SES, AES eller QES? Sådan vælger du den rigtige digitale underskrift
Tre niveauer af elektronisk signatur
EU's eIDAS-forordning definerer tre niveauer af elektroniske signaturer, og de bruges ens i hele EU:
- SES — simpel elektronisk signatur: Alle data i elektronisk form, der er knyttet til andre data og bruges som underskrift. Det dækker alt fra et navn skrevet i bunden af en mail til en tegnet signatur på en skærm eller et klik på "Acceptér og underskriv" i en signeringsløsning.
- AES — avanceret elektronisk signatur: En signatur, der er entydigt knyttet til underskriveren, kan identificere vedkommende, er skabt med midler under underskriverens enekontrol og er koblet til dokumentet, så enhver efterfølgende ændring kan opdages. I Danmark er signaturer baseret på MitID det typiske eksempel.
- QES — kvalificeret elektronisk signatur: En AES, der derudover er skabt med et kvalificeret signaturfremstillingssystem og hviler på et kvalificeret certifikat fra en godkendt udbyder. QES har efter eIDAS samme retsvirkning som en håndskreven underskrift i hele EU.
Den vigtigste pointe: alle tre er juridisk gyldige
Her er det, mange leverandører ikke får sagt højt: eIDAS fastslår, at en elektronisk signatur ikke må nægtes retsvirkning, alene fordi den er elektronisk eller ikke er kvalificeret. Og dansk ret har som udgangspunkt aftalefrihed og formfrihed — en aftale er bindende, uanset om den er indgået mundtligt, på papir eller med en SES.
Forskellen på de tre niveauer er derfor ikke primært gyldighed, men bevisværdi: hvor let kan du bagefter bevise, hvem der skrev under, og at dokumentet ikke er ændret? En SES kan bestrides med "det var ikke mig, der klikkede". En AES baseret på MitID er langt sværere at løbe fra, fordi identiteten er verificeret af en betroet tredjepart, og dokumentet er kryptografisk forseglet.
Hvornår er SES nok?
SES er i praksis fint til dokumenter, hvor risikoen for en signaturtvist er lav, og hvor der alligevel findes andre beviser (mailkorrespondance, betalinger, leverancer):
- Tilbud og ordrebekræftelser: Accepten bekræftes typisk alligevel af den efterfølgende handel.
- Almindelige B2B-aftaler: Samarbejdsaftaler, NDA'er og leveranceaftaler mellem professionelle parter, hvor ingen har reel interesse i at bestride sin egen underskrift.
- Interne godkendelser: Politikker, personalehåndbøger, udgiftsgodkendelser, APV-handlingsplaner.
En god SES-løsning logger i øvrigt mere, end folk tror: tidsstempel, e-mailverifikation, IP-adresse og en forseglet audit trail. Det giver en solid bevispakke, selv uden MitID.
Hvornår bør du bruge AES (MitID)?
Vælg AES, når dokumentet har høj værdi, lang levetid, eller når modparten er en privatperson, hvis identitet du ikke kender i forvejen:
- Ansættelseskontrakter: Kontrakten regulerer forholdet i årevis, og tvister opstår typisk først ved en konflikt — netop dér vil du kunne dokumentere identiteten sikkert. AES med MitID er de facto-standarden i Danmark.
- Aftaler med privatpersoner: Lejekontrakter, forbrugeraftaler, samtykkeerklæringer.
- Dokumenter med lovkrav eller høj værdi: Gældsbreve, kautioner, direktørkontrakter, aktionæroverenskomster.
Bemærk: nogle få dokumenttyper har særlige formkrav eller egne digitale systemer — fx tinglysning af skøde og pant, som sker med MitID i det offentlige tinglysningssystem. Er du i tvivl om et konkret dokument med lovbestemt formkrav, så spørg en rådgiver.
Hvad med QES?
QES er relevant, når loven udtrykkeligt kræver "kvalificeret elektronisk signatur", eller når du skal underskrive over for udenlandske parter eller myndigheder, der kræver det højeste niveau. I dansk hverdagsjura mellem virksomheder er behovet sjældent — AES dækker langt de fleste situationer, hvor SES ikke rækker. Skal udenlandske parter uden MitID skrive under, kan de fleste løsninger i stedet bruge andre europæiske eID'er eller falde tilbage på SES med skærpet identitetskontrol, fx verifikation via pas eller kørekort. Vær opmærksom på, at en MitID-baseret signatur som udgangspunkt er en AES; QES kræver et kvalificeret certifikat fra en kvalificeret tillidstjenesteudbyder.
Tre klassiske misforståelser
- "En aftale uden MitID er ikke gyldig." Forkert — dansk ret har formfrihed, og eIDAS forbyder at afvise en signatur, alene fordi den er simpel. Spørgsmålet er bevisværdi, ikke gyldighed.
- "Vi bruger QES for en sikkerheds skyld." QES giver sjældent mere i praksis end AES, men koster mere i pris og friktion for underskriveren. Overdimensionering betyder typisk bare, at færre dokumenter bliver underskrevet digitalt.
- "PDF'en i indbakken er vores bevis." Beviset er den forseglede signaturpakke med audit trail hos signeringsudbyderen — sørg for, at I kan hente og gemme den, også hvis I skifter leverandør.
En enkel tommelfingerregel
- Lav risiko, kendt modpart, kort levetid: SES
- Høj værdi, privatpersoner, ansættelse, lang levetid: AES med MitID
- Udtrykkeligt lovkrav om kvalificeret signatur eller tunge internationale dokumenter: QES
Og uanset niveau: sørg for, at løsningen forsegler dokumentet efter underskrift og gemmer en audit trail — det er dét, der afgør bevisværdien den dag, det gælder.
Sådan hjælper Verkta
Med Verktas e-signatur sender du dokumenter til underskrift på under et minut og vælger niveau pr. dokument: SES til tilbud og interne godkendelser, MitID-baseret signering til ansættelseskontrakter og andre vigtige aftaler. Alle dokumenter forsegles kryptografisk og gemmes med fuld audit trail. Prøv det gratis i 14 dage.
eIDAS-forordningen opererer med tre niveauer af elektronisk signatur. Her er den ærlige guide til, hvornår en simpel signatur er nok — og hvornår du bør kræve MitID.