 |
|
IT-retten.dk  Indhold 1. Introduktion til IT-retten |
|
| Bogen IT-retten - Indholdsfortegnelse - Bilag og links - Tilføjelser mv. - Spørgsmål og svar - Bestil bogen Om denne side - Information - Kontakt |
Indholdsfortegnelse | Forrige kapitel | Næste kapitel Kapitel 4: Sikkerhed og bevishåndtering4.1. Introduktion4.1.a. ProblemstillingenDen foregående redegørelse tegner så småt billedet af de særlige problemer, den digitale teknologi giver anledning til, og som for en stor dels vedkommende reflekteres i denne fremstilling af dansk IT-ret. Inden denne fremstilling er det imidlertid hensigtsmæssigt at se på nogle af disse retsspørgsmål fra den tekniske side. I den tekniske emneverden er der for det første opbygget en terminologi og metode for behandlingen af centrale sikkerhedsspørgsmål, som også får betydning, når disse spørgsmål præsenterer sig i den juridiske fremstilling, jf. herom straks i det følgende. For det andet giver nogle af de tekniske løsningsprincipper anledning til retlige - og retspolitiske - problemstillinger. 4.1.b. De generelle temaerIT-sikkerhed I dagligsprogets betydning betegner ordet sikkerhed visheden for, at en ønsket tilstand vil blive opretholdt. Når den pågældende tilstand har relation til IT taler man om IT-sikkerhed. Dermed kommer IT-sikkerhed - også kaldet "datasikkerhed" og "edb-sikkerhed" - til at betegne den kvalitet, at et IT-system fungerer som forventet. Gør det ikke det, foreligger en såkaldt IT-sikkerhedsbrist. Sådanne brister vil ofte medføre skuffelser, økonomiske tab og besværligheder af forskellig art: Information fra systemet er f.eks. fejlbehæftet, utilgængelig eller skadevoldende (som ved flyovervågningssystemer, lukkeanordninger, signalsystemer mv.). IT-sikkerhedsproblemer præsenteres ofte i fire kategorier. Tilgængelighed Den første kategori angår sikkerheden for, at data er tilgængelige for rette vedkommende. Sikkerhed er her synonymt med driftsmæssig stabilitet. I henseende til denne del af sikkerhedsbegrebet er der ikke den store forskel mellem IT og anden teknologi. At man alligevel ofte fremstiller IT-sikkerhedsrisici som noget særligt, skyldes skrøbeligheden af det digitale medium. Der er flere faremuligheder og et større spring mellem den tilsyneladende lille tue (f.eks. berøring af en følsom elektronisk komponent med en hånd, ladet med statisk elektricitet) og det store læs (komponentens ødelæggelse og heraf følgende flaskehalsvirkninger for hele systemet). Da systemernes hardware bl.a. bygger på finmekanik, kan også utilsigtede fugt- og varmepåvirkninger true IT-sikkerheden. De menneskelige trusler kan enten skyldes uforsigtighed (fejlagtig indtastning af data eller kommandoer) eller forsætlige handlinger (uautoriseret indtrængen i et system med påfølgende fjernelse, ændring, ødelæggelse, anvendelse eller offentliggørelse af data). - retlige problemer Angreb mod et IT-systems funktionalitet vil i almindelighed kunne straffes efter de almindelige regler om hærværk, jf. strfl. § 291, eller efter de skærpede regler om forstyrrelse af kommunikations- og samfærdselsmidler mv., jf. § 193. - forebyggelse I relation til de utilsigtede nedbrud mv. kan sikkerhedsmålsætningen tilgodeses gennem løbende forebyggende og afhjælpende fejlretning og anden vedligeholdelse samt ved at sikre en løbende fyldig dokumentation. Dernæst kan systemet sikres mod kriminelle angreb gennem fysisk eller logisk afskærmning, jf. herom straks nedenfor. En sådan afskærmning kan ligeledes imødegå risikoen for oversvømmelse og lynnedslag. Ligeledes kan der være behov for at sikre systemets forsyning med elektricitet (f.eks. gennem nødstrømsanlæg) og vand (til brug for afkøling). - afhjælpning Hvis nedbruddet er en kendsgerning, må en sikkerhedspolitik søge at afhjælpe de opståede problemer bedst muligt. Man må her sondre mellem genskabelse af systemet (hardware såvel som software) og dets data. Sikkerheden for, at systemets hardware kan genskabes, kan opnås ved aftale med leverandøren om garanterede erstatningsleverancer og med tredjeparter om ret til at drive systemerne fra en anden installation under en genopbygningsfase, jf. om disse såkaldte backup-aftaler i afsnit 4.4.d. Når det gælder genskabelse af data og programmel er den typiske modforanstaltning løbende backup-kopiering (også kaldet sikkerhedskopiering). Ved backup-kopiering af data med personoplysninger må de almindelige regler i lov om behandling af personoplysninger (LBP) iagttages, herunder sikkerhedskravene i § 41. Backup-kopiering af programmel kan altid finde sted, jf. den præceptive hjemmel hertil i ophl. § 36, stk. 1, nr. 2. For virksomheder, der er afhængige af deres IT-baserede informationer, er daglig backup-kopiering sædvanlig, typisk udført i nattetimerne, hvor systemerne ikke er i hyppig anvendelse. I særligt kritiske systemer sker der en løbende backup-kopiering ved, at hele systemet (dvs. såvel programmer som data) "spejles" (dvs. løbende kopieres) over til andet medium. Fortrolighed I en anden kategori falder tilfælde, hvor data uberettiget er kommet uvedkommende i hænde således, at der altså sker brud på fortroligheden af de data, der behandles i systemet (også kaldet konfidentialitet). Vel kendes dette sikkerhedstema også uden for IT-området (f.eks. i form af brud på en almindelig tavshedsforpligtelse eller særlig hemmeligholdelsespligt), men pga. det digitale mediums kompleksitet har temaet en særlig betydning på IT-området: Ikke alene er der blevet flere muligheder for den, der uberettiget ønsker at "lytte med"; det er også blevet vanskeligere at kontrollere, om en aflytning har fundet sted. En detaljeret oversigt over sådanne risici findes hos Grabosky & Smith (1998), s. 19 ff. om retsstridige aflytningsteknikker. Foruden de mere iøjnefaldende veje til en sådan aflytning, der f.eks. består i afluring af passwords eller franarring af samme ved såkaldt "social engineering", omtaler forfatteren de - for mange sikkert overraskende - muligheder, der består for med simpelt og prisbilligt udstyr at aflæse information ved hjælp af de elektromagnetiske bølger, der udsendes fra en edb-skærm (s. 38). Denne form for aflytning har en parallel ved almindelig telefoni, der udføres ved håndholdte trådløse telefoner i hjemmet. De ældre - men fortsat meget udbredte - modeller af denne art betjener sig af analoge radiobølger, der uden videre kan aflyttes af scanningsudstyr, der kan erhverves lovligt i handelen. De strafferetlige problemer, der er forbundet med sådanne handlinger, omtales i afsnit 17.4.a. - retlige problemer Angreb, der realiserer denne type risici vil, ofte - men ikke altid - forekomme i forbindelse med et egentligt retsbrud. To væsentlige eksempler herpå er overtrædelser af straffelovens regler om fredskrænkelser (og herunder navnlig den såkaldte hackerparagraf i straffelovens § 263, stk. 2) og tilsidesættelse af regler om beskyttelse af personoplysninger, jf. LBP. Til samme kategori henregner man typisk også krænkelser af immaterielle rettigheder (f.eks. bestående af ulovlig kopiering af software), ud fra den betragtning, at der også her sker en utilsigtet (uhjemlet) tilegnelse af information (f.eks. i form af en retsstridig eksemplarfremstilling eller spredning). - forebyggelse Når det gælder de midler, der kan tages i brug mod sådanne risici, sondrer man mellem logiske og fysiske sikkerhedstiltag. Et praktisk eksempel på et fysisk sikkerhedstiltag er fysisk sikring af bygninger, adgangskontrol og elektromagnetisk afskærmning. Et eksempel på logiske sikkerhedsforanstaltninger er brug af logisk adgangskontrol, hvorved brugeren afkræves et password bestående af et antal tal og/eller bogstaver for at få adgang til systemet. Passwordet kan eventuelt være indlæst på et magnetisk medium, f.eks. et magnetstribekort, som kendes fra de fleste kreditkort. Password-sikring er derimod mindre velegnet til at sikre mod uberettiget adgang til data, der transmitteres over en teleforbindelse. Sikkerheden ved password-beskyttelsen står og falder med passwordets styrke (fornavnet på brugeren selv eller et nært familiemedlem anses på forhånd som et usikkert password!) og med hvordan man omgås det. En anden hyppigt anvendt sikkerhedstjeneste er her brugen af kryptering. Se nærmere om begrebet kryptering afsnit 4.2. Som her anført kan man betragte kommunikation, der baseres på kryptering, således, at de kommunikerende parter indfører et særligt sprog, der har den anvendte krypteringsalgoritme og de hertil hørende unikke krypteringsnøgler som fællesnævner. Kryptering kan ikke alene finde sted på kommunikationsprocessens applikationsniveau (dvs. i det niveau, som de kommunikerende parter er sig direkte bevidst, som f.eks. når en statshemmelighed transmitteres til en fjern ambassade), men også i relation til de enheder, der benyttes i kommunikationsprocessen (som f.eks. når de servere, der styrer kommunikation via Internet-hjemmesider, foretager kryptering ved brug af SSL-protokollen). - kopibeskyttelse Risikoen for uønsket kopiering af digital information (data såvel som programmel) kan imødegås ved kopibeskyttelse (copy protection) eller ved tiltag, der pga. de besværligheder, man påfører brugeren ved en uautoriseret kopiering (f.eks. anmodning om indtastning af et ord, der står på et nærmere angivet sted i en omfattende manual!), nedsætter incitamentet hertil (copy discouragement). Begge teknikker bygger på et princip om logisk adgangskontrol. Leverandøren indbygger en logisk betingelse i sit program, der skal være opfyldt for, at programmet kan anvendes. I visse tilfælde skal betingelsen opfyldes af brugeren i form af et password. I andre kan den knytte sig til et medium, der fungerer brugeruafhængigt, f.eks. en magnetstribe på et kreditkort. Ægthed Et tredje sikkerhedstema angår sikkerheden for, at data hidrører fra den angivne kilde, også kaldet originalitet, autenticitet eller ægthed. Når data overføres under en kommunikationsproces, ønsker de kommunikerende parter typisk sikkerhed for, hvem den anden part er. Når man bruger ordet originalitet om denne egenskab, bør man være opmærksom på, at sprogbrugen her er anderledes end i juridisk terminologi. Hvor det retlige originalitetsbegreb (således som dette f.eks. anvendes, når man i ophavsretten taler om originalværket og i gældsbrevsretten om det originale pantebrev) knytter sig til tilstedeværelsen af en bestemt informationsmængde (bits) på et bestemt medium (atomer), er det originalitetsbegreb, der anvendes inden for læren om IT-sikkerhed, knyttet til rent kommunikative aspekter: Data er originale, hvis de stammer fra den angivne kilde, uanset om de pågældende data er fuldstændigt identiske med andre data. Integritet Sikkerheden for, at en meddelelse i sin nu foreliggende form svarer til det indhold, den havde på afsendelsestidspunktet, benævnes almindeligvis som sikkerheden for integritet. Dette sikkerhedstema er langt større ved brug af digitale medier end inden for traditionelle medier som f.eks. papir. Hvor det ofte er let at konstatere, om et dokument er blevet forfalsket, kan en digital meddelelse på et magnetisk medium som udgangspunkt forfalskes til perfektion, eftersom det ene eksemplar af meddelelsen er fuldstændigt identisk med det andet. Opdelingen er ikke udtryk for nogen absolut oversigt over IT-risikobilledet. Bl.a. kan det altid diskuteres, hvor grænsen går mellem IT-sikkerhed og anden sikkerhed (f.eks. mod brand, vandskade el.lign.). Problemerne tangeres lejlighedsvis i den IT-retlige litteratur, se f.eks. Seipel (1997), s. 182 ff. For en kort indføring i sikkerhedsproblematikken henvises til IT-sikkerhedsrådet: Danmarks IT-sikkerhedspolitik, et baggrundspapir (1996), navnlig s. 16 f. 4.1.c. AktualitetInteressen for IT-sikkerhedsproblemerne er vokset i takt med den teknologiske udvikling. Udviklingen har for det første medført, at IT kontrollerer stadigt mere vitale og kostbare processer end tidligere. Dernæst har sammensmeltningen af IT og telekommunikation ført til, at IT-systemer, hvis komponenter knyttes sammen over afstande, ikke udelukkende kan sikres gennem individuelle foranstaltninger. Interessen for IT-sikkerhedsanliggender er dermed blevet et lovgivningsanliggende, der berøres såvel nationalt som internationalt. IT-sikkerhedsrådet I 1995 nedsatte regeringen et IT-sikkerhedsråd, der bl.a. fik til opgave at bidrage til at formulere en overordnet dansk sikkerhedspolitik for anvendelsen af IT og telekommunikation. I kommissoriet for rådet hedder det bl.a., at rådet skal pege på de menneskelige og samfundsmæssige risici og interesser, som den moderne informationsteknologi giver anledning til og komme med anbefalinger om, hvordan disse risici kan imødegås, og hvordan modstridende interesser på IT-sikkerhedsområdet kan opvejes. Desuden skal IT-sikkerhedsrådet formulere en plan for, hvordan man bedst beskytter data mod brud på fortrolighed, f.eks. gennem brug af kryptering. Rådet blev under et noget andet kommissorium videreført i 1998, idet det nu også fik til opgave at afgive teknisk/juridiske udtalelser i relation til konkrete IT-sikkerhedsproblemstillinger. I den forbindelse bistås rådet af et ekspertpanel på 20-30 medlemmer. Som nævnt har IT-sikkerhedsrådet i november 1996 udsendt et oplæg til en dansk IT-sikkerhedspolitik med ledsagende baggrundspapir, der indeholder de mere detaljerede overvejelser bag oplægget. I oplægget fremlægger rådet bl.a. en række anbefalinger om, hvordan rammerne for en infrastruktur til kryptering og digital signatur bør tilrettelægges, ligesom rådet udtaler sig om det vanskelige spørgsmål om kryptering og efterforskning. I 1998 har rådet udsendt en redegørelse om Privatliv på Internet, i 1999 en Vejledning om digitale dokumenters bevisværdi og i 2000 en vejledning om Praktisk brug af Kryptering og Digital Signatur. I 2000 har rådet igangsat et større statistisk projekt, der i maj 2001 førte til den første større undersøgelse af virksomheders sårbarhed overfor forskellige typer af IT-risici. Ligeledes i 2001 er der udsendt vejledninger om Internets sårbarhed og om sikkerhed ved e-post og Internet. EU EU-kommissionen har i flere sammenhænge forsøgt at understøtte arbejdet med IT-sikkerhed. Den 7. april 1995 afgav rådet en henstilling om ensartede kriterier for vurdering af informationsteknologisk sikkerhed (95/144/EF), EFT 1995 L 93/27. Henstillingen går ud på, at der i en foreløbig periode på to år vedtages kriterier for vurdering af sådan sikkerhed som led i "visse vurderings- og certificeringsordninger", således at de øjeblikkelige vurderingsbehov i forbindelse med handel og brug af IT-produkter og -tjenester kan dækkes. Samtidig anbefales det, at den særlige arbejdsgruppe vedrørende IT-sikkerhed, SOG-IS, søger at tilstræbe en international harmonisering og standardisering for kriterier til IT-sikkerhed. Indtil dette ønske om harmonisering er opnået henstilles det, at der træffes bilateral aftale mellem medlemsstaterne om anerkendelse af sikkerhedsvurderingscertifikater. Som et markant udtryk for EU's IT-sikkerhedspolitiske arbejde kan nævnes direktiverne om persondatabeskyttelse (95/46/EF) og om elektronisk signatur (99/93/EF). Allerede i dag findes der talrige regler, der kan anskues som udtryk for ønsket om at tilvejebringe en given grad af IT-sikkerhed. Som følge af navnlig EU-myndighedernes bevågenhed kan der fremover ventes mange flere regler af denne karakter. Der er imidlertid ingen juridisk tradition, hverken i IT-retten eller på andre retsområder, for at systematisere regler om sikkerhed under ét. Visse sikkerheds-relaterede regler (de erstatningsretlige regler, betalingsmiddelloven, produktsikkerhedslovgivningen, EMC-lovgivningen) har en præventiv funktion med det primære formål at tilskynde til "sikker" adfærd. Andre (lovgivningen om persondatabeskyttelse) har i højere grad regulerende karakter ved at afklare parternes retsforhold, når forventningerne til en IT-funktion ikke er indfriet. Visse regler (de immaterialretlige) sikrer indehaveren af et produkt eller et system mod skader forvoldt på eller angreb forvoldt mod dette. Andre - og primært de førnævnte offentligretlige regler af præventiv art - søger navnlig at sikre mod skader mv. på tredjemand. Enkelte forsøg er dog gjort på at systematisere reglerne om IT-sikkerhed, se f.eks. Robert Bigelow i 12 CLSR 361 ff. (1996) og 13 CLSR 87 ff. (1997). 4.1.d. Faktisk IT-sikkerhedOversigt IT-sikkerhed kan opnås gennem faktiske foranstaltninger, der enten udfolder sig omkring det pågældende system eller i kraft af funktioner i det. Sådanne foranstaltninger kan hindre forskellige sikkerhedstrusler i at blive aktuelle eller minimere resultatet af utilsigtede følger. Sikkerhed for tilgængelighed kan f.eks. opnås ved at etablere driftssikre systemer (evt. suppleret med nødstrømsanlæg, erstatningssystemer mv.). Hertil må føjes brug af hensigtsmæssige procedurer for backup-kopiering (evt. suppleret med pengeskabe, eksterne deponeringsordninger mv.). Sikkerheden mod indtrængen i IT-systemer kan tilvejebringes gennem fysisk adgangskontrol, personalekontrol eller logisk adgangskontrol som f.eks. kryptering, jf. nærmere herom i afsnit 4.2. Sikkerheden mod udefra kommende naturkræfter kan f.eks. bestå i installering af lynafledere, brandsikringer samt forskellige former for magnetiske indkapslinger. Afvejningen Inden for forskellige IT-discipliner har man forsøgt at anvende muligheden for hurtig og præcis behandling af data til at imødegå dens risici. For mange af de særlige sikkerhedsproblemer, som den digitale teknologi giver anledning til, gælder det, at "The answer to the machine is the machine": at evnen til at foretage beregninger effektivt og hurtigt, som moderne IT giver mulighed for, også rummer muligheden for at foretage sådanne beregninger med rent sikkerhedsmæssige formål, uden at dette "koster" brugeren nævneværdige ressourcer. Gennem automatisk sikkerhedskopiering, "spejling" af datalagre, paritetskontrol af filer (dvs. løbende kontrol med disses størrelser), skjult digital signering og heraf følgende kontrol med de tabeller, der styrer datahåndteringen, kan man løse en ganske stor del af de sikkerhedsmæssige behov, der gør sig gældende. Den egentlige barriere, og det væsentligste modhensyn, der indgår i en sådan afvejning, er imidlertid ofte bekvemmelighedshensynet: Et "godt" password er nærmest pr. definition svært at huske og kræver derfor andre foranstaltninger (f.eks. nedskrivning under sikrede former eller teknikker til passwordgenkendelse). De procedurer, man skal gennemgå i forbindelse med adgangskontrol, vil ofte føles som bureaukratiske i en organisation, hvor man efterhånden kender vagten. Sårbarhedsanalyse Et sikkerheds-koncept må tilpasses de risici, der er aktuelle for den pågældende bruger, hvilket afdækkes gennem en såkaldt sårbarhedsanalyse. Hvor omfattende og følelige, IT-sikkerhedsbrister kan blive, beror bl.a. på, hvor vitale de pågældende data er. Meget informationsafhængige virksomheder, f.eks. inden for den finansielle sektor står og falder med deres IT-systemer. Bl.a. derfor er det navnlig her, man finder de mest veludviklede metoder til IT-sikkerhed. For andre virksomheder kan det derimod være relevant at foretage en nøje afvejning af de tekniske løsninger, der ligger for, overfor de omkostninger af økonomisk og/eller administrativ karakter, som sikkerhedsforanstaltningen vil koste (cost/benefit-analyse). For en lang række trusler vælger man - ofte ubevidst, men sjældent helt uberettiget - at tage risikoen for, at truslen realiseres, frem for at investere de store beløb, der vil være forbundet med at etablere total sikkerhed. Der findes ingen absolutte "løsninger" på et sikkerhedsproblem. De forholdsregler, virksomheden vælger, kan aldrig stå alene. Derfor er det vigtigt, at beslutningstageren har et klart overblik over, hvilke funktioner konceptets enkeltbestanddele tjener. En brandalarm forhindrer f.eks. ikke brande i at opstå, men kan formidle information om en opstået brand så hurtigt og effektivt, at branden kan bekæmpes i tide. Se for en oversigt herover Ole Stougård: Katastrofeplanlægning i Handelsbanken, R&R 1989, nr. 4, s. 24 ff. En grundig analyse af de sikkerhedsproblemer, der er knyttet til datasikkerhed i centraladministrationen, er udsendt af APD i marts 1989: Sikkerhed ved datakommunikation i centraladministrationen. Rapporten er udarbejdet i 1988 af Revisions- og forvaltningsinstituttet og konsulentfirmaet Fischer & Lorenz. En væsentlig del af sikkerhedsarbejdet går ud på at analysere forskellige systemers sårbarhed. Til brug for dette arbejde er der udviklet forskellige teknikker, f.eks. den svenske SårBarheds Analyse (SBA) og den engelske Security Risk Analysis and Management Methodology. Tidsskrifter om IT-sikkerhed beretter undertiden om, hvordan en tilsyneladende formfuldendt overholdelse af sikkerhedsforskrifter helt har mistet sin værdi pga. manglende forståelse for de kritiske aspekter. Som et grotesk eksempel kan nævnes et tilfælde, hvor den backup ansvarlige udførte sit arbejde ved dagligt at klæbe disketterne fast i pengeskabet ved hjælp af magneter! Arbejdet med IT-sikkerhed er en løbende proces, der på den ene side søger at udnytte kendskab til aktuelle sikkerhedsrisici, samtidig med at den på den anden side søger at foregribe fremtidige risici. I mange tilfælde vil sikkerhedsarbejdet basere sig på ukendte formodninger om sandsynligheden af en risiko. F.eks. har usikkerheden om risikoen for elektromagnetisk stråling på den ene side ført til EU-regler vedrørende elektromagnetisk kompatibilitet, men derimod ikke til regler om stråling fra skærmterminalerne. Certificering I takt med den stigende interesse for kvalitetssikring gennem certificering er det blevet stadigt mere almindeligt, at virksomheder indhenter udtalelser fra tredjemand om det IT-sikkerhedsniveau, der er gældende. Et eksempel herpå er de erklæringer, som statsautoriserede revisorer afgiver i henhold til FSR's revisionsvejledninger. I USA, hvor mange virksomheder tillægger værdien af immaterielle rettigheder større betydning end herhjemme, er det ikke ualmindeligt, at advokatfirmaer gennemfører såkaldt "intellectual property audits". Som grundlag for en sådan udtalelse gennemgår advokatfirmaet virksomhedens produktsortiment med henblik på at undersøge, om immaterielle rettigheder i nødvendigt omfang er sikret. Herudover gennemgås licens- og vedligeholdelsesaftaler, salgsmateriale samt aftaler med uafhængige konsulenter mv., idet det bl.a. kontrolleres, om vital kildetekst til programmel leveret af tredjemand er behørigt deponeret. Endelig gennemgås forholdet til medarbejdere i henseende til afståelse af immaterielle rettigheder og ret til konkurrerende virksomhed efter ansættelsen. I samme forbindelse gennemgås medarbejdermanualer og interne sikkerhedsforskrifter. 4.1.e. Særlige reglerAfvejningsproblemet Lovgivningen, navnlig om persondatabeskyttelse, indebærer ofte begrænsninger i friheden til at vælge et sikkerhedskoncept. F.eks. afskærer LBP muligheden for at registrere visse sikkerhedsrelevante personoplysninger om personalet (f.eks. telefonsamtaler, tidligere kriminelle forhold mv.). Ligeledes kan anvendelsen af biometriske systemer til adgangskontrol indebære en registrering af følsomme helbredsoplysninger, som er afskåret. Det er tankevækkende, at et forslag om at etablere et såkaldt borgerkort som løsning på en række centrale sikkerhedsmæssige problemer ved digital kommunikation med det offentlige og mellem borgerne måtte opgives på grund af bekymringer om en heraf følgende overvågning mv. Men det må ventes, at der i fremtiden vil opstå et stort antal situationer, hvor sådanne interesser må afvejes mod hinanden. I sit oplæg fra november 1996 påpeger IT-sikkerhedsrådet den væsentlige IT-sikkerhedspolitiske opgave, der ligger i at foretage sådanne afvejninger, se herved oplægspapiret, s. 15 f. og mere udtømmende baggrundspapiret s. 29 ff., om de enkelte IT-sikkerhedspolitiske hensyn, og s. 35 ff. om afvejningsproblemet. I det følgende omtales nogle regler, der i forskellige henseender regulerer - og i den forbindelse understøtter - sikkerhedsmæssige løsninger. Erstatningsregler De regler, der sikrer tredjemand mod følgerne af en IT-sikkerhedsbrist, må først og fremmest udledes af den almindelige erstatningsret, jf. kapitel 18. I praksis udgør de erstatningsretlige regler formentlig en af de væsentligste motivationsfaktorer på IT-området. Hvor der typisk gælder en øvre grænse for omfanget af de fiskale eller strafferetlige retsfølger, gælder dette principielt ikke for de erstatningsretlige, sml. dog EAL § 24. Alene tanken om de vidtrækkende beløb, der kan blive følgen af en IT-fejl, vækker med god grund bekymring. Ingen IT-systemer er fejlfri (endsige kan være det), og de fejl, der kan opstå, kan som følge af kopieringsmuligheden reproduceres i det uendelige. Navnlig har leverandørerne - af forståelige grunde - været bekymrede for, om salg af standardprogrammel på det åbne marked er undergivet et objektivt produktansvar. I givet fald vil dette uden tvivl indgå som en væsentlig faktor såvel ved valget af de produkter, producenten sender på markedet, som ved tilrettelæggelsen af selve produktionsprocessen. Mere detaljerede regler om IT-sikkerhed kender IT-retten kun på ganske enkelte områder. LBP LBP kapitel 11 indeholder en generel regulering af kravene til behandlingssikkerhed ved behandling af personoplysninger. Ifølge § 41 skal den dataansvarlige og/eller databehandleren træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven. For oplysninger, som behandles for den offentlige forvaltning, og som er af interesse for fremmede magter (f.eks. CPR-registeret), skal der træffes foranstaltninger, der muliggør bortskaffelse og tilintetgørelse i tilfælde af krig el.lign. Ved bekendtgørelse nr. 528 og 535 af 15. juni 2000 har Justitsministeriet fastsat nærmere regler om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for henholdsvis den offentlige forvaltning og domstolene. Der er tale om rammebestemmelser, der bl.a. pålægger den dataansvarlige at fastsætte nærmere interne sikkerhedsbestemmelser, herunder om organisatoriske forhold (hvem har sikkerhedsansvaret for hvad), fysisk sikring, adgangskontrol og autorisationsordninger. For behandling af personoplysninger i den private sektor samt for den offentlige forvaltnings behandling af personoplysninger i manuelle register gælder lovens regler om sikkerhed umiddelbart. Som nævnt gælder de nævnte forpligtelser såvel for databehandlere som for dataansvarlige. For at sikre, at databehandleren rent faktisk efterlever disse lovkrav, foreskriver § 42, at den dataansvarlige ved overladelsen af databehandlingsopgaven til databehandleren skal sikre sig, at vedkommende kan træffe de nævnte sikkerhedsforanstaltninger. Ligeledes foreskriver bestemmelsens stk. 2, at der skal foreligge en skriftlig aftale mellem parterne herom. Ifølge § 41 må personer og virksomheder, der udfører arbejde under den dataansvarlige eller databehandleren (jf. om disse begreber LBP § 3, nr. 4-5), og som får adgang til oplysninger, kun behandle disse efter instruks fra den dataansvarlige. Bestemmelsen modvirker, at personer, der udfører opgaver med persondatabehandling på den dataansvarliges eller databehandlerens vegne (som altså ikke selv formodes at have ret til at behandle de pågældende oplysninger), ikke disponerer på egen hånd, og i konsekvens heraf, at ansvaret for denne databehandling kan rettes mod den dataansvarlige eller databehandleren. Visse betalingsmidler Efter § 4, stk. 2, i lov om visse betalingsmidler skal et betalingssystem indrettes og virke således, at der sikres brugerne gennemsigtighed, frivillighed, beskyttelse mod misbrug samt fortrolighed om brugerens anvendelse af betalingsmidlet. Bestemmelsen fastslår i tillæg hertil, at der løbende skal træffes de juridiske, organisatoriske, driftsmæssige, tekniske og sikkerhedsmæssige foranstaltninger, som er nødvendige for, at der er tale om et sikkert og velfungerende betalingssystem. Forbrugerombudsmanden påser, at betalingskortsystemer indrettes og virker således, at der sikres brugerne overskuelighed, frivillighed og beskyttelse mod misbrug og at fornødne kontrol-, sikkerheds- og korrektionsprocedurer er etableret og skal - om muligt ved forhandling - søge eventuelt kritisable forhold bragt til ophør. Telebekendtgørelsen Ifølge § 30 i bekendtgørelse nr. 1169 af 15. december 2000 om udbud af telenet og teletjenester (telebekendtgørelsen) skal udbydere af offentlige telenet eller teletjenester sikre, at trafikdata vedrørende slutbrugere slettes eller anonymiseres efter samtalens afslutning, jf. dog stk. 2-5. Ligeledes fastslår bekendtgørelsens § 31, at udbyderne med henblik på sikring af netsikkerheden skal træffe passende tekniske og organisationsmæssige foranstaltninger for at beskytte de udbudte tjenester. Dette skal om nødvendigt ske i samarbejde med ejeren eller udbyderen af det anvendte telenet. Nøglecentre Forskningsministeren har ved bekendtgørelse nr. 923 af 5. oktober 2000 givet regler om sikkerhedskrav til nøglecentre (dvs. certificeringscentre, jf. herom i afsnit 4.2). Bekendtgørelsen indeholder en i det væsentligste formel regulering af sikkerhedsprocedurerne i et nøglecenter. Således pålægges nøglecentret at udarbejde en certificeringspolitik (CP), som angiver det sikkerhedsniveau, nøglecentret anvender i forbindelse med udstedelse og administration af kvalificerede certifikater, § 2, stk. 1. Dernæst skal nøglecentret i en certificeringspraksis (CPS - "Certification Practice Statement") beskrive de procedurer, som nøglecentret og de virksomheder og myndigheder, som nøglecentret har outsourcet opgaver til, anvender i forbindelse med udstedelse og administration af kvalificerede certifikater, § 2, stk. 2. Begge dokumenter skal godkendes af nøglecentrets daglige ledelse. De materielle krav til nøglecentrets sikkerhedsniveau er angivet i en retlig standard, jf. § 3. Således skal nøglecentret "træffe passende foranstaltninger for at sikre, at nøglecentrets drift hurtigst muligt kan genoptages i tilfælde af systemnedbrud, såfremt nøglecentrets private nøgle er blevet kompromitteret, eller der er mistanke herom". Bogføring I tilknytning til den bogføringsretlige generalklausul, jf. § 6, stk. 1, 1. pkt., i lov nr. 1006 af 23. december 1998 om bogføring, foreskriver bestemmelsens andet pkt., at bogføringen skal tilrettelægges og udføres således, at regnskabsmaterialet ikke ødelægges, bortskaffes eller forvanskes, ligesom det skal sikres mod fejl og misbrug. NATO I Statsministeriets cirkulære af 1. september 1997 er der givet detaljerede regler om, hvorledes oplysninger, der er af fælles interesse for NATO-landene, som er klassificerede eller i øvrigt af sikkerhedsmæssig betydning, sikres. Cirkulæret, der finder anvendelse inden for forsvaret, fastslår en række klassifikationsgrader og hertil hørende regler om, hvem der kan få adgang til informationer inden for de enkelte klassifikationsgrader, og hvordan de skal sikres. Hvad angår de NATO-relaterede oplysninger, er Danmark forpligtet til at yde sådanne oplysninger en særlig beskyttelse i henhold til en aftale mellem NATO-landene. Denne pligt er præciseret i et NATO-dokument. Reglerne er for så vidt obligatoriske, men kan finde anvendelse vedrørende oplysninger, hvor der i øvrigt består en offentlig beskyttelsesinteresse. DS 484-1 I forbindelse med de retsregler, der på disse forskellige områder regulerer IT-sikkerheden, er det relevant at nævne den Norm for edb-sikkerhed, som Dansk Standard har udstedt den 21. januar 2000. Normen er udarbejdet med udgangspunkt i de krav, der er defineret i den britiske standard BS 7799, Code of Practice for Information Security Management, men indeholder en række sikringsforanstaltninger, der ikke er indeholdt i dette dokument. Formålet med normen er at skabe et grundlag for virksomhedens sikkerhedsmæssige målsætning, der bl.a. kan fungere som referenceramme i beslutninger om anskaffelse og implementering af IT-løsninger. Det er en gennemgående tanke i denne og andre normer om IT-sikkerhed, at det er ledelsen i den pågældende virksomhed (og altså ikke driftsfunktionen), der har ansvaret for disse beslutninger. Ved denne angivelse af en ansvarlig personkreds adskiller denne norm sig fra andre tekniske standarder, der almindeligvis blot beskriver kravene til en funktion eller procedure. Systemrevision Talrige lovregler, bl.a. inden for det finansielle område, indeholder regler om gennemførelse af såkaldt systemrevision. Eksempler herpå er bekendtgørelse nr. 693 af 31. august 1999 om systemrevisionens gennemførelse i fælles datacentraler på forsikrings- og pensionsområdet, bekendtgørelse nr. 820 af 12. december 1991 om systemrevisionens gennemførelse i fælles datacentraler, bekendtgørelse nr. 960 af 7. december 1992 om systemrevisionens gennemførelse i Værdipapircentralen samt § 5, stk. 2, i lov om elektroniske signaturer (LES), der foreskriver systemrevision gennemført i nøglecentre (CA'er), der udsteder kvalificerede certifikater. En systemrevision indebærer, at der udpeges en udefra kommende troværdig tredjepart - typisk en statsautoriseret revisor med særlig uddannelse - som gennemgår de IT-systemer, der er afgørende for troværdigheden af de data, der anses for kritiske i det pågældende system. Denne gennemgang sker på grundlag af en særlig systemrevisionsinstruks og i samarbejde med en systemrevisionsafdeling, der er funktionelt adskilt fra drifts- og regnskabsfunktionerne i den pågældende organisation. I erklæringen udtaler den udpegede systemrevisor sig om, hvorvidt den samlede data-, system- og driftssikkerhed efter systemrevisors opfattelse må anses for betryggende og i overensstemmelse med de regler, der gælder i medfør af det pågældende lovgrundlag. Anmærkninger i denne erklæring vil i almindelighed resultere i en pligt for den daglige ledelse og bestyrelsen til at reagere. Tilsidesættes denne pligt kan der tænkes at indtræde såvel straf- som erstatningsansvar. 4.2. Kryptering og digital signatur4.2.a. Det tekniske problemNår digital information fremstår med sin karakteristiske løse tilknytning til et medium, opstår risikoen for, at disse data tilegnes af uvedkommende (tab af fortrolighed) eller at data ændres uautoriseret på en måde, som den rette bruger ikke kan konstatere. Sådanne risici kan både aktualisere sig under kommunikation, og når data foreligger lagret på mediet. Angreb på lagrede data kendes bl.a. fra den form for kriminalitet, der almindeligvis benævnes hacking. Ved digital kommunikation, hvad enten der er tale om digital telefoni (GSM-telefoni), e-post, web-surfing, EDI eller andet, sker der en udveksling af bitstrenge, der i kraft af de anvendte protokoller og sprog sammensætter sig som menneskelæsbar tekst, grafik, billeder, lyd etc. Hvis sådanne bitstrenge sendes gennem ubeskyttede netværk (f.eks. som radiosignaler gennem luft eller som TCP/IP-segmenter via Internet), opstår en række særlige sikkerhedsproblemer. Der er almindelig enighed om, at måden til at beskytte sådanne data på er ved brug af kryptografiske funktioner. Fortrolighed Som allerede nævnt kan sikkerheden mod tab af fortrolighed tilvejebringes gennem teknikker, der enten afskærer den fysiske adgang til det system, der indeholder data (f.eks. gennem adgangskontrol mv.), lægger logiske begrænsninger på muligheden for at komme ind i systemet (gennem brug af passwords mv.) eller som modificerer de pågældende data, således at de kun er forståelige for brugere, der kender den procedure, hvorigennem denne modifikation har fundet sted (kryptering). I tillæg til disse førnævnte sikkerhedsmål (tilgængelighed, fortrolighed, ægthed og integritet) opstår der to yderligere sikkerhedsspørgsmål, når man vil anvende digital kommunikation som grundlag for aftalestiftelse mv. Uafviselighed For det første vil der ofte være behov for at skulle bevise, at meddelelsen er afsendt henholdsvis modtaget. I papirets verden kan behovet for denne uafviselighed løses ved udstedelse af kvitteringer eller brug af anbefalede breve. I papirets verden markeres meddelelses-uafviselighed, dvs. sikkerheden for, at indholdet ikke har ændret sig siden afgivelsen, ofte ved en underskrift, der typisk placeres på sidste side, eller ved initialisering af hver side af dokumentet. Til sammenligning opfylder skriftlige signaturer (underskrifter) langt fra altid behovet for at fastslå afgiverens identitet og meddelelsens integritet. At en underskrift er ulæselig fratager den dog ikke sin gyldighed, jf. U 1978.856 Ø, hvor der kunne iværksættes vekselsag, selv om underskriften var ulæselig, idet vekselunderskriverens identitet kunne fastslås. Tinglysningspraksis går i samme retning, jf. U 2000.1635 ØLK, hvor en underskrift på et pantebrev fandtes behørig, selv om den ikke indeholdt underskriverens fulde navn (som derimod var angivet ved maskinskrift). I praksis påføres mange underskrifter ved rent formelle handlinger (f.eks. til opfyldelse af regler om prokura i en virksomhed). Dette har formentlig været medvirkende til en stigende anerkendelse af automatiske underskrifter, f.eks. med et faksimile-stempel, jf. f.eks. om checks U 1992.753 Ø og Søren Theilgaard: Checkret (1998), s. 34 med note 14. Som det fremgår indebærer flere af disse fremgangsmåder begrænsninger. Beviset for, at en skriftlig meddelelse er afsendt via det almindelige postvæsen på et bestemt tidspunkt, sikres forskelligt af henholdsvis afsender og modtager. Afsenderen kan udbede sig en kvittering, der sammen med en genpart af den afsendte meddelelse kan indicere, hvad han sendte, og hvornår. Omvendt kan modtageren fremvise en kuvert med en påstemplet tidsangivelse (medmindre dokumentet er frankeret med en hjemmefrankeringsmaskine). Begge disse bevismidler lider imidlertid under den svaghed, at de alene knytter sig til kuverten. Kvitteringen/stemplet indebærer principielt intet bevis for, hvilken meddelelse kuverten indeholdt. Til at belyse dette er det i almindelighed nødvendigt at føre et sammenhængsbevis (jf. om dette begreb afsnit 4.3.d.), hvorved det f.eks. må komme modtageren af et tomt anbefalet brev til skade, at han ikke reagerer overfor afsenderen. Det indgår i vurderingen af, hvilken type meddelelse der er tale om. I den digitale verden løses dette problem gennem flere metoder. Sikkerheden for, at en meddelelse havde et bestemt indhold, kan opnås gennem kryptering eller digital signatur, jf. herom nedenfor. Sikkerheden for, at den er kommet frem til modtageren, kan opnås gennem brug af troværdige tredjeparter, der registrerer parternes kommunikation. Tidsmæssighed Herudover kan der opstå spørgsmål om sikkerheden for, at en informationsmængde er født henholdsvis transmitteret på et bestemt tidspunkt (tidsmæssighed). Også her kræver sådanne teknikker brug af troværdige tredjeparter. Nutidens IT-systemer er alle forsynet med et ur, der knytter tidsangivelse til den enkelte datalagring, men tidsangivelsen herpå sættes af den enkelte bruger. Sikkerhed for, hvornår en meddelelse er lagret, sendt eller modtaget, kræver igen brug af en troværdig tredjepart og et hertil hørende regelsæt, således som det f.eks. kendes fra værdipapir- og tinglysningsområdet. 4.2.b. KryptografiKryptografi betyder kodelære. Når informationer lagres i et sprog, der ikke kan læses af udenforstående, taler man om, at de er krypterede (af græsk: kryptos = skjult, grafein = skrive). Meddelelsen er dermed lukket for omverdenen, dvs. billedligt talt "låst af" for andre end dem, der råder over den anvendte nøgle. Når man krypterer, tager man udgangspunkt i et "åbent" dokument ("klartekst"), som krypteringen "låser" ("kryptotekst"). Ligesom der må en nøgle til at åbne en dør, kan kun den, der kontrollerer krypteringsalgoritmen, dekryptere kryptoteksten, medmindre låsen er så svag, at den kan brydes af en indtrænger. Teoretisk ramme I kommunikationsteoriens termer kan krypteringsnøglen betragtes som et særligt meta-sprog, der befinder sig bag det sprog, som klarteksten er formuleret i (f.eks. et naturligt sprog som dansk). Den proces, der definerer nøglen, må derfor overholde et forud fastsat regelsæt; krypteringsalgoritmen. En simpel krypteringsalgoritme kan f.eks. skrives som x = x+1, hvor x er meddelelsen i klartekst og det valgte tal "1" den nøgle, der aktiverer krypteringsalgoritmen. En sådan simpel algoritme indebærer, at hvert bogstav erstattes med (i eksemplet) det næste bogstav i alfabetet, f.eks. således at "HAL" - navnet på den magtfulde computer i Kubricks science fiction film "Rumrejsen år 2001" - bliver til "IBM". Når dokumentet låses, lægges et bogstav til. Det åbnes igen, ved at bogstavet trækkes fra. Den netop nævnte algoritme er forholdsvis enkel at bryde, men den kan udbygges og suppleres - f.eks. ved, at man efter et fast system lægger forskellige talstørrelser til x, se hertil Peter Landrock & Knud Nissen: Kryptologi (1990), s. 9 f. Gennem de sidste mange hundrede år har man forsøgt at skabe stadigt mere avancerede krypteringsalgoritmer. En af de hyppigst anvendte binære krypteringsalgoritmer er den amerikanske DES-algoritme (DES = Data Encryption Standard), der arbejder med en klartekst opdelt i blokke på 64 bit. DES blev offentliggjort i 1975 af NBS (nu NIST), se NIST Notices, vol. 56, no. 169 af 30. august 1991. NIST garanterede oprindeligt for algoritmens sikkerhed - men garantien blev senere trukket tilbage. Se hertil Lars Frank (1987), s. 99 ff., Borking (1985), s. 90 ff. og R. A. Franks i 72 Iowa L.R. 1015 (1987), s. 1016. DES anvendes bl.a. til transmission af betalingstransaktioner i Dankort-systemet. Ifølge artikel 3, stk. 5, i direktivet om elektroniske signaturer kan Kommissionen efter en særlig procedure offentliggøre referencenumre på almindeligt anerkendte standarder for elektroniske signatur-produkter. Der skal herefter gælde en formodningsregel, hvorefter et elektronisk signatur-produkt, der opfylder sådanne standarder skal formodes at overholde kravene i bekendtgørelsens bilag II, litra f, og bilag III (de kvalificerede krav). I 1999 bemyndigede Kommissionen en ekspertgruppe kaldet "European Electronic Signature Standardization Initiative" (EESSI) opgaven at analysere det fremtidige brug af standardisering inden for dette område, og resultatet af dette arbejde foreligger med en rapport af 28. juli 1999. En god oversigt over standarder for informationssikkerhed foreligger på <www.diffuse.org>. Funktioner Ved brug af kryptering kan man løse en væsentlig del af informationssamfundets sikkerhedsproblemer: Findes nøglen til et låst dokument med sikkerhed kun to steder - hos afsenderen og modtageren - og anvender man i øvrigt en sikker algoritme, der er implementeret korrekt, kan modtageren opnå en høj grad af sikkerhed for dokumentets ægthed. Herudover kan kryptering sikre meddelelsens fortrolighed: for at kunne låse den pågældende meddelelse op, må en udefra kommende være i besiddelse af den anvendte nøgle. Selve brugen af matematiske algoritmer til kryptering og dekryptering sikrer endvidere meddelelsens integritet, altså for, at meddelelsen ikke er ændret i perioden efter krypteringen: Ændres meddelelsen i sin krypterede form med blot en enkelt bit, lader den sig slet ikke dekryptere (hvis den er krypteret) eller verificere (hvis der er anvendt andre matematiske sikkerhedsteknikker). Kryptering kan dermed bruges til at etablere sikkerhed i persondatabehandling, se RÅB 1984.25. 4.2.c. Asymmetrisk krypteringDen form for kryptering, der er nævnt i eksemplet ovenfor, kendetegnes ved, at samme nøgle anvendes ved kryptering og dekryptering. Da kryptering og dekryptering dermed følger samme mekanisme, taler man om symmetrisk kryptering eller single key-kryptering. Svagheden ved et sådant system er, at bruger og afsender da også må være i besiddelse af samme nøgle. For brugere, der har mulighed for at mødes med hinanden ansigt til ansigt, inden de giver sig til at kryptere deres meddelelser, rejser dette vel ingen vanskeligheder. Sådan vil forholdene ofte være i såkaldt "lukkede net", f.eks. mellem filialerne i en international organisation. Men for at kunne kryptere i "åbne net", hvor parterne ikke nødvendigvis har været i kontakt med hinanden forinden, må den anvendte nøgle udveksles på anden vis, f.eks. ved post- eller kurerforsendelse. Af praktiske grunde kan der imidlertid være behov for også at bruge nettet til at udveksle nøglen. På Internet rejser dette det problem, at nøglen da kan tænkes at falde i de forkerte hænder og efterfølgende skabe risiko for, at personer uberettiget optræder "autentisk" under nøglen. Dermed er opstået et behov for såkaldt asymmetriske krypto-systemer, hvor der ikke bruges én nøgle, men et nøglepar. Nøglepar Et nøglepar fungerer således, at den ene nøgle aldrig kan bruges til både kryptering og dekryptering af samme meddelelse. Er meddelelsen først krypteret med den ene nøgle, kan den betragtes på samme måde som hakket kød, der har været turen igennem en kødhakkemaskine: Man kan ikke genskabe udgangspunktet ved at gøre det omvendte. Det kan man derimod ved at anvende den anden nøgle, der hænger uløseligt sammen med den, der blev brugt ved krypteringen. Har man krypteret en tekst ved hjælp af den ene nøgle i parret, kan samme tekst kun dekrypteres ved hjælp af den anden. Dermed kan nøgleparret anvendes således, at den ene nøgle holdes hemmelig, medens den anden offentliggøres. Asymmetrisk kryptering giver dermed grundlag for såkaldt public key-kryptering. Anvendelsen Public key-krypteringssystemer går altså ud fra, at hver af de kommunikerende parter råder over et nøglepar, hvoraf den ene nøgle - den private - holdes hemmelig, og den anden - den offentlige - offentliggøres overfor omverdenen af en part, der står inde for nøgleindehaverens identitet, en såkaldt certificeringsinstans eller Certification Authority (CA). Af sikkerhedsmæssige grunde tilvejebringes nøgleparret af nøgleindehaveren, f.eks. ved hjælp af særligt udstyr eller programmel. Systemets troværdighed forudsætter nemlig, at den hemmelige nøgle aldrig vises til tredjemand; derfor bør tredjemand heller ikke frembringe nøglen! Den logiske - og efter sigende uafviselige - sammenhæng mellem de to nøgler i et nøglepar tilvejebringes ved, at nøglerne opbygges på grundlag af primtal. Princippet bygger på, at det er relativt nemt at fastslå, om et tal er et primtal eller ej, medens det, i fald tallet er et produkt af to primtal, er vanskeligt at udfinde de divisorer, der kan frembringe tallet (primtalsdivisorerne). Vanskeligheden ved at finde frem til et tals primtalsdivisorer stiger eksponentielt med tallets størrelse. I praksis anvendes primtal på flere hundrede cifre. Sandsynligheden for, at en person "tilfældigt" skulle udfinde lige netop det primtal, der svarer til den offentlige nøgles hemmelige modstykke, siges at svare til sandsynligheden for netop at finde ét bestemt atom ud af samtlige universets atomer! Eksempler Systemet i asymmetrisk kryptering kan anskueliggøres med ovenstående figur. Med udgangspunkt i den kendsgerning, at en tekst krypteret med den ene nøgle kun kan dekrypteres med den anden, kan man nu opnå følgende forskelligartede bevissituationer: Fortrolighed A krypterer en tekst med B's offentlige nøgle, som han f.eks. henter fra en CA: Teksten kan alene dekrypteres af B med B's hemmelige nøgle. Når B kan gennemføre en sådan dekryptering, ved han, at ingen andre end han selv og A kender den pågældende meddelelse, hvis ellers B har holdt sin hemmelige nøgle hemmelig og den anvendte krypteringsalgoritme er tilstrækkeligt sikker. Hermed opnås sikkerhed for meddelelsens fortrolighed i forholdet mellem A og B. Hvis ellers A har sikkerhed for, at CA'en har ført korrekt regnskab med, hvem der gemmer sig bag de registrerede offentlige nøgler, kan A også være sikker på, at meddelelsen ikke læses af andre end B. Ægthed og integritet A krypterer en tekst med sin egen hemmelige nøgle. Teksten kan nu kun dekrypteres med A's offentlige nøgle. Når B (eller en anden) har dekrypteret med denne offentlige nøgle, ved han, at teksten virkelig kommer fra A, for kun A's offentlige nøgle kan dekryptere en meddelelse krypteret med A's private nøgle. Både i denne situation og i den forrige ved den, der dekrypterer meddelelsen, tillige, at meddelelsen ikke er blevet udsat for ændringer undervejs. Var den det, var det ikke muligt at dekryptere den. Dermed opnås både sikkerhed for ægthed og integritet. Forudsætninger Der er flere kritiske punkter i et sådant nøglesystem. Dels må der herske sikkerhed for, at A, henholdsvis B, virkelig er de personer, der fremtræder i det register, som CA'en fører, dels må det kunne klarlægges, at de anvendte algoritmer besidder den fornødne sikkerhed. Dette rejser dels et retspolitisk problem, dels - og i forlængelse heraf - et erstatningsretligt, som løbende er genstand for intense drøftelser i forbindelse med den retlige regulering af digital (elektronisk) signatur. Flere organisationer inden for den offentlige og private sektor (herunder justitsvæsenet og pengeinstitutverdenen) er i disse år aktive i opbygningen af særlige systemer til public key-kryptering. Herhjemme blev et første skridt taget af en arbejdsgruppe under Dansk Dataforening, der i 1990 fremlagde et forslag til en model for godkendelse af certificeringsinstanser, se herom min artikel i RR 1991, nr. 2, s. 39 ff. På grundlag af denne rapport nedsatte Telestyrelsen i 1992 et udvalg, der fik til opgave at redegøre for problemerne vedrørende et eventuelt myndighedsinitiativ på krypteringsområdet. Udvalget afgav sin endelige rapport i 1993 i form af en Hovedrapport vedrørende et eventuelt myndighedsinitiativ på krypteringsområdet, Telestyrelsen, juni 1993. Hovedbudskabet i rapporten var, at tiden endnu ikke var inde til egentlige lovgivningsinitiativer. En mulig retlig ramme herfor fandtes allerede i de særlige bekendtgørelser om akkreditering, se herom nedenfor i afsnit 15.4.c., og når ikke den berørte branche presserede stærkere på, var der ingen anledning til, at det offentlige skulle gå foran med regler. Med Dybkjær/Christensen-rapporten om Info-samfundet år 2000, september 1994, fik overvejelser om det offentliges førerposition på området ny næring. Info-2000-rapporten lægger således bl.a. op til, at det offentlige skal tage en række initiativer for at bringe Danmark i front på IT-området, og dette budskab er siden blevet støttet af IT-sikkerhedsrådet i dettes oplæg om en dansk IT-sikkerhedspolitik fra november 1996. Der kom dog først for alvor fart på lovgivningsprocessen, da EU i 1998 meldte sig på banen med det forslag til et direktiv til lovgivning om elektroniske signaturer, som blev vedtaget i 1999, og som ligger bag LES. Lovgivningsopgaven Gennem de godt 10 år, hvor man har diskuteret behovet for en lovgivning om elektronisk signatur, har vekslende retspolitiske strømninger gjort sig gældende. For nogen opleves foranstaltninger til opbygning af en digital infrastruktur som udtryk for " Big Brother"-tanken. Dette sås bl.a. i debatten om det forslag om indførelse af et digitalt borgerkort baseret på public key-teknologi, som Indenrigsministeriets CPR-kontor fremlagde i 1994, og som - indtil videre - blev afsluttet, da den daværende indenrigsminister valgte at opgive borgerkortprojektet i efteråret 1996. Andre ser derimod en public key infrastruktur som en nødvendig mulighed for at sikre den information, der passerer på den stadigt mere uoverskuelige digitale informationsmotorvej. Hertil kommer de endnu uafklarede retspolitiske forhold vedrørende brug af teknikker til stærk kryptering: Myndighedernes adgang til "aflytning" af krypteret information, valget af standarder, forbrugerbeskyttelse, erstatningsretlige spørgsmål o.m.m. En række af disse spørgsmål forfølges på internationalt plan, jf. afsnit 4.2.e. om OECD's retningslinjer for krypteringspolitik. 4.2.d. Digital signaturAt en meddelelse er krypteret eller digitalt signeret af sin ophavsmand ved brug af stærk (dvs. ubrydelig) kryptering, kan i sig selv - omend alt efter omstændighederne - være et tegn på, at ophavsmanden står ved den. Derfor er krypteringsteknikker i stigende grad taget i brug som surrogat for den skrevne signatur på et dokument. Som bredt udtryk for den kryptering, der anvendes til at give en digital meddelelse et særpræg, der bestemmes af afsenderen ved hjælp af en personlig krypteringsnøgle, taler man om digital signatur. Signaturbegrebet Signaturbegrebet er centralt i forpligtelseslæren. Det rummer tre elementer. For det første en objektiv information om den underskrivendes identitet, typisk et navn eller andet symbol. Dernæst rummer den skrevne signatur et personlighedspræg, der afspejles i underskriftens konkrete udformning. Endelig indebærer den proces, hvorved signaturen fikseres, en manifestation af den forpligtedes vilje (viljeserklæring), jf. nærmere herom i afsnit 19.1.c. Se nærmere om signaturbegrebet og dets funktion Roger Henriksen (1982), s. 39 ff. Signaturbegrebet (af lat.: "signum": "tegn") går videre end underskriftbegrebet ved også at medtage visse tegn, der bærer andre af erklæringsgiverens personlige præg, f.eks. fingeraftryk eller segl. Digital signatur I teknisk terminologi defineres begrebet digital signatur almindeligvis som en talværdi, der fastlægges på grundlag af en meddelelse i digital form og i overensstemmelse med en procedure (algoritme), som gør det muligt entydigt at verificere, at talværdien er udvirket på grundlag af den digitale meddelelse og med den private krypteringsnøgle i et nøglepar. Talværdien kan enten bestå i en fuldstændig kryptering af meddelelsen, den kan bestå i en hashværdi af meddelelsen, jf. herom straks nedenfor, eller den kan bestå i en kryptering af en hashværdi, der repræsenterer meddelelsen. For at opnå sikkerhed for, at den signerede meddelelse virkelig hidrører fra afsenderen, må modtageren kunne knytte tillid til den CA, der påtager sig at stå inde for afsenderens identitet. Grundlaget for denne tillid kan i rene partsrelationer tilvejebringes gennem treparts-aftaler mellem afgiveren af den signerede meddelelse, CA'en og modtageren. En vis regulering af den virksomhed, der udøves af sådanne troværdige tredjeparter i en infrastruktur til digital (eller elektronisk) signatur - en såkaldt public key infrastruktur (PKI) - findes i lov om elektroniske signaturer (LES). Biometriske teknikker En mindre udbredt metode til at signere en elektronisk meddelelse er gennem biometriske teknikker. Hermed menes metoder, hvorefter en unik egenskab ved den berettigede person (pupilbygning, fingeraftryk, stemme el.lign.) registreres og sammenholdes med de egenskaber, som den disponerende person fremviser. En biometrisk metode må imidlertid kombineres med en metode til kodning af den meddelelse, der ønskes sikret. Typisk vil dette ske ved, at den biometriske teknik anvendes som en adgangskontrol til det system, der kan udvirke en signering. Navnlig registrering af fingeraftryk har været anvendt til disse formål, jf. Galtung (1989), s. 52 f. og Birgitte Kofod Olsen: Identifikationsteknologi og individbeskyttelse (1998), der drøfter de betænkeligheder, sådanne teknologier kan give anledning til ud fra synspunkter om databeskyttelse. En af de biometriske metoder til afgivelse af elektronisk signatur, der har opnået størst opmærksomhed, er den såkaldte PENOP-løsning, se <www.penop.com>. Løsningen bygger på såkaldt signatur-dynamisk genkendelse: Underskriveren frembringer sin underskrift ved hjælp af en pen på en elektronisk skriveplade. Skrivepladen registrerer herefter en række egenskaber ved underskriften, herunder hvilke vinkler der indgår, hvor hurtigt forskellige dele frembringes, grafisk fremtrædelse etc. Det er imidlertid væsentligt at fremhæve, at løsninger som denne ikke kan stå alene i åbne netværk, hvor der altid vil være behov for en kryptering og verificering af de data, der således frembringes. Se for en nærmere gennemgang af de biometriske metoder til afgivelse af digital signatur, R.R. Jueneman & R.J. Robertson, Jr.: Biometrics and Digital Signatures in Electronic Commerce, 38 Jurimetrics J.427-457 (1998). Hashing En række af de funktioner, der kan opnås ved brug af kryptering, kræver ikke, at det er meddelelsen i sin fulde udstrækning, der krypteres. Hvis formålet f.eks. er at opnå sikkerhed for, hvem afsenderen er (ægthed) eller at meddelelsen ikke er forvansket undervejs (integritet), er det tilstrækkeligt at kryptere et "fingeraftryk" af meddelelsen, hvis blot dette fingeraftryk er skabt på en måde, der vil afsløre, hvis meddelelsen siden ændres. Ressourcemæssige hensyn vil ofte tale for at kryptere sådanne hashværdier frem for at kryptere hele meddelelsen. Man taler da om, at meddelelsen " hashes". Selv med nutidens hurtige IT-systemer tager det lang tid at gennemføre de beregninger, der er forbundet med krypteringen. Hashingen foretages da på grundlag af en særskilt algoritme, der ligeledes anviser en fremgangsmåde for, hvordan man efterfølgende kan verificere, hvem meddelelsen kom fra. Bevisførelse Den digitale signatur kan ikke - som den skrevne - fremvises i retten. Bevisførelser vedrørende de omstændigheder, der ledsager signaturens afgivelse og verifikation forudsætter et indgående kendskab til kryptografiske principper og teknikker. Der må derfor føres et indgående systembevis med brug af sagkyndige erklæringer om det anvendte system og om den sikkerhed, de anvendte krypteringsalgoritmer kan leve op til. Almindeligvis vil de CA-virksomheder, der understøtter systemer til digital signatur, også tilbyde de tjenesteydelser, der vil kunne understøtte en sådan bevisførelse, herunder ved at afgive udtalelser om, at bestemte nøgler på bestemte tidspunkter var i stand til at verificere bestemte digitale meddelelser. 4.2.e. Almindelig reguleringDen retlige regulering af teknikker til kryptering og digital signatur knytter sig til tre forskellige aspekter af denne sikkerhedsteknologi. Aftalevirkning Et første aspekt angår den aftaleretlige gyldighed af viljeserklæringer, der er forsynet med en digital signatur. Da dansk aftaleret som udgangspunkt udfolder sig under et princip om formfrihed gælder her de almindelige aftaleretlige regler, jf. nærmere herom afsnit 19.1, medmindre der i medfør af særlig hjemmel gælder særlige, formueretlige, formkrav, jf. herom afsnit 16.2. Forvaltningsret Et andet aspekt drejer sig om den forvaltningsretlige gyldighed af digitale dokumenter, der er sikret ved brug af digital signatur-teknologi. For en almindelig gennemgang af de retlige problemer, der er forbundet med brug af digitale meddelelser i den offentlige forvaltning henvises til afsnit 16.4. Reglerne om gyldigheden af elektroniske signaturer, særligt efter loven herom fra 2000, behandles i afsnit 16.5. Særlige restriktioner Tilbage står for det tredje spørgsmålet om, hvorvidt selve bruge af teknikker til digital signatur og kryptering kan tænkes at stride mod særlige regler. Navnlig kan de immaterialretlige regler få betydning, jf. nærmere herom kapitlerne 7 og 10. Men herudover kan det tænkes, at der ud fra offentligretlige overvejelser, herunder navnlig ud fra kontrol- og efterforskningsmæssige hensyn, kan være en interesse i at begrænse brugen af disse teknikker. For dansk rets vedkommende er svaret herpå klart. Der gælder ingen almindelige begrænsninger i adgangen til at anvende sikkerhedsteknologier (herunder teknikker til stærk kryptering), der har til følge, at det offentlige har vanskeligere ved at udføre kontrol- og efterforskningsarbejde. Det forhold, at man ved at kryptere datatransmission de facto afskærer politi- og efterforskningsmyndigheder fra at foretage indgreb i meddelelseshemmeligheden, indebærer ikke, at en sådan kryptering er ulovlig, ligeså lidt som det er ulovligt at tale et eksotisk/uforståeligt sprog med hinanden i telefonen. Forholdet er anderledes i visse andre lande, der på forskellig vis begrænser denne adgang, f.eks. ved at stille krav om, at nøgler anvendt til kryptering deponeres hos troværdige tredjeparter, hvorfra de kan rekvireres af efterforskende myndigheder mod retskendelse. Spørgsmålet har imidlertid fra tid til anden været søgt reguleret på internationalt plan efter pres fra lande med større efterretningsmæssige interesser end vore. Et foreløbigt resultat af disse drøftelser forelå, da oecd i marts 1997 vedtog et sæt retningslinjer om krypteringspolitik, der betoner, at brugeren (være sig privatpersoner eller virksomheder) som udgangspunkt har fri adgang til at anvende kryptologiske værktøjer, men at lovgivningen i enkelte lande kan fastsætte begrænsninger heri, se <www.oecd.org>. OECD-retningslinjerne hverken pålægger eller anbefaler medlemsstaterne at indføre sådanne regler. Problemerne vedrørende aflytning ctr. hemmeligholdelse ved brug af kryptering er bl.a. behandlet i Teknologirådets rapport: "En dansk krypto-politik - hvordan skal digitale informationer hemmeligholdes?", ved Steffen Stripp (red.) - Teknologirådets rapporter 1995/5 og af Mads Bryde Andersen & Peter Landrock i J1995.306 ff. Se ligeledes Stewart A. Baker & Paul R. Hurst: The Limits of Trust - Cryptography, Governments, and Electronic Commerce (Kluwer Law International, The Hague, 1998) og antologien Building in Big Brother - The Cryptographic Policy Debate, ved Lance J. Hoffman (ed.), New York 1995). Selv om Danmark ikke har taget skridt til direkte at forbyde kryptering, indeholder vor lovgivning enkelte regler, der indirekte begrænser den frie anvendelse af sådanne teknologier. Udførsel I medfør af lov om udførsel af varer, teknologier og knowhow med dobbelt anvendelse, jf. lovbekendtgørelse nr. 468 af 13. juni 1995, kan man straffes med bøde, hæfte eller fængsel i indtil 2 år (medmindre højere straf er forskyldt efter anden lovgivning) for at udføre (bl.a.) visse former for krypteringsprodukter uden tilladelse fra Erhvervsfremmestyrelsen. Reglerne herom udspringer af det såkaldte Wassenaar-arrangement, jf. nærmere i afsnit 12.2.e. Ved den ændring i Wassenaar-arrangementet, der fandt sted den 3. december 1998, blev såkaldte "hyldevarer" (hvortil f.eks. hører Internet-browsere og e-post-programmer), der indeholder faciliteter til stærk kryptering (hvilket i denne sammenhæng er afgrænset som en nøglelængde udover 64 bits), underlagt en tilsvarende eksportkontrol. Reglerne er transformeret til EU-ret i den "forbudsliste", der afgrænser pligten til at søge eksportgodkendelse, jf. nærmere afsnit 21.2.e. I amerikansk ret har det været antaget, at sådanne eksportforbud strider mod den konstitutionelt sikrede ytringsfrihed, se senest sagen Bernstein v. United States (9th Cir. 6 May 1999), der bl.a. fremhævede den mangel på procesretlige garantier, som prægede eksportkontrolregimet. Se også Bernstein v. U.S. Dept. of State, 922 F.Supp. 1426 (1996) og Junger v. Daley, 209 F.3d 481 (6th Cir., 2000). Sagerne drejede sig om kildeteksten til et krypteringsprogram, der ansås for at udgøre en ytring, der var beskyttet som sådan under den forfatningsretlige ytringsfrihed. Derfor kunne spredning af denne kildetekst ikke lovligt begrænses ved reglerne om strategisk kontrol med eksport af våben. Telekommunikation En anden begrænsning i den frie ret til at kryptere gælder for udbydere af offentlige telenet og teletjenester. Ifølge § 15 i lov nr. 418 af 31. maj 2000 om konkurrence- og forbrugerforhold på telemarkedet skal udbydere af offentlige telenet eller teletjenester uden udgift for staten, herunder for politiet, sikre, at de centraler, udbyderen etablerer, er indrettet således, at politiet kan få adgang til at foretage indgreb i meddelelseshemmeligheden, jf. retsplejelovens kapitel 71. Heri ligger bl.a., at faciliteter til den kryptering, som sker på nettet, skal indrettes således, at der mod retskendelse uden videre kan frembringes klartekst. Forskningsministeren kan efter forhandling med justitsministeren fastsætte nærmere regler om de tekniske krav til sådanne centraler og om udbyderens bistand til politiet i forbindelse med indgreb i meddelelseshemmeligheden, jf. stk. 2-3. 4.2.f. Lov om elektroniske signaturerFormål og funktion Ved lov om elektroniske signaturer (LES), nr. 417 af 31. maj 2000 er der indført almindelige regler i dansk ret om visse elektroniske signaturer samt regler for de virksomheder mv., der udsteder certifikater til visse typer af elektroniske signaturer, de såkaldte certificeringscentre (i loven - med et misvisende udtryk kaldet "nøglecentre", i teknisk terminologi - og i det følgende - kaldet CA, Certification Authorities). Loven gennemfører Europa-Parlamentets og Rådets direktiv 1999/93/EF af 13. december 1999 om en fællesskabsramme for elektroniske signaturer (EFT 2000 L 13/12). Direktivet blev skabt på baggrund af den lovgivning, der var undervejs til at blive indført, herunder i Danmark - med et første lovudkast fra efteråret 1996 - og i Tyskland, der indførte sin første Signaturgesetz i 1997. Gennem sådanne nationale lovgivninger opstod flere EU-retligt kritiske risici, dels for en uensartet juridisk anerkendelse af den digitale signatur, dels for at de enkelte medlemsstater ville stille forskellige, og indbyrdes diskriminerende, lovkrav til CA-virksomheder. En del af lovens ganske komplicerede terminologi har rod i det arbejde, der sideløbende har været gennemført i UNCITRAL, og som i sit seneste forløb har søgt at finde juridiske løsninger, der er robuste også overfor fremtidens signaturteknologier, jf. herom straks i det følgende. UNCITRALs arbejde er endnu ikke afsluttet; men der forventes fremlagt et udkast til modellov om elektroniske signaturer (UNCITRAL Uniform Rules on Electronic Signatures) på UNCITRAL-kommissionens ordinære session i juli 2001, se senest dokument A/CN.9/483 (6. oktober 2000), der indeholder den foreslåede lovtekst. En tilhørende Draft Guide to Enactment foreligger den 17. maj 2001 fra UNCITRALs sekretariat. USA har i 2000 indført the Electronic Signatures in Global and National Commerce Act (Public Law no. 106-229), med ikrafttræden den 1. oktober 2000. Loven opstiller en række betingelser for visse elektroniske signaturer og sikrer disses retlige gyldighed i USA. Begrebet "elektronisk signatur" defineres som "an electronic sound, symbol, or process, attached to or logically associated with a contract or other record and executed or adopted by a person with the intent to sign the record." Loven fastslår for det første - i overensstemmelse med UNCITRAL-modellovens hovedprincip - at elektroniske dokumenter har retlig gyldighed, sec. 101. For det andet bekræftes parternes frihed til at indgå aftale om, hvorledes sådanne elektroniske procedurer skal gennemføres. For det tredje indeholder loven et forbud mod diskriminering mod særlige signatur-teknologier. Som hermed antydet har der allerede på nuværende tidspunkt vist sig mange forskellige måder, hvorpå der lovgives om digital signatur: Efter en minimalistisk model (som f.eks. er lagt til grund i UNCITRAL's hidtidige arbejde) lovgives der kun om de ydre rammer for brugen af e-signatur. Hovedformålet er at undgå regulatoriske barrierer og andre tekniske handelshindringer. En anden, aktiv, variant søger at sikre opbygningen af en PKI-infrastruktur ved at opstille særlige regler for dennes opbygning. Man forudsætter derfor, at der anvendes en bestemt teknologi (f.eks. public key-baseret kryptering), og lovgivningen går dermed foran i standardiseringsbestræbelserne. Herhjemme har vi ikke set egentlige eksempler herpå; men de bestræbelser, IT- og Forskningsministeriet har gjort for at udbrede standardiseringsarbejdet på området for digital signatur - f.eks. inden for rammerne af Forum for Digital Signatur - kan ses som udtryk for en sådan målsætning. En tredje variant (som er lagt til grund i EU-direktivet om elektroniske signaturer) søger at kombinere de to første ved dels at opstille nogle principper for anerkendelse af elektroniske signaturer, dels ved at tildele visse - avancerede - signaturer særlige lovgivningsmæssige fortrin. Ifølge § 1 har loven til formål at fremme en sikker og effektiv anvendelse af elektronisk kommunikation gennem fastsættelse af de nævnte krav til visse (men ikke alle) elektroniske signaturer og til CA-virksomheder ("nøglecentre"). I praksis er lovreguleringen fokuseret omkring det, der i lovens terminologi betegnes som avancerede elektroniske signaturer, der baseres på kvalificerede certifikater, jf. nærmere afgrænsningen i § 2, stk. 1. "Elektronisk signatur" Ifølge § 3, nr. 1, defineres begrebet "elektronisk signatur" bredt som enhver form for data i elektronisk form, der knyttes til andre elektroniske data ved hjælp af et signaturgenereringssystem, og som anvendes til at kontrollere, at disse data stammer fra den person, der er angivet som underskriver, og at de ikke er blevet ændret. Som definitionen fremstår kræves det, at der anvendes et særligt "system" til generering af den elektroniske signatur. Det forhold, at man afslutter en e-mail med sit navn, vil ikke opfylde dette krav, hvorimod et særligt indføjet navnetræk (f.eks. en indscannet version af ens håndskrevne underskrift), der indplaceres på grundlag af en makro-rutine, formentlig vil. Kravet om, at den elektroniske signatur skal have til formål at give mulighed for at kontrollere underskriveren, indebærer isoleret set alene et subjektivt krav, der knytter an til omstændighederne ved signaturens afgivelse. Formålet med signaturgenereringssystemet må være at kunne identificere underskriveren, men ikke at blotlægge de nærmere formål, underskriveren har for at underskrive. Der ligger ikke heri nogen yderligere tekniske krav til det pågældende system. "Underskriveren" Loven forudsætter, at en signatur, og herunder en elektronisk signatur, afgives af en fysisk person. Dette fremgår direkte af § 3, nr. 8, hvor et "certifikat" defineres som en elektronisk attest, som knytter bestemte signaturverificeringsdata til "underskriveren", hvilket ifølge samme bestemmelses nr. 3 er en "fysisk person", der besidder et signaturgenereringssystem. Baggrunden herfor er, at en juridisk person, endsige et apparat, ikke antages at kunne signere noget: en juridisk person, fordi signaturen altid vil være afgivet af en fysisk person; apparatet, fordi det ikke kan besidde nogen "vilje" til at forpligte sig mv. I direktivets art. 2, stk. 3, defineres "underskriveren" som "en person, der besidder et signaturgenereringssystem og handler på egne vegne eller på vegne af den fysiske eller juridiske person eller det organ, som vedkommende repræsenterer" [udhævet her]. Den danske lov har hermed valgt side i et principielt spørgsmål, der i direktivets formulering er efterladt åbent ved en bevidst tvetydighed. I princippet er alle typer af elektroniske signaturer omfattet af loven. Loven sondrer imidlertid mellem forskellige typer af signaturer, idet den knytter forskellige typer af retsvirkninger hertil, jf. nærmere afsnit 16.4.c. Avancerede eller ikke For det første sondres mellem avancerede og ikke-avancerede elektroniske signaturer. Ifølge § 3, nr. 2, er en avanceret elektronisk signatur en elektronisk signatur, der opfylder fire krav. Den skal for det første være entydigt knyttet til underskriveren, a). For det andet skal den gøre det muligt at identificere underskriveren, b). Den skal dernæst skabes med midler, som kun underskriveren har kontrol over, c), og som er knyttet til de data, den vedrører på en sådan måde, at enhver efterfølgende ændring af disse data kan opdages, d). Kravene til en avanceret elektronisk signatur vil almindeligvis være opfyldt gennem en digital signatur, der er baseret på brugen af en hemmelig nøgle som underskriveren har eksklusiv råden over (sml. herved de under a) og c) anførte krav), og som indebærer en fuldstændig kryptering af den signerede meddelelse eller generering af en hashværdi af samme (sml. det under d) anførte krav). I tillæg hertil kræves det, at sådanne signaturer kan verificeres på en sådan måde, at underskriveren kan identificeres klart (sml. det under b) anførte krav). Dette kan enten ske gennem en troværdig tredjepart eller ved forudgående aftale mellem underskriveren og modtageren, der fastlægger en procedure herfor. Den troværdige tredjepart er inde i billedet i de tilfælde, hvor signaturen baseres på et certifikat, jf. herom i det følgende. I kraft af dennes rolle taler man om, at der opbygges en public key infrastruktur, også kaldet PKI. Web of trust Avancerede digitale signaturer kan dog også forekomme i tilfælde, hvor verifikationen af den afgivne signatur afgives af de involverede parter selv, evt. under bistand med "venner og venners venner": Man kan således opbygge en såkaldt web of trust ved at rekvirere certifikater vedrørende mulige samarbejdsparter gennem parter, der i forvejen kender de pågældende og dermed kan godtgøre deres identitet. Sådanne private systemer anvendes af mange private Internet-brugere til udveksling af krypterede meddelelser på grundlag af det meget udbredte krypteringsprogram PGP ("Pretty Good Privacy"). Certifikatets beskaffenhed En anden sondring knytter sig til de tilfælde, hvor underskrivelsen af en meddelelse lader sig verificere gennem et certifikat udstedt af en tredjepart, altså gennem en PKI, som opfylder visse på forhånd angivne krav. Ifølge lovens § 3, nr. 8, defineres et certifikat som en elektronisk attest, som knytter bestemte signaturverificeringsdata (i praksis den hashede eller krypterede meddelelse) til underskriveren og bekræfter dennes identitet. Definitionen kan i princippet tænkes at omfatte en hvilken som helst erklæring, der udtaler sig om den tekniske forbindelse mellem signaturen på en meddelelse og identiteten af den part, der står bag den hemmelige nøgle, der er anvendt til at signere eller kryptere meddelelsen. For at indsnævre et område for særligt troværdige certifikater sondrer loven mellem kvalificerede og ikke-kvalificerede certifikater. - kvalificerede certifikater Ifølge LES § 4 er et "kvalificeret certifikat" et certifikat, der opfylder de i stk. 2 og 3 nævnte krav, og som udstedes af en CA (et "nøglecenter"), der opfylder bestemmelserne i kapitel 4 samt regler fastsat i medfør heraf. Gennem de således opstillede krav til det kvalificerede certifikat defineres en række funktioner, der gør dette certifikat egnet til kommunikationsprocesser, hvor der kan være særligt behov for at identificere underskriveren og dennes formodede ønske om at forpligte sig ved underskrivelsen. Et kvalificeret certifikat skal for det første indeholde en række oplysninger, der identificerer det som sådant, og som angiver CA'ens navn og hjemsted, underskriverens navn eller pseudonym med angivelse af, at der er tale om et pseudonym samt eventuelle yderligere oplysninger om underskriveren, for så vidt det er nødvendigt for anvendelsen af certifikatet. I den forbindelse skal certifikatet også indeholde oplysninger, der sikrer en entydig identifikation af underskriveren, jf. nærmere LES § 4, stk. 2, nr. 1-4. Foruden disse identitetsoplysninger skal det kvalificerede certifikat indeholde angivelse af en gyldighedsperiode samt en tydelig angivelse af eventuelle begrænsninger i certifikatets anvendelsesområde (formålsbegrænsninger), se nr. 5-6. Vigtigt er det, at der herudover skal være tydelig angivelse af eventuelle begrænsninger med hensyn til de transaktionsbeløb, certifikatet kan anvendes til, jf. nr. 7. Gennem denne angivelse kan brugeren foretage en begrænsning i, hvilke forpligtelser - økonomiske eller af anden art - som kan tænkes påført ved brug af en signaturnøgle og et hertil hørende kvalificeret certifikat. Det er dernæst foreskrevet, at det kvalificerede certifikat skal indeholde en identifikationskode samt de signaturverificeringsdata, der svarer til de signaturgenereringsdata, som var under underskriverens kontrol på udstedelsestidspunktet, nr. 8-9. Bestemmelsens stk. 3 foreskriver endelig, at et kvalificeret certifikat skal være underskrevet med nøglecentrets avancerede elektroniske signatur. Sikre signaturgenereringssystemer LES kapitel 8 opstiller en række særlige krav til såkaldt sikre signaturgenereringssystemer. Hermed forstås ifølge loven signaturgenereringssystemer, der ved hjælp af procedurer og tekniske midler sikrer, at signaturgenereringsdata, der anvendes til at skabe en elektronisk signatur, 1) i praksis kun kan fremtræde en gang, 2) med rimelig sikkerhed forbliver hemmelige og ikke kan udledes, 3) er beskyttet mod forfalskning og 4) på pålidelig vis kan beskyttes af underskriveren mod andres uretmæssige brug, jf. nærmere § 14, stk. 1. Loven indfører et system, hvorefter en af Forskningsministeren udpeget prøveanstalt medvirker til at efterprøve, om signaturgenereringssystemer opfylder disse krav. En væsentlig retsvirkning - og med den formodede retsudvikling, der vil komme: stadigt væsentligere - af at bruge et sikkert signaturgenereringssystem er ifølge LES § 13, at bestemmelser i lovgivningen, hvorefter elektroniske meddelelser skal være forsynet med signatur, dermed anses for opfyldt. Det kræves dog, at signaturen tillige er baseret på et kvalificeret certifikat, og at det er fremstillet ved brug af et sikkert signaturgenereringssystem. Ved elektroniske meddelelser til og fra en offentlig myndighed gælder dette dog kun, såfremt andet ikke følger af lov eller bestemmelser fastsat i medfør af lov. Gennem denne bestemmelse kombineres de optimale krav, loven opstiller i henseende til både certifikat, CA og det anvendte system. Bestemmelsen gælder kun i det omfang lovgivningen henviser til brug af elektroniske signaturer. Man har ikke hermed taget stilling til, hvornår et lovkrav om "underskrift" kan opfyldes gennem brug af elektronisk eller digital signatur, jf. om dette spørgsmål i afsnit 16.4.c. Der er indtil videre kun enkelte eksempler herpå i dansk lovgivning. Ifølge telebekendtgørelsens § 6, stk. 1, skal en kontrakt mellem en slutbruger og en teleudbyder affattes skriftligt. Bestemmelsens stk. 3 giver dog mulighed for elektronisk aftaleindgåelse, hvis den (retsstiftende) elektroniske meddelelse er forsynet med en avanceret elektronisk signatur, der er baseret på et kvalificeret certifikat, og som er fremstillet ved brug af et sikkert signaturgenereringssystem, jf. LES § 13. Et andet eksempel kan tænkes ved indførelsen af det forslag, der er fremlagt i betænkning 1394/2000 om papirløs tinglysning. Algoritmekrav? Loven indeholder ingen forskrifter om karakteren af den algoritme, der skal anvendes ved udstedelse af et certifikat. Når det gælder denne del af konceptet er der overladt CA'en en betydelig frihed. Der findes en række standarder herom, som CA'en ofte vil henvise til; men også disse standarder vil overlade et betydeligt spillerum. I IT-sikkerhedsrådets vejledning fra 2000 om Praktisk brug af Kryptering og Digital Signatur har rådet afgivet nogle mere specifikke anbefalinger herom, se herved s. 56 ff. Identitetskontrol Loven stiller heller ikke krav om, at den part, der identificerer sig til brug for udstedelsen af et certifikat til elektronisk signatur, skal legitimere sig ved personligt fremmøde mv., se derimod § 6, stk. 2-3, i bekendtgørelse nr. 923 af 5. oktober 2000 ("nøglecenterbekendtgørelsen"), der som udgangspunkt foreskriver, at underskriveren skal være fysisk tilstede i forbindelse med identitetskontrollen, medmindre nøglecentret på forhånd har kendskab til underskriverens person. I praksis vil man ofte placere ansvaret for identitetskontrollen hos andre virksomheder eller myndigheder, der da optræder som lokale registreringsenheder (LRA: Local Registration Authority), og som netop må formodes at besidde den nødvendige kendskab til underskriverens identitet. Denne fremgangsmåde har udtrykkelig hjemmel i nøglecenterbekendtgørelsens § 8. Alt efter karakteren af den pågældende PKI (offentligretlig eller privat mv.), kan LRA-funktionen tænkes henlagt til så forskellige enheder som det lokale folkeregister (som i det tidligere Borgerkort-projekt), en personaleafdeling (hvis signaturen forudsættes afgivet af en person i rollen som stillingsfuldmægtig) eller en bankfilial (hvis signaturen skal anvendes til at disponere over bankkonti mv.). At CA er underlagt et strikt præsumptionsansvar, kan muligvis incitere mange CA-virksomheder og lokale registreringsenheder til at kræve et sådant personligt fremmøde. Krav til CA'ens virksomhed Lovens kapitel 4 opstiller en række krav, der skal følges af CA'er, der udsteder kvalificerede certifikater. Disse virksomheder mv. skal træffe de foranstaltninger, som er nødvendige for et sikkert, pålideligt og velfungerende udbud af kvalificerede certifikater. Der skal anvendes betryggende administrative og ledelsesmæssige procedurer, som overholder anerkendte standarder (se § 5, stk. 1, nr. 1). Man må kun beskæftige personale med den fornødne ekspertise, erfaring og kvalifikationer, herunder personale med sagkundskab inden for elektronisk signaturteknologi og indgående kendskab til korrekte sikkerhedsprocedurer i forbindelse hermed (se § 5, stk. 1, nr. 2). Og der skal generelt anvendes pålidelige systemer og produkter, som er beskyttet imod uautoriserede ændringer, og som sikrer den tekniske og kryptografiske sikkerhed af de processer, som disse systemer og produkter understøtter (se § 5, stk. 1, nr. 3). Endelig skal CA'en træffe foranstaltninger mod eventuelle muligheder for forfalskning af certifikaterne (se § 5, stk. 1, nr. 4) og til stadighed have tilstrækkelige økonomiske ressourcer til at drive virksomhed i overensstemmelse med bestemmelserne i denne lov, herunder til at opfylde erstatningsforpligtelser i henhold til loven (§ 5, stk. 1, nr. 5). De nærmere krav hertil er udmøntet i bekendtgørelse nr. 923 af 5. oktober 2000, der er udstedt med hjemmel i § 5, stk. 3. I 2001 er tre danske virksomheder i funktion med udstedelse af kvalificerede certifikater: PBS/Post Danmark, Kommunedata (KMD-CA) og TDC Internet (TeleDanmark). De danske pengeinstitutter har besluttet at lade PBS fungere som CA for de certifikater, der inkluderes i de nye Dankort og Visa/Dankort, men det er endnu ikke afklaret, om der udbydes kvalificerede eller ikke-kvalificerede certifikater. Procedurekrav til CA Foruden disse almindelige krav til virksomheden er en CA undergivet visse krav til den procedure, der skal følges i dens virksomhed. Ifølge § 6 skal CA fastsætte og følge betryggende kontrolprocedurer. Sådanne procedurer nedfældes almindeligvis i en såkaldt CPS, Certification Practice Statement, som er almindeligt og let tilgængelig fra den site, hvorfra CA driver sin virksomhed. I juridisk henseende befinder CPS'en sig i en særegen mellemstilling mellem offentlig ret og privatret og mellem kontrakt og delikt. På den ene side er der tale om en lovhjemlet konstaterende erklæring, som udstedes i almenhedens interesse. På den anden side er det klart, at en CPS afføder retsvirkninger af såvel erstatningsretlig art samt - alt efter sagens konkrete omstændigheder - som aftalegrundlag. Der er ikke nogen klar praksis for, hvordan disse dokumenter opbygges, og fordi der ofte indgår beskrivelser af, hvordan forskellige parter - i og uden for det enkelte kontraktsforhold - forventes at optræde, kan der være tvivl om, hvilke elementer af CPS'en der har aftalekarakter. Territorial afgrænsning LES finder anvendelse på nøglecentre etableret i Danmark, der udsteder kvalificerede certifikater til offentligheden. Derimod kan loven ikke udstrækkes til at gælde for udenlandsk virkende CA-virksomheder, hvis certifikater anvendes af danske brugere - et forhold, der bl.a. har betydning for den erstatningsretlige vurdering. Dette spørgsmål har størst betydning i relation til lande uden for EU og EØS-området. Gennem den EU-retlige harmonisering, som loven er udtryk for, kan danske virksomheder påregne, at tilsvarende regler, der nogenlunde svarer til de danske, vil være gældende i andre EU-lande, når direktivet foreligger implementeret (hvilket ifølge art. 13 skal være sket inden den 19. juli 2001), 19 måneder efter direktivets vedtagelse. 