementera en digital förtroendestrategi som kombinerar TMD och TMK enligt dina faktiska dokumentflöden. Vår plattform hanterar båda mekanismerna, integrerar eIDAS 2.0-kraven och anpassas till din befintliga IT-miljö. Begär en demonstration eller jämför våra erbjudanden på Certyneo prissida — våra juridiska och tekniska experter är tillgängliga för att gratis göra en revision av din situation.

Prova Certyneo gratis

Skicka ditt första signeringskuvert på mindre än 5 minuter. 5 gratis kuvert per månad, utan kreditkort.

Börja gratisSe priser
Alla artiklar

Fördjupa dig i ämnet

Våra kompletta guider för att behärska elektronisk signatur.

Rekommenderade artiklar

Fördjupa dina kunskaper med dessa artiklar som är kopplade till ämnet.

Beräkning av nettolön: Komplett guide 2026

Att förstå beräkningen av nettolön är väsentligt för både arbetsgivare och arbetstagare. Den här guiden för 2026 beskriver varje steg, från bidrag till digitala verktyg.

8 min

Nettolön: Komplett guide 2026

Att förstå nettolönen, dess komponenter och dess beräkning är väsentligt för både arbetsgivare och anställda. Upptäck vår kompletta guide 2026 med officiella siffror och praktiska råd.

8 min

Beräkning av nettolön : Komplett guide 2026

Att förstå övergången från bruttolön till nettolön är väsentligt för varje arbetsgivare eller anställd. Den här guiden för 2026 beskriver varje steg i beräkningen med aktuella satser.

8 min