Elektroniske signaturer og dokumentmigrering
En signatur kan miste sin gyldighed, når dokumenter flyttes fx i forbindelse med ibrugtagning af et nyt system. Vi forklarer problemet, så du kan tage højde for det.
En elektronisk signatur
På Wikipedia star der bl.a. følgende om elektronisk signatur:
“An electronic signature, or e-signature, refers to data in electronic form, which is logically associated with other data in electronic form and which is used by the signatory to sign.”
And:
“This type of signature provides the same legal standing as a handwritten signature as long as it adheres to the requirements of the specific regulation it was created under”
Sidste citat viser, at behandlet korrekt, har en elektronisk signatur samme gyldighed som en håndskreven signatur.
Det første citat betyder, at signaturen er data i elektronisk form, som logisk hænger sammen med det, der signeres – i vores tilfælde dokumentet. Det betyder for os, at:
En elektronisk signatur er metadata om dokumentet.
At flytte et signeret dokument
Signeringen sker typisk helt konkret ved at brugeren skal indtaste login-information som bekræftelse på signering, og denne hændelse logges på dokumentet selv eller i en fælles hændelseslog.
Det betyder at:
Dokumentets signering er kun dokumenterbar i kraft af systemet.
Så er det oplagt, at disse oplysninger er væsentlige at få med ud af det gamle system og hæfte dem på dokumentet på en eller anden måde, for at signeringen af dokumentet stadig kan dokumenteres.
Skal signaturen have almen gyldighed, skal det være evident at signaturen ikke er blevet forvansket i migreringen. Det kan fortolkes lidt forskelligt, men som minimum må det betyde:
- at man kan vise at migreringen er sket under fuld kontrol
- at linket mellem dokumentet og det data der repræsenterer signaturen er intakt
- at der ikke har været mulighed for at manipulere med det undervejs.
Det kan måske i nogle tilfælde lade sig gøre, at migrere de rå signerings-data og påhæfte dem dokumentet som egentlige metadata i det nye system. Men vi har endnu til gode at se et modtagesystem, som er sat op til det.
Log-liste og signaturside
Oftere går man en anden vej. Man trækker nemlig gerne informationen ud om signaturer – typisk står de i en log – i en oversigt, som person- og tidsfæster signering, og entydigt binder den sammen med et dokument, fx gennem et ID. Listen arkiverer man for eftertiden, så man har sin evidens på plads. Dokumenterne får ved import til det nye system påtrykt en henvisning fx som en versionskommentar, at evidens for signering findes i den liste.
Det er lidt smartere, hvis man kan tage de signeringsoplysninger, som hører til dokumentet, placere dem synligt på en side, og sætte den ekstra side ind i dokumentet. Rigtigt mange elektroniske signeringsløsninger gør rent faktisk præcist det, helt af sig selv, ved hver signering. Er det tilfældet, er vi glade, for da har vi vores signering siddende inde i dokumentet og så er vores bekymringer gjort til skamme.
Hvor kan man læse mere?
For farmaceutiske virksomheder gælder dels FDA 21 CFR part 11 som statuerer, hvad der skal til for at en signatur er valid, og dels er der et nyere guidance dokument for data integritet, hvoraf signatur-data er en del. Selvom andre brancher ikke nødvendigvis skal leve op til disse krav, er de gode at blive klog af, for det er grundlæggende sund fornuft.
ISO standarden 13008, Information and documentation — Digital records conversion and migration process, er en best practice standard. Heri behandles migrering fx ift. til valg af teknologi(er), krav til en migrering, planlægning og test.
Digitale signaturer
Der findes også digitale signaturer, som ikke er det samme som elektroniske signaturer. I Danmark kender vi fx digitale signaturer fra NemID, hvor det er en ekstern part som godkender at vi er den, vi udgiver os for at være.
En migrering af dokumenter signeret med digitale signaturer er ganske anderledes end det ovenfor beskrevne. Signaturen er da nemlig holdt eksternt og ikke i dokumenthåndteringssystemet. Det er ikke den slags signaturer, denne artikel handler om.
Konklusion
En elektronisk signatur er bare et blandt mange konkrete problemer i en migrering af dokumenter. Det er et rigtigt godt eksempel til at illustrere hovedudfordringen i en migrering: At bevare dokumenternes integritet!
Dataintegriteten skal i fokus og det skal understøttes med gode processer og godt værktøj.
Vores erfaringer og bedste råd til at komme godt igennem en kontrolleret migrering, er samlet i vores Guide til dokumentmigrering.