4.3. Elektronisk bevishåndtering4.3.a. Papirmediet og det digitale mediumProblemstillingen På grund af sin fleksibilitet efterlader den digitale information, der manifesteres ved hjælp af elektromagnetisme, ikke noget "fingeraftryk" på sit medium. Data kan frit kopieres fra en diskette til en anden eller fra en server på Internet til en anden, og en sådan kopiering er ligefrem en nødvendig bestanddel af sådanne former for digital program- og dataanvendelse, informationsspredning mv. Udover at vanskeliggøre beviset for dokumenters ægthed og integritet har dette udvisket grænsen mellem original og kopi på det digitale område. Det har altid været vanskeligt at skelne den ene fotokopi fra den anden, men det er umuligt at skelne en datafil fra en "kopi" af den. Dette forhold, der har givet grundlag for frembringelsen af de sikkerhedsmæssige løsninger, der omtales i afsnit 4.2., kommer frem i den processuelle håndtering af digitale meddelelser i parternes Internet-aftaleforhold, ved sagsførelser ved domstole og i myndighedernes administrative arbejde. Papirdokumentet En række af disse problemstillinger tager udgangspunkt i de regler og den praksis, der er udviklet vedrørende papirmediet. Selv om det er muligt, ja ligefrem enkelt, at forfalske papirdokumenter, tillægger parter, myndigheder og domstole papiret en høj bevisværdi. Forklaringen herpå ligger delvis i vanens magt, dels i den lovregulering, der findes på en række områder om brug af dokumenter i papirform. Dertil kommer det strafferetlige værn mod indgreb i dokumenter ved reglerne om dokumentfalsk mv., jf. straffelovens kapitel 19. For underskrevne dokumenter antages det almindeligvis, at den part, der vil modbevise en underskrifts ægthed, må begrunde sin tvivl og føre det pågældende bevis, jf. generelt Gomard: Civilprocessen, 5. udg. (2000), s. 495 ff. med henvisninger. Papiret er først og fremmest velegnet til at bevise ægthed og integritet. I ældre tider var det almindeligt at forsyne papirdokumenter med vandmærker eller at præge eller forsegle dem. Det papir, der anvendes til trykning af pengesedler, har en anden struktur end det, der anvendes i gængs kontorhold, hvilket vanskeliggør falskmøntneri. Også fortroligheden af papirbaserede informationer kan sikres, f.eks. gennem kuvertering og forsegling. I takt med den teknologiske udvikling har papiret fået en mere tilbagetrukken rolle. I stigende grad må man nøjes med at lade informationen tale for sig selv. Talrige virksomheder og myndigheder anvender end ikke brevpapir, men påfører adresse og/eller bomærke under den almindelige udprintning. Denne udvikling, hvorefter mediet ikke udgør noget endegyldigt bevis for afsenderens autenticitet mv., mærkes også ved den stigende anvendelse af fotokopier. I talrige tilfælde tjener fotokopierede dokumenter (f.eks. tilladelser mv.) samme funktioner som originaleksemplaret. Retsplejelovens § 351, stk. 3, der pålægger procesparter at fremlægge sagens "dokumenter", håndteres i vid udstrækning således, at retterne tillader fremlæggelse af fotokopier. At der eksisterer en kopi indicerer, at der foreligger en tilsvarende original. Forfalskning i forbindelse med fotokopiering er ikke hyppigt forekommende, og den forvanskning, der kan indtræde under selve kopieringsprocessen, fremstår almindeligvis klart for omverdenen. Det er altså ikke retlige krav, der tvinger retslivet til at gøre brug af papirmediet. Når handelspartnerne desuagtet ofte besegler rettigheder og forpligtelser med papir, skyldes det først og fremmest praktiske forhold af den art, der ligeledes har ført til papirets dominans som grundlag for etablering af aftaleretlige forpligtelser. Hvor digital information alene kan læses ved hjælp af udstyr, kan den skrevne tekst læses af enhver, der har kendskab til det pågældende sprog. Papiret er velkendt og let håndterbart for alle. De hændelser, hvorved information knyttes til papiret, har man typisk kontrol over. 4.3.b. BevismulighederneMulighederne for at føre et elektronisk bevis beror først og fremmest på det anvendte medium. Herudover spiller det ind, hvorledes de agerende parter har optrådt i forbindelse med dette medium, jf. herom i afsnit 4.3.d. Telex Det første elektroniske medium, der har vundet generel anvendelse som grundlag for aftaleindgåelse mv. er fjernskriverteknologien, også kaldet telex. Telex er en videreudvikling af telegrafi, hvorved data overføres bogstav for bogstav i en kode (morsealfabetet), der repræsenterer hvert bogstav med lange og korte signaler. Til hvert tegn hører en impuls (en elektrisk strøm), der transmitteres på nettet fra en telex-maskine og til en anden, hvor den frembringer et tegn. Telex-transmission sker på et særligt ledningsnet, der er adskilt fra telefonnettet. Telex-transmission har længe været det mest populære medium for elektronisk kommunikation, bl.a. fordi telex-proceduren frembringer en kvittering for modtagelsen. Når afsenderen kalder op til modtagerens telex, responderer denne med et såkaldt tilbagesvar, som afsenderen på forhånd kender, men som han ikke indtaster. Dermed ved afsenderen, at han har nået den tilsigtede adressat. Dernæst kan telex-maskiner forsynes med krypteringsmekanismer, der tjener til at godtgøre, at modtageren er, hvem han giver sig ud for. Derimod må dato og tid indføjes af afsenderen i meddelelsen. Disse faciliteter har bevirket, at telex i mange år har været anvendt til transmission af vitale handelsdata over store afstande, hvor mediet har været overfladeposten langt overlegen. I dag anvendes telex primært ved handelssamkvem med parter, der ikke har adgang til et effektivt telefonnet, f.eks. i østeuropæiske handelssamkvem. Sammenlignet med telefax og anden elektronisk telekommunikation er telex-mediets største svaghed, at telex er inkompatibel med andre af de informationsmedier, virksomhederne anvender. Ved afsendelsen må et brev, der allerede var udskrevet på papir, genindskrives manuelt i telex-maskinen. Udover den ressourcebelastning, der er forbundet hermed, giver dette risiko for fejl. Dernæst er man afskåret fra at sende telex-dokumenter i særlige formater, skemaer mv., idet telex alene betjener sig af et snævert afgrænset tegnsæt. Moderne telex-udstyr kan dog integreres med tekstbehandlingsudstyr, således at en fil overføres direkte i telex-maskinen og herefter transmitteres ud på nettet som en telex-meddelelse. Når man almindeligvis knytter autoritet til telex-overførelser, hænger det ikke blot sammen med de førnævnte tekniske kvitterings-faciliteter og sikkerhedsmuligheder. Det praktiske retsliv har vænnet sig til telex som et i hovedsagen pålideligt medium, hvis fejlkilder kan imødegås ved omhyggelighed med den transmitterede information (skrives et tal både med cifre og bogstaver, er risikoen for fejl minimal etc.). Dernæst har telex ofte været anvendt af parter, der har haft hyppig og løbende kommunikation, hvor den enkelte telex indgår i en sammenhæng med andre bevismidler ("sammenhængsbevis"). I den trykte danske retspraksis har telex såvidt ses ikke givet anledning til principielle bevis- eller aftaleretlige problemer. Telefax Telefax udgør i dag den hyppigst anvendte teknologi til elektronisk transmission af tekst over afstande. I modsætning til telex overfører fax-transmissionen den information, der fremtræder visuelt på en papirflade, f.eks. som ord, billeder, håndskrift mv. Ved transmissionen scannes dette billede ind i afsender-faxen, hvor det konverteres til digitale signaler, der transmitteres via det offentlige telefoni-net for at blive modtaget i modtager-telefaxen. Her konverteres det til et tilsvarende billede, som enten udskrives på en ny side eller lagres i fax-maskinens hukommelse. Telefax kan dog også sendes rent digitalt fra computer til telefax-apparat, fra computer til computer eller fra telefax til computer. I relation til denne teknologi er der således indtrådt en betydelig grad af konvergens. Afgørende er, om den pågældende standard (telefaxens "sprog") er overholdt af afsender og modtager. - sikkerhed Telefax-transmission sker i overensstemmelse med standarder udstedt af Statens Teleråd (i overensstemmelse med CCITT's rekommandationer). Standarderne sikrer bl.a., at afsender og modtager identificeres, og at transmissionen forløber som forventet. Efter hver side sender afsender-faxen et såkaldt MPS-signal (Multi Page Signal) til modtager-faxen, der bekræftes med modtager-faxens MCF-signal (Message ConFirmation). Først når MCF-signalet er modtaget, kan næste side sendes. Når sidste side sendes, sender afsender-maskinen et EOP-signal (End Of Procedure), der igen kvitteres med et MCF-signal. Modtagelsen af dette MCF-signal giver afsenderens maskine ordre til at skrive "OK", der markerer afslutningen på telefax-transmissionen. To parter kan også kommunikere via telefax efter særlige standarder, bl.a. for at hindre aflytning. Se til illustration herom Secure Services Technology, Inc. v. Time and Space Processing, 722 F.Supp. 1354 (1989) om ophavsretlig beskyttelse af en kommunikationsprotokol til en særlig "high security" fax maskine. - bevisværdi Som bevismiddel fungerer en telefax nogenlunde som en fotokopi af et brev, og det er i dag almindeligt anerkendt, at telefax-kopien af en underskrevet kontrakt udgør et bevis for aftaleindgåelse. Denne praksis kan dog ikke helt overføres til den rent digitale telefax, hvor teksten frembringes af afsenderens computer. Undertiden anerkendes telefax som bevis for, at en meddelelse er sendt til en given part. Dette skyldes, at telefax-transmissioner normalt afsluttes med, at afsender-maskinen udskriver en såkaldt transmissionsrapport (activity report). Bevisværdien af denne rapport beror dog på de nærmere omstændigheder omkring afsendelsen og modtagelsen af det pågældende telefax-dokument, herunder ikke mindst sammenhængsbeviset. Det må antages, at beviskravene skærpes, hvis der er tale om et påkravsdokument, der tilsigter at udløse bestemte retsvirkninger, sml. således den utrykte ØLD, af 21. august 1998, der er omtalt i Advokaten 2/1999, s. 76. Dommen fandt det ikke bevist, at en telefax-transmitteret ophævelse i henhold til lejelovens regler, som ifølge lejeren var fremsendt til en defekt telefax-maskine, var kommet frem til lejeren. Udsættelse nægtedes derfor. - tidsbeviset Transmissionsrapporten angiver, hvor mange sider der er sendt og til hvilken abonnent. På visse fax-maskiner angives herudover tidspunktet for transmissionen. Ved siden af originaldokumentet, som dog almindeligvis vil være upåvirket af telefax-transmissionen, vil denne rapport være det eneste "bevis" for, at der er afsendt en fax. Bevisværdien af denne rapport er dog begrænset. Tidspunktet for afsendelsen bestemmes af det ur, der er placeret i afsenderapparatet, og dette ur indstilles af fax-operatøren. Rapportens angivelse af antal transmitterede sider siger dernæst intet om, hvilke sider der er tale om. Transmission af blanke sider vil figurere på linie med transmission af tekstfulde sider. Blanke sider vil dog pga. den nødvendige scanningsproces blive transmitteret hurtigere end informationstunge sider. Men da transmissionstiden også påvirkes af andre faktorer - net-tilgængelighed, varighed af handshake procedure etc. - står tid og informationsmængde ikke i et så præcist forhold til hinanden, at man kan regne baglæns fra tidsforbruget og til informationsmængden. Dertil kommer, at modtagermaskinens anerkendelse af, at en telefax er modtaget, ikke indebærer bevis for, at det modtagne også er læsbart. Som nærmere udviklet i afsnit 19.1.e. må det ikke desto mindre antages, at telefaxen i sådanne tilfælde er "kommet frem". Internet-kommunikation Da Internet fik sit første kommercielle gennembrud, var det som understøttelse af bruger-til-bruger-kommunikation ("one-to-one communication"), hvor kommunikationsprocessen alene indbefatter en afsender og en modtager. I en sådan kommunikation mellem parter, der (typisk) i forvejen kender hinanden, spiller nettet samme rolle som teleselskabet gør ved telefoni og postvæsenet ved postbesørgelsen. Bruger-til-bruger-kommunikation kan enten ske ved, at parterne udveksler tekstmeddelelser med hinanden som i en telefon (såkaldt "chat", altså "snak"), ved at der overføres elektroniske meddelelser i særskilte pakker (elektronisk post) eller som isolerede tekstmængder (såkaldt filoverførelse). Uanset om digitale meddelelser overføres på denne måde eller ved kommunikation "one to many" (f.eks. via hjemmesider eller nyhedsgrupper), kopieres den enkelte meddelelse fra et medium til et andet i en lang kæde, der ultimativt fører til, at meddelelsen til sidst genskabes på et medium, som den tilsigtede modtager har adgang til. Denne procedure forudsætter en protokol, der fastslår, hvilke dataelementer der flyttes hvorhen og i hvilken rækkefølge. De Internet-protokoller, der anvendes, indebærer, at man ikke på forhånd ved, hvilke routere og hosts meddelelsen lægger sig på undervejs fra afsender til bruger. Elektronisk post Når meddelelser udveksles som led i elektronisk post (e-post), går meddelelsen fra og til en e-postadresse på Internet. E-postadressen styres af en Internet-leverandør, der som led i sin tjeneste vil tilbyde funktioner, hvorefter pakken ligger klar til afhentning, når brugeren kobler sig op på systemet. Visse systemer vil tillige sende en kvittering til afsenderen, når en meddelelse er modtaget, henholdsvis læst af denne. Generelt vil systemet advare afsenderen inden et par dage eller timer, hvis en e-mail-meddelelse ikke kommer frem. Denne advarselsfunktion er dog ikke ganske sikker. Under et må det nok siges, at afsendelse og modtagelse af e-mail ikke foregår under særligt høje sikkerhedskrav. Ligeledes må det antages, at de transaktionsoplysninger, der registreres i forbindelse med megen elektronisk kommunikation, i sig selv har en begrænset bevisværdi, bl.a. fordi det er forholdsvis enkelt at ændre disse oplysninger efterfølgende, uden at en sådan ændring kan eftervises. 4.3.c. BevisreguleringenEt bevis knytter altid an til et tema: den faktiske omstændighed, som beviset skal godtgøre eksistensen af, og som - direkte eller indirekte - er slået an i retsreglen. Temaets karakter vil bero på sagens problem. Bevisbedømmelsens frihed Dansk bevisret bygger på få og generelle principper, der dels fremgår af retsplejeloven, dels udledes af domstolenes praksis. Efter retsplejelovens § 344 afgør retten på grundlag af det, der er passeret under forhandlingerne og bevisførelsen, hvilke faktiske omstændigheder der skal lægges til grund for sagens pådømmelse. Lovens § 896, der gælder i straffeprocessen, fastslår udtrykkeligt, at bedømmelsen af bevisernes vægt ikke er bundet ved lovregler. Begge regler udtrykker en almindelig grundsætning om bevisbedømmelsens frihed, der ligeledes afspejles i en række af de materielle retsregler, jf. hertil i det hele IT-sikkerhedsrådet: Digitale dokumenters bevisværdi (1999). Se ligeledes CISG artikel 11, hvorefter beviset for en aftale kan godtgøres på en hvilken som helst måde og nærmere Gomard: Civilprocessen, 5. udg. (2000), s. 495 ff., Eva Smith: Civilproces, 4.udg. (2000), s. 140 ff., Zahle U1978B.375 ff. og i det hele Klaus Østergaard Jensen: Elektronisk udveksling af informationer i juridisk belysning. EDB-gruppen Herning, Oktober 1996. De fleste former for bevis kan derfor fremføres for en dansk domstol, sml. f.eks. U 1984.40 H, U 1997.1290 ØLK og U 2000.2210 H, der alle tillod afspilning af, henholdsvis fremlæggelse af udskrifter fra, en båndoptagelse og U 1999.673 ØLK, der tillod afspilning af en videofilm med henblik på spørgsmål til skønsmand. Se tilsvarende TBB 2000.224 Ø, der tillod afspilning af videooptagelser i en lejesag til brug for rettens vurdering af sammenligningslejemål. Der er således ingen tvivl om, at også digitale bevismidler kan føres og efter omstændighederne kan tillægges vægt ved danske domstole. Det sidstnævnte resultat følger udtrykkeligt af art. 5 i direktivet om elektroniske signaturer (1999/93/EF), hvis stk. 2, litra b) fastslår, at medlemsstaterne skal sikre, at avancerede elektroniske signaturer, der er baseret på et kvalificeret certifikat, og som er genereret af et sikkert signaturgenereringssystem, kan godtages som bevismateriale under retssager. Bestemmelsen er ikke implementeret direkte i dansk ret, da dette så åbenbart følger af gældende bevisret. Digitale medier synes således første gang - omend forudsætningsvis - antaget ved U 1978.652 HKK, der fulgte en begæring fra anklagemyndigheden om udlevering af navne, CPR-numre og adresser fra et socialkontor's IT-system med henblik på en straffesag. Kendelsen tager dog ikke stilling til, hvorvidt - og i givet fald: hvordan - de pågældende edb-lister ville kunne anvendes som bevis under den senere sag. Se tilsvarende U 1994.576 H, hvor Værdipapircentralen blev pålagt pligt til at udlevere elektronisk lagrede oplysninger til brug for en straffesag, jf. retsplejeloven § 827. I henhold til strfl. § 263, stk. 1 nr. 1, er det alene strafbart at aflytte eller optage udtalelser fremsat i enrum, telefonsamtaler eller anden samtale mellem andre eller forhandlinger i lukket møde, som gerningsmanden ikke selv deltager i. Ifølge de Regler om god Advokatskik, der er vedtaget af advokatrådet (senest den 30. maj 1991 med ændring af 15. august 1991), må en advokat dog ikke optage eller medvirke til optagelse af telefonsamtaler eller andre kommunikationer på lydbånd eller lignende, uden at den anden part eller de andre deltagere på forhånd har samtykket i optagelsen. Hvorvidt det er nødvendigt at oplyse sagen på et givet punkt, beror på rettens skøn over, om belastningen ved at føre et bevis står i forhold til sagens genstand, og på mulighederne for, at beviset vil belyse relevante dele af sagsforløbet. Bevisadgangen vil ofte være større i sager, der udspringer af et kompliceret forløb, og som involverer store værdier. Tilsvarende vil man ofte give friere adgang til at føre bevis i voldgiftssager, hvor der ikke er mulighed for appel, end i byretssager. Bevisvægt At kunne føre et bevis er ikke ensbetydende med, at beviset tillægges vægt ved sagens pådømmelse. I denne vurdering vil dommeren sammenligne det pågældende forhold med sin egen fornemmelse af livets erfaringer. Dele af handlingsforløbet vil gradvist sammensætte sig til det billede, dommeren herefter lægger til grund. Dommerens bevisskøn må inddrage visse normative hensyn. Derfor opererer man i praksis med forskellige bevisformodninger. Ved afgørelsen af, om et bevis opfylder den bevisbyrde, der påhviler en procespart, må man inddrage de konsekvenser, der vil følge af at operere med et lavt eller strengt beviskrav. Strenge beviskrav vil alt andet lige tilskynde parterne til forudgående at sikre sig deres bevis. På den anden side kan de føre til en ubillig forskelsbehandling mellem dem, der er forudseende nok til at sikre deres beviser, og andre. Risikoregler Det kommer for det første den part, der er nærmest til at sikre sig et bevis, til skade, at han i det konkrete tilfælde ikke har sikret sig. Har man f.eks. teknisk mulighed for i sit IT-system at registrere tidspunktet for afsendelse og modtagelse af transmissioner (f.eks. gennem logning el.lign.), kan undladelse af at gøre brug af disse faciliteter efter omstændighederne komme den systemansvarlige til skade, når han skal føre sit bevis for, hvornår en meddelelse blev sendt. Synspunktet rummer et culpa-element i sig og forudsætter en kvalificeret vurdering af den almindeligt fulgte handlemåde. Er det f.eks. sædvanligt at anmode modtageren af en meddelelse om at kvittere herfor, og undlader man at anmode herom, har man i givet fald selv bevisbyrden for, at meddelelsen er sendt. Tilsvarende, hvis det i en given sammenhæng ikke forventes, at kommunikerende parter gør brug af log, vil en undladelse af at gøre dette næppe få negative bevisvirkninger. Enhver form for bevissikring er ikke nødvendigvis til fordel for den bevissikrende. I U 1985.877 H havde en forbruger sikret sig et bevis for en prisangivelse i en forretning ved at fotografere dennes udstillingsvindue. Højesterets flertal anså dette som et indicium for ond tro om rigtigheden af den pågældende - fejlagtige - prismærkning. Retlige hensyn For det andet beror beviskravene på retsforholdets karakter. Er der store værdier på spil, vil man i almindelighed stille større krav til bevissikringen end ved mindre værdier. Således skal der i almindelighed meget til at fastslå, at endelig aftale om køb af fast ejendom er indgået mundtligt, om end et sådant bevis kan tænkes, jf. til illustration dommene i U 1988.233 H og U 1988.522 H. Ligeledes kan offentligretlige krav få betydning. U 1989.1098 H lod f.eks. bevisbyrden for, at en havelåge stod åben, falde på havelågens indehaver, da havelågen var indrettet i strid med en bygningsforskrift, der påbød lukkeanordning. "Hearsay" Dansk ret indeholder ikke - som visse udenlandske retssystemer - et forbud mod indirekte beviser (såkaldt hearsay evidence). Selv om vidne- og dokumentbeviserne dominerer i danske retssale, afskærer det forhold, at en hændelse hverken er bevidnet eller beseglet, ikke parterne fra at bevise, at den fandt sted. Talrige masseforsendelser afsendes af offentlige myndigheder, banker, forsikringsselskaber og organisationer, uden at der ligger nogen specifik vilje bag hvert enkelt brev. I sådanne tilfælde, samt hvor hændelsen er initieret automatisk, må der føres bevis for systemets indhold eller egenskaber. 4.3.d. Bevisformer1. Aftalt bevis I dispositive sager kan parterne selv råde over processen og træffe aftaler om dens tilrettelæggelse og førelse. Denne frihed gælder imidlertid kun under processen, hvor rækkevidden af procesaftalen er til at overskue. Anderledes stiller det sig med bevisaftaler indgået før processen, hvor aftalefriheden dels kolliderer med reglerne om bevisbedømmelsens frihed, dels kan risikere at medføre uoverskuelige konsekvenser for parterne. Det antages derfor, at en aftale, der på forhånd afskærer en part fra at føre et bevis, ikke udelukker adgangen til at føre modbevis, jf. nærmere Gomard (2000), s. 472 f. I de kommunikationsaftaler, der ofte indgås mellem parter, der påtænker at anvende digital teknik som grundlag for deres samhandelsforhold, indtager den bevisretlige regulering en central placering. - gyldighed I konsekvens af dansk rets udgangspunkt om bevisbedømmelsens frihed er domstolene ikke bundet af forudgående aftaler mellem parterne om, hvorledes et bevis skal føres eller vægtes. En aftale, der fastslår, at en meddelelse skal anses som "afgivet", når modtageren kan bevise, at den må være krypteret efter en særlig algoritme eller ved brug af et magnetkort el.lign., afskærer derfor ikke domstolene fra - hvis der er grundlag herfor i den konkrete sag - at antage, at der foreligger et falsum. Sådanne aftaler er da heller ikke udbredte. Derimod må domstolene i højere grad formodes at ville acceptere aftaler, der omlægger bevisbyrden i den senere sag. Ligeledes vil en vedtagelse om, at der for bestemte, forpligtende meddelelser mv. anvendes særlige medier (f.eks. skriftlig opsigelse), ofte blive fortolket således, at der påhviler den part, der undlader at efterkomme dette krav, en særligt stor bevisbyrde, jf. U 1998.1623 Ø. Den britiske EDIA-kontrakt bestemmer bl.a. i pkt. 5.2, at "[e]ach party accepts the integrity of all Messages and agrees to accord these the same status as would be applicable to a document or to information sent other than by electronic means, unless such Messages can be shown to have been corrupted as a result of technical failure on the part of machine, system or transmission line". En sådan bevisbyrdeaftale vil navnlig have autoritet, hvis den følges op af foranstaltninger, der tjener til at skabe sikkerhed for troværdigheden af det pågældende bevis. 2. Systembevis I tilfælde af tvivl om, hvorvidt en elektronisk meddelelse er afsendt eller modtaget, vil det almindeligvis være nødvendigt at føre bevis for systemets funktioner samt de arbejdsgange, der omgiver det - et såkaldt systembevis. Et sådant bevis vedrørende systemets funktioner må almindeligvis tilvejebringes gennem sagkyndige erklæringer og udtalelser om muligheden for at udskrive forskellige typer af informationer. Se til illustration U 1991.451 V, der på grundlag af diagramark fra fartskriveren i en lastvogn samt forklaringer fra tre sagkyndige vidner lagde til grund, at der var begået en hastighedsoverskridelse. Omvendt fandt landsretten i U 1995.144 V ikke, at de oplysninger om en kommunes udsendelse af årsopgørelser, der var lagt frem under sagen, indebar tilstrækkeligt bevis for, at en årsopgørelse var blevet sendt til og modtaget af tiltalte (som dermed blev frifundet for skatteunddragelse). I sager om kompliceret teknik må beviset for sådanne tekniske forhold ofte føres med bistand af ekspertise udefra. Sådanne sagkyndige erklæringer og vidneudsagn er i almindelighed uproblematiske at have at gøre med, for så vidt de afklarer en teknisk kendsgerning, som retten ikke selv kan anskue eller forstå, men som den sagkyndige med sin ekspertise har fuldt overblik over. Den dømmende instans vil ikke altid - og bør ikke - uden videre lægge indholdet af en sagkyndig erklæring til grund, selv om det vidensspring, der består mellem den og sagkundskaben, ofte vil gøre dette nærliggende. Illustrerende for den autoritet, retten ofte tillægger sagkyndige udtalelser, er retspraksis om påstået misbrug af betalingskort, se herom nedenfor i afsnit 4.3.e. i omtalen af Roskilde Rets dom af 15. oktober 1987 i SS nr. 140/1987 B. Særlige problemer opstår, hvis erklæringen alene udtaler sig om en sandsynlighed eller i øvrigt beror på et skøn. Efter det domstolssystem, der er gældende i Danmark, ligger kompetencen til at udøve sådanne skøn mv. som udgangspunkt hos domstolene, og det er da også fornemmelsen, at domstolene anser sig for bedst skikket hertil. Eksempelvis har domstolene udvist betydelig skepsis overfor grafologiske skøn, se nærmere Palle H. Dige (1945), s. 84 ff. med henvisning til praksis. - arbejdsgange For at supplere oplysningerne om systemfunktionerne er det ofte nødvendigt tillige at belyse de manuelle arbejdsgange, der f.eks. bringer systemets data ud på papir og derfra videre til forsendelse. Dette vil typisk ske gennem afhøringer af de personer, der er placeret ved systemets indlæsnings- og udskrivningsenheder. Se herved U 1990.233 H, der lagde til grund, at en skrivelse - om hvilken der alene forelå et elektronisk lagret bevis for afsendelsen - var afsendt. Der forelå forklaringer af de systemfolk, der stod for den tekniske effektuering af udsendelsen. - masseudsendelser En organisation, der beror på en stærkt styret og effektiv administration, og som fører en hårdhændet sikkerhedspolitik (forsikringsselskaber, banker m.fl.), har lettere ved at løfte en sådan bevisbyrde end en organisation, der anvender mere tilfældige rutiner for, hvordan data bringes fra udskrivningsenheder til adressat. - U 1977.216 Ø Illustrerende herfor er U 1977.216 Ø: Et forsikringsselskab havde opsagt sine forsikringer ved brev til samtlige kunder. Brevene var distribueret automatisk og sendt som masseforsendelser adskilt fra forsikringsselskabets anden post. En forsikringstager bestred at have modtaget den pågældende notits. Han forklarede i retten, at han vel havde modtaget anden post fra selskabet - blot ikke det pågældende brev. Der var under sagen ikke oplyst noget om irregulære omstændigheder ved postgangen. Østre Landsret lagde herefter til grund, at brevet var kommet frem til forsikringstageren. - U 1995.144 V Omvendt fandt Vestre Landsret ved dommen i U 1995.144 V, at en skatteyder ikke havde modtaget kommunens meddelelse om indkomstansættelsen, jf. skattekontrollovens § 16. Vel var tiltalte optaget på den liste, som Kommunedata for den pågældende kommune havde udarbejdet over skatteydere, der ikke havde indleveret selvangivelse; men det var ikke oplyst, hvilken kontrol kommunen havde gennemført samt de nærmere omstændigheder ved udsendelsen. Selv om landsretten fandt, at der var stor sandsynlighed for, at tiltalte havde modtaget denne meddelelse, var sammenhængsbeviset med andre ord ikke ført. For rettens bevisafvejning har det formentlig spillet ind, at der var tale om en straffesag. Det er heller ikke uden betydning, hvorledes sådanne skrivelser fremtræder, sml. U 1983.804 Ø, hvor nye begrænsende forsikringsvilkår ikke ansås fremhævet tilstrækkeligt tydeligt til at forpligte forsikringstageren. Et andet resultat nåede Forbrugerklagenævnet til ved den afgørelse, der er gengivet i FKNbrtn 1993-94, s. 245 f. En benzinkunde afviste at være ansvarlig for nogle træk, der var foretaget på hans benzinkort i den periode, hvor kortene var under ombytning fra benzinselskabet. Trækkene var foretaget med det nye kort, som kunden afviste at have modtaget. Under sagen oplyste kortudsteder, at man ingen mulighed havde for at kontrollere, at brevet med det nye kort + kode var afleveret. I stedet kunne man føre systembevis vedrørende den svenske kortproducents sikkerhedsrutiner. Nævnet fandt, at benzinselskabet som kortudsteder bar risikoen for, at fremsendte betalingskort rent faktisk kommer frem. På baggrund af oplysningerne i sagen fandt nævnet ikke, at selskabet havde løftet bevisbyrden for, at kort nr. 2 med tilhørende pin-kode var kommet frem til forbrugeren. Nævnet tilføjede, at benzinselskabet kunne have sikret sig et bevis herfor, f.eks. ved at fremsende kortet anbefalet. Under procesordninger, der ikke anerkender sekundære beviser (hearsay), kan sådanne beviser ikke umiddelbart føres. Federal Rules of Evidence, Rule 803 (6), tillader som en undtagelse fra forbudet mod hearsay-evidence bevisførelser af forretningsmæssige optegnelser mv. "... if kept in the course of a regularly conducted business activity, and if it was the regular practice of that business activity to make the memorandum, report, record, or data compilation, all as shown by the testimony of the custodian or other qualified witness, unless the source of the information or the method or circumstances of preparation indicate lack of trustworthiness.". Se nærmere L. J. Kutten m.fl. (1991), s. 5-22 ff. og om det hertil knyttede systembevis sst. s. 6-29. - Digitale dokumenters bevisværdi En part, der har makuleret et papirbilag, eller på anden måde skaffet det af vejen, står som udgangspunkt bevismæssigt svagt, hvis der efterfølgende opstår tvivl om dokumentets indhold. Denne tvivl kan ganske vist reduceres, hvis dokumentet forinden er blevet fotokopieret - hvis ellers fotokopien er god. Men der er i sagens natur intet fornuftigt formål med at makulere et dokument, hvis man i stedet opbevarer en fotokopi af det. Et sådant formål kan der derimod være, hvis man ønsker at erstatte dokumentet med en digital kopi af det i form af et indscannet dokument, som man herefter ønsker at anvende i den videre sagsbehandling. I sådanne tilfælde søges en eventuel bevisførelse løftet ved, at man lader en udprint af det indscannede dokument tjene som bevis for dets indhold. I disse tilfælde opstår spørgsmålet, om det er bevismæssigt forsvarligt generelt at indføre en procedure, hvorefter modtagne papirdokumenter makuleres, når de er indscannet. - IT-sikkerhedsrådet I IT-sikkerhedsrådets vejledning: Digitale dokumenters bevisværdi, s. 13, udtales det, at en sådan procedure må anses for forsvarlig, hvis der gennemføres en række nærmere angivne foranstaltninger i forbindelse med dokumentets indscanning og efterfølgende lagring. Anbefalingen hviler på min juridiske redegørelse om den bevismæssige stilling, der er optrykt i bilagshæftet til vejledningen, s. 119 f. og 122 ff. Den understøttes i øvrigt af nyere bevisretlig praksis. Ved dommen i U 1997.949 V havde et forsikringsselskab, der havde makuleret en forsikringsbegæring, således løftet den - tunge - bevisbyrde, selskabet havde for, at begæringen på tidspunktet for forsikringstagerens underskrivelse indeholdt et selvrisikobeløb. De procedurer, der således må gennemføres, må for det første sikre, at den information, der indscannes, informationsmæssigt kommer til at svare til originaldokumentet. Med nutidens teknologi er der som regel ingen nævneværdige problemer herved. De fleste systemer til "bitmap"-scanning tilbyder en fasthed i så henseende, der mindst er på højde med den fotokopiering, som almindeligvis nyder anerkendelse ved domstolene. Men for det andet må det sikres, at der ikke sker efterfølgende manipulationer med den indscannede tekst. Navnlig dette krav giver anledning til en del særlige procedurer. Således kræver rådet, at der er gennemført en stram organisatorisk adskillelse af de forskellige funktioner, der spiller en rolle ved indscanningen og brugen af dokumentet. På linje med de retningslinier, der følger af god skik for bogføring og regnskab, og som sikrer, at en enkelt person ikke har kontrol over alle funktioner i processen, udtaler rådet som nævnt, at arbejdsgangene omkring digital dokumentbehandling bør opbygges således, at der gennemføres en klar adskillelse mellem forskellige funktioner i forbindelse med dokumentbehandlingen. For dokumenter, som modtages på papir, bør der således være en organisatorisk adskillelse mellem: 1. Procedurer til modtagelse, scanning og lagring; 2. Kvalitetssikring af scanningen; 3. Sagsbehandlingsfunktioner og 4. IT-driftsfunktioner. Det siger sig selv, at sådanne krav alene er praktikable, hvis man befinder sig inden for en organisation af en vis størrelse. Derfor forudsætter vejledningen, at den primært finder anvendelse i organisationer med mere end 30 ansatte. - makulering? Hvis de nævnte krav opfyldes, udtaler IT-sikkerhedsrådet, at det ikke vil være tilrådeligt at gemme de indscannede dokumenter for f.eks. at opbevare dem i en "dokumentsøjle". Der vil i sagens natur være dokumenter, der ikke bør makuleres, og det vil til enhver tid være op til organisationen at vurdere, hvilke typer af dokumenter som man - af juridiske grunde - vil bevare i original papirform (f.eks. organisationens eksemplar af en kontrakt eller et tilbud). Men ulempen ved at indføre en "dokumentsøjle" ligger i, at man herved etablerer to sideordnede arkiveringssystemer. For offentlige myndigheder kan dette være i strid med de regler, der er fastsat af Statens Arkiver, og som kræver, at elektroniske arkiver skal betragtes som det primære arkiv efter arkivlovens regler. Dertil kommer de særlige bevisproblemer, brugeren vil stille sig i, hvis det efterfølgende viser sig, at et dokument rent faktisk ikke lå i "dokumentsøjlen". 3. Sammenhængsbevis En af de mest effektive metoder til at afsløre usande udsagn består i at konfrontere det enkelte udsagn med andre udsagn eller kendsgerninger. Har man sagt A, må man i mange tilfælde også sige B, C, D osv. Når præmisser udsættes for stringente logiske konsekvensfølger, får den, der ikke har sagligt grundlag for en påstand, ofte vanskeligt ved at opretholde konsekvens og troværdighed. Man kan i disse tilfælde tale om, at der føres et bevis for sammenhængen i en faktuel påstand - et sammenhængsbevis. I det praktiske retsliv tilgodeses muligheden for et efterfølgende sammenhængsbevis f.eks. ved, at vitale forpligtelseserklæringer, der ikke foreligger på tryk eller er manifesteret på anden vis, efterfølgende bekræftes på skrift. Ved at henvise til et afsendt brev i den senere korrespondance kan man på tilsvarende vis indicere, at brevet faktisk er afsendt og modtaget. Modpartens passivitet overfor sådanne tilkendegivelser vil - i hvert fald i forretningsmæssige mellemværender - kunne være bevis på, at brevet er modtaget, og at aftale svarende til bekræftelsen følgelig anses for indgået. Sammenhængsbeviset indgår ofte som en rutinemæssig bestanddel i elektronisk kommunikation, fordi man i IT-systemet kan frembringe de ledsagende informationer automatisk, f.eks. i form af en "log", der angiver modtagen og afsendt elektronisk post. Herudover spiller det en stor rolle i praksis, at man kan fremkalde et sammenhængsbevis gennem sin optræden overfor den part, som bevistvivlen i givet fald vil rette sig imod. - kvitteringskrav Dette kan således ske, hvis afsenderen af en meddelelse stiller krav om, 1) at modtageren skal kvittere for meddelelsen, og 2) se bort fra meddelelsen, hvis ikke denne kvittering foreligger. En regel af dette indhold fandt allerede vej til de såkaldte UNCID-regler, som ICC vedtog så tidligt som i 1988, se art. 7, stk. 1. I artiklens andet stykke hedder det videre, at en afsender, der ikke har modtaget anerkendelsen inden for en rimelig eller aftalt tidsramme, skal tage initiativ til at fremskaffe den. Fører dette initiativ ikke til, at modtagelsen anerkendes inden for en yderligere rimelig tidsramme, skal der gives meddelelse herom. Afsenderen er herefter berettiget til at lægge til grund, at meddelelsen ikke er modtaget. Afkrævning af sådanne kvitteringer kan f.eks. meddeles automatisk i en EDI-løsning mellem parterne. En tilsvarende regel findes i art. 14 i UNCITRAL-modelloven om Electronic Commerce (1996). Artiklen giver ligeledes regler om retsstillingen mellem parterne, når et sådant krav er stillet: Modtages i så fald ikke en kvittering, kan afsenderen efterfølgende give meddelelse (reelt sætte en slags Nachfrist) om, at meddelelsen vil blive betragtet som ikke afsendt, hvis ikke kvittering modtages inden for "a reasonable time". 4.3.e. Særlige bevisreglerBetalingsmidler Ved brug af betalingskort og andre betalingsmidler omfattet af LVB (lov om visse betalingsmidler) kan der opstå bevismæssig tvivl om, hvorvidt et betalingskort har været anvendt eller ikke. Denne bevissituation stiller sig forskelligt, alt efter om betalingsmidlet har været anvendt i den fysiske handel - under tilstedeværelse af i hvert fald en af parterne - eller i Internet-handel (hvor muligheden består for, at der kun er en part "tilstede", nemlig den gerningsmand, der retsstridigt anvender det pågældende betalingsmiddel). - Internet-handel Når der i forbindelse med Internet-handel opstår spørgsmål om, hvorvidt et betalingsmiddel er anvendt ved brug af betalingsmidlet som sådant (men uden tilhørende SET-signaturnøgle), må bevistvivl i almindelighed komme betalingsmodtageren (forretningsstedet) til skade. Kan betalingsmodtageren ikke bevise, at indehaveren af betalingsmidlet rent faktisk benyttede det, må der ikke debiteres fra betalingsmidlet. I konsekvens af dette udgangspunkt kan Dankort-betalinger herhjemme alene anvendes til betaling på nettet, hvis de understøttes med en krypteringsløsning baseret på enten den meget udbredte SSL-standard (der giver kunden sikkerhed for forretningens identitet, men som ikke giver forretningen en tilsvarende sikkerhed for kundens) eller på den mere avancerede SET-standard, der dog (endnu?) ikke har opnået stor udbredelse herhjemme. Det fremgår af Konkurrencestyrelsens redegørelse om Konkurrenceforholdene på betalingskortmarkedet (2000), s. 50, at der sker svindel med betalingskort i op mod 10 % af handlerne på nettet i USA. Til sammenligning sker der kun misbrug i omkring 1% af de handler, hvor køber og sælger er tilstede på samme tid. Efter reglerne i LVB § 11 bærer forbrugerne dog kun risikoen herfor, hvis de ikke har anmeldt, at kortet er blevet stjålet eller tabt. Ved Internet-betaling baseret på SSL-standarden betaler forretningsstedet 0,15% af transaktionsbeløbet, udover den faste transaktionsafgift på 1,95 kr. (som også - men da kun - betales, når Internet-betaling sker på grundlag af SET-standarden). I overensstemmelse med det bevisretlige udgangspunkt fastslår Forbrugerombudsmandens 1996-retningslinier om brug af betalingskort i forbindelse med Internet-handel, se <www.fs.dk>, at en Internet-butik har pligt til at sætte debiteringen i bero - eller tilbageføre denne, hvis den er gennemført - hvis kunden gør gældende, at det enten ikke er kunden selv, der har foretaget eller givet tilladelse til betalingstransaktionen, at de bestilte varer ikke er blevet leveret, eller at kunden ønsker at udnytte en lovbestemt eller aftalt fortrydelsesret. - fysisk handel Situationen stiller sig noget anderledes, når betalingskort anvendes i den almindelige handel. En betalingskortindehaver, der gør gældende, at han på intet tidspunkt har sluppet hverken sit betalingskort eller dets kode, uanset der rent faktisk er sket træk herpå, står som udgangspunkt svagt, hvis der alligevel er sket træk på den pågældende konto. Betalingskortsystemerne er undergivet sikkerhedsmæssigt tilsyn af Forbrugerombudsmanden, jf. LVB § 4, og uden for tilfælde, hvor betalingskort og kode er blevet kopieret i forbindelse med brug af falske betalingskort-automater (i hvilke tilfælde der viser sig en flerhed af uberettigede hævninger, gerne udført uden for Danmark) vil det være vanskeligt at skabe en bevisformodning for, at hævningen ikke er autoriseret af kortindehaveren. At mange pengeinstitutter vælger at afslutte sådanne sager ved kulant inddækning er muligvis motiveret af ønsket om at undgå, at der i offentligheden danner sig en - måske ubegrundet - mistro til sikkerheden af de elektroniske betalingssystemer. Talrige sager af denne art har været afgjort i byretspraksis. Se til eksempel dom afsagt af Retten i Roskilde, 15. oktober 1987 i SS nr. 140/1987 B, der afviste en forklaring afgivet af en Dankort-bruger om, at denne ikke havde udført et antal træk på sit kort. Dommen henviser til, at der i forbindelse med oprettelse af Dankort-systemet er truffet en række sikkerhedsforanstaltninger for at forhindre, at der sker misbrug af kortet, og at det er praktisk umuligt gentagne gange at hæve på kontoen uden kontohaverens medvirken. Begrundelsen er ikke uproblematisk, og dommens resultat kunne være nået ved hjælp af et sammenhængsbevis, sml. herom nedenfor, eller ved en troværdighedsvurdering af de afgivne forklaringer. Et tilsvarende bevis er i 1986 lagt til grund af Svea Hovrätt, se Lindberg (1987), s. 83 - ligeledes i en straffesag. Det norske Bankklagenemda har afvist lignende sager under henvisning til, at kundens oplysninger var så ekstraordinære, at sagen ikke egnede sig til skriftlig behandlingsform, se Complex 5/90, s. 98 (1989), sml. om dansk praksis Møgelvang-Hansen i Complex 5/91, s. 136 f., der bl.a. omtaler PIA 493/1989, hvor kortindehaverens manglende bidrag til sagens oplysning blev udslagsgivende. Sager, hvor kortindehaveren bestrider, at kortet har været brugt til betaling af et så stort beløb som det bogførte (f.eks. pga. manglende omhu med at kontrollere det beløb, der angives, inden man taster "godkend" på salgsstedets terminal), må løses efter almindelige bevisretlige regler: Bevisbyrden for, at kortindehaveren har modtaget ydelser for et mindre beløb end det trukne, påhviler som udgangspunkt denne, hvis den gældende pin-kode er indtastet. Men denne bevisformodning kan svækkes, hvis der er tale om et usædvanligt stort beløb og omstændighederne i øvrigt tyder på, at der har foreligget en fejl. Se i den forbindelse dommen i U 2000.1853 V, hvor det fandtes bevist, at et Dankort kun havde været anvendt til køb af drinks på en natklub for en værdi af 105 kr., uagtet kortindehaveren med sin pin-kode havde godkendt et træk på 10.500 kr. Regningsklager Et andet retsområde, hvor der hyppigt forekommer bevismæssig tvivl om, hvorvidt en digital transaktion har fundet sted, er klager over teleregninger. Også for disse tilfælde er det kendetegnende, at bevisførelsen knytter sig til et tema, som udspiller sig uden samtidig tilstedeværelse af parter og vidner. Sådanne regningsklager afgøres løbende af Telebrugernævnet, se <www.telestyrelsen.dk>, og ofte under inddragelse af sagkyndige erklæringer mv. Retsanvendelsen må her falde tilbage på systembeviser kombineret med sandsynligheden for, at der foreligger retsstridigt misbrug fra anden side. Tidligere afgjordes disse sager af Forbrugerklagenævnet, se JÅF 1990.88 om bevisbyrden for, at det opkrævede beløb på en telefonregning ikke svarede til forbrugte telefonsamtaler. Teleselskabet fik her medhold under dissens og JÅF 1997.97, der fastslår, at teleleverandøren har bevisbyrden for, at sex-ydelser leveret pr. telefoni var bestilt af abonnenten. Ifølge § 24 i lov nr. 418 af 31. maj 2000 om konkurrence- og forbrugerforhold på telemarkedet kan Telestyrelsen henvise en klage til afgørelse i Telebrugernævnet, hvis den på grund af særlige forhold af bevismæssig karakter ikke skønnes egnet til behandling i Telestyrelsen. Denne henvisningsmulighed gælder bl.a. i sager, der drejer sig om de "grundlæggende brugerrettigheder", som forskningsministeren ifølge lovens § 10 kan fastsætte regler om. I ganske betydelige sagsmængder inden for dette område foreligger de forbrugerklager (herunder regningsklager), som knytter sig til enkelte teleleverandørers ydelser. Der foreligger en righoldig praksis fra Telebrugernævnet, som er tilgængelig fra adressen <www.telebrugernaevnet.dk>. 4.4. Aftaler om IT-sikkerhed4.4.a. ProblemstillingAftaler om IT-sikkerhed indgås som regel kun for systemer af en vis størrelse og følsomhed. Spektret spænder fra den meget udbredte aftale om vedligeholdelse, som hyppigt forekommer i erhvervsmæssige driftsmiljøer af en vis størrelse, og til aftaler om mere særegne sikkerhedsløsninger - backup-centre, kildetekstdeponeringer og public key-infrastruktur. 4.4.b. VedligeholdelseEn aftale om vedligeholdelse af et IT-system tilsigter at give brugeren en driftsmæssig stabilitet, der sikrer, at behov og funktion stedse svarer til hinanden. "Vedligeholdelse" af IT dækker dog ikke over helt det samme som vedligeholdelse af f.eks. biler og maskiner. Vel er visse aspekter ved IT-vedligeholdelse sammenfaldende med den vedligeholdelse af mekaniske dele, man kender i relation til andet teknisk udstyr - f.eks. justering af diskettestationer, rensning af magnethoveder og støvsugning af kabinetter. Men med nutidens modulært opbyggede systemer har dette arbejde undertiden håndværksmæssig karakter. I en række tilfælde er det leverandøren af systemet, der yder denne vedligeholdelse, og overdragelse/implementering henholdsvis vedligeholdelse kan derfor være integrerede dele af samme kontrakt, jf. f.eks. modellen i K18 og K33. Undertiden består der ligefrem en økonomisk sammenhæng mellem overdragelse og vedligeholdelse efter princippet om gyngerne og karrusellerne: Leverandøren prissætter sit system lavere mod til gengæld at få sin fortjeneste hjem i det lange løb gennem vedligeholdelsesafgifterne. De større problemer omkring vedligeholdelse angår programmerne: dels den retning af småfejl og uhensigtsmæssigheder, der er en nødvendig følge af, at programmer aldrig er fejlfri, dels de ændringer, der er nødvendige for, at systemet kan modsvare de ydre forhold, det skal virke i (f.eks. rente- og afgiftssatser i et bogholderisystem). Var IT-systemerne 100% driftssikre og altid i harmoni med brugernes forudsætninger, ville der ikke være brug for vedligeholdelse. Et IT-system er imidlertid et fleksibelt værktøj, der stedse må tilpasses de gældende tekniske, regnskabsmæssige, juridiske og brugermæssige behov. Dernæst vil IT-systemer som regel være behæftet med fejl, der ofte optræder under uforudsete vilkår mv. Dette rejser et almindeligt behov for stedse at kunne ændre IT-systemets indmad - at vedligeholde det. IT-vedligeholdelse har forskellig karakter, alt efter om der er tale om hardware eller software. For så vidt angår hardware (f.eks. printere, skærme, diskette- og båndstationer mv.) vil IT-brug og ydre påvirkninger være forbundet med slitage. Her indebærer vedligeholdelsen en teknisk pasning i form af f.eks. rengøring og udskiftning af bevægelige dele (forbrugsdele, f.eks. tonervæske, dog typisk undtaget). Et sådant slid opstår ikke på softwaresiden. Programvedligeholdelse afhjælper de uhensigtsmæssigheder og småfejl, som edb-programmer uundgåelig vil lide af, og sikrer den tilpasning, der er nødvendig, når brugerens organisatoriske miljø ændrer sig. En sådan vedligeholdelse vil enten ske i form af løbende fejlretning eller ved opdatering, hvorved brugeren modtager en ny udgave af programproduktet. Uden særlig aftale kan køberen ikke forvente, at standardprogrammel vedligeholdes, ved at leverandøren efterfølgende tilbyder nye versioner af det. Det vil almindeligvis ligge klart, at leverandørens opdateringer hviler økonomisk i sig selv. Forholdet vil sjældent være således, at en del af købesummen dækker efterfølgende udvikling af nye versioner. Forsvinder markedet for disse nye versioner, forsvinder incitamentet ligeledes. En pligt til at forlange en økonomisk urentabel opdatering af et standardprogram må derfor have sikker aftalemæssig hjemmel. I amerikansk retspraksis er man endog gået så vidt, at man har bortfortolket en kontraktsforpligtelse, hvorefter leverandøren skulle tilvejebringe "field installable model upgrades", se Storage Technology Corp. v. Trust Company of New Jersey, 842 F.2d 54 (1988). Kildetekstadgang Man kan kun vedligeholde et edb-program med adgang til dets kildetekst. Men da den, der har kildeteksten i hånden, forholdsvis enkelt kan frembringe lignende systemer, der i det ydre ingen lighed har med det eksisterende, er det almindeligt, at rettighedshaveren nægter at give kildetekst fra sig. Denne praksis er vel under opblødning i konsekvens af den såkaldte open source-bevægelse, der går ind for, at kildetekst skal være tilgængelig for brugeren, bl.a. med henblik på fejlrettelse og opdatering. Men holdes kildeteksten i closed source har brugeren et behov for at etablere ordninger, hvorved den kan skaffes til veje fra en uafhængig tredjepart hos hvem den er deponeret. Et program, som giver brugeren denne mulighed, er derfor mere "værdifuldt" for brugeren end ét, der i sin yderste konsekvens aldrig vil kunne opdateres. Der er i øvrigt forskellige opfattelser af, om det generelt er en sikkerhedsmæssig fordel, at kildeteksten til et program er offentligt kendt. På den ene side giver det - alt andet lige - en højere sikkerhed, at brugeren kan konstatere, hvorfor programmet fungerer som det gør. Men på den anden side indebærer denne viden også, at en gerningsmand, der har i sinde at udnytte svagheder i programmet (f.eks. til at installere en virus eller skaffe sig adgang til hemmeligholdt information) har lettere herved. Her, som på andre områder af læren om IT-sikkerhed, kan der ikke gives generelle svar. Den enkelte bruger må ud fra en konkret risikovurdering bestemme sig for, hvