Enkel elektronisk signering i Altinn 3

[RonnyB71]

Overordnet beskrivelse

Signering innebærer en enkel elektronisk signatur i hht. eIDAS for en handling ifm. en tjeneste i Altinn 3. Det kan f.eks. være at en revisor bekrefter regnskaptallene til et firma. Det finnes flere nivåer av elektroniske signaturer, og dette er det laveste nivået, men som likevel vil være tilstrekketlig for de alle fleste behov ifm. tjenester. Det vil ikke være en god nok signatur for f.eks. eiendomsoverdragelse eller opptak av finansielle forpliktelser som lån etc.

Forventet resultat

Tilby tilsvarende funksjonalitet som de tjenestene som benytter enkel og dobbel signering i Altinn 2 i dag slik at migrering av disse er mulig. Støtte regler for når signering kreves f. eks. hvis et beløp er over en gitt størrelse.

Hvordan skal det fungere?

Bruker skal bli presentert med et eksplisitt grensesnitt sier "Signer", "Bekreft" eller tilsvarende slik at det er tydelig at man foretar en signeringshandling. Systemet på sin side skal logge slike handlinger eksplisitt i tillegg til vanlige logger slik at det er lett å finne i ettertid hvis det etterspørres. Det skal også være mulig å spore om det er gjort endringer på de underliggende dataene etter at signering ble utført for å forhindre at noen påstår de har signert på et annet grunnlag.

Gjennomføring

Oppgaver

Preview Give feedback

1. Analysis and design: Signing Altinn/app-template-dotnet#170
   9 of 12
   Epic +1
2. Revisors bekreftelse Altinn/app-frontend-react#804
   Epic feature-complete org/krt org/skd org/skd/sirius +5
   

Detaljer

**Oppsumering** Mange offentlige tjenester krever en signatur og/eller bekreftelse på innsendinger til offentlige virksomheter.

Relevant veileder
https://www.digdir.no/digital-samhandling/veileder-identifikasjon-og-sporbarhet-i-elektronisk-kommunikasjon-med-og-i-offentlig-sektor/2992

• Logging av aktivitet med autentiseringsinformasjon på bruker (Platform)
• Brukerstyrt delegering av oppgave (Autorisasjon)
• Håndtering av manglende autorisasjon for en oppgave
  -- Gi mulighet til å sende melding til personer som kan utføre oppgaven
  -- Gi mulighet til å angi roller som skal utføre oppgaven
• Datamodell på det som skal signeres/bekreftes
• Deling/videresending fra innboks til andre
• Parallell signering med N aktører, inkludert kontroll på flyt
• • Håndtering av avbrytelser
• • Purring på manglende signering (oppgaveløsning)
• • Oversikt over hvor instansen ligger og hvem den venter på
• Mulighet til å avbryte

Definisjon
"En elektronisk signatur​ som er entydig knyttet til undertegneren, kan identifisere undertegneren, er laget ved hjelp av midler som bare undertegneren​ har kontroll over, og er knyttet til andre elektroniske data på en slik måte at det kan oppdages om disse har blitt endret etter signering." Kilde:https://www.arkivverket.no/veiledere-for-offentlig-sektor/veileder-for-dokumentasjonskrav-for-fullelektroniske-arkivsystemer#!#substep-signering-og-digital-signatur

Levert verdi
Brukere og tjenesteeiere får en trygghet i sporbarhet, proveniens og dokumentasjon på hva som har skjedd i en tjeneste.
Regelverk i offentlig sektor og hos virksomheter oppfylles.
Signeringsløsning slik at man sikrer notoritet rundt signaturene på data og dokumenter som sendes gjennom Altinn, dvs. at de er autentiske, ikke kan endres, sporbare og innfrir kravet til ikke-benektbarhet.

Hvordan vil det virke
Det vil være mulig å definere ulike prosessoppgaver i tjenesten.
Send til signering
Signer [søknad/innsending] og send inn
Signer bekreftelse på søknad/innsending
Signer dokument
Be om signaturrettighet
Deleger signatur
Parallell signering

Samtykke/bekreft innhenting av data fra andre kilder (f.eks innhenting av inntektsopplysninger fra samboer/seg selv i forbindelse med en søknad)

En tjeneste vil til enhver tid ha en audit log som viser hva som skjer i en tjeneste. Denne audit logen vil bli utvidet med dokumentasjon på bekreftelser og signering.

For signering av dokumenter så vil filen inneholde signatur. Det er PDF dokumenter som støttes.

Lovreferanser
Forvaltningsloven §2, boktstav g https://lovdata.no/lov/1967-02-10/§2
eForvaltningsforskriften § 4 [(https://www.regjeringen.no/contentassets/be9697d7e68041e29ffca576c331b4b0/efvf_del2.pdf)]
Lov om elektroniske tillitstjenester/EIDAS forordningen
Forskrift https://lovdata.no/forskrift/2019-11-21-1577/§5 og https://lovdata.no/static/NLX3/32015d1506.pd
Forskrift om utfyllende tekniske og arkivfaglige bestemmelser om behandling av offentlige arkiver (riksarkivarens forskrift) https://lovdata.no/forskrift/2017-12-19-2286/§5-16 (3) Arkivdokumenter kan være påført digitale signaturer basert på offentlig nøkkelkryptografi. Dersom de digitale signaturer inngår i et ikke godkjent format må det inngås avtale med Arkivverket. (er det riktig å anta at dokumentasjonskravene er de samme for fagsystemer i den forstand de skal oppfylle dokumentasjonsplikten, ref ny arkivlov?)

NOARK5
https://www.arkivverket.no/forvaltning-og-utvikling/noark-standarden/noark-5/noark5-standarden/_/attachment/download/f2f1eab5-55c4-475a-8f06-f7f645c4dd7a:0b3cb47721fd3e416629b3b21b913621c4028d2f/Noark%205%20v%205.pdf
Definisjon på elektronisk signatur: Generell betegnelse på teknologi, metoder, regelverk og forvaltnings/tilsynsoppgaver som til sammen sikrer tilstrekkelig tillit til at elektronisk informasjon som er ”signert” stammer fra den avsender som er angitt, og at innholdet ikke er manipulert.

En elektronisk signatur kan brukes som sikkerhet for at elektronisk overført informasjon ikke har blitt endret underveis (integritet), bekreftelse på hvem som sendte informasjonen (autentisitet) og som sikkerhet for at avsender ikke skal kunne benekte at han sendte den (ikke-benekting). Disse funksjonene benevnes som sikring av integritet, autentisitet og ikke-benekting.

Oppgaver
Avklare begreper (sikker autentiseringsmetode, signatur, underskrift, bekreftelse,
Avklare beviskjede og låsing av data ved bruk av sertifikater
Se i sammenheng med Innebygget arkivering
Digital lommebok; nasjonal eID og signeringsløsninger

Altinn 2
https://altinn.github.io/docs/tul/tjenestetyper/innsending/#prosessflyt

Relevante produkter og løsninger
https://samarbeid.digdir.no/esignering/dette-er-esignering/102
https://docs.digdir.no/docs/eSignering/esign_komigang.html
https://eid.difi.no/en/esigning/what-esigning
https://www.altinn.no/starte-og-drive/starte/registrering/elektronisk-signering/
Roller https://www.altinn.no/hjelp/skjema/alle-altinn-roller/
f.eks https://www.altinn.no/hjelp/skjema/alle-altinn-roller/signerer-av-samordnet-registermelding/ men også
se spesielt på Parallell signering
https://www.regnskapnorge.no/faget/artikler/forretningsjus/kompensasjonsordning-2--praktisk-informasjon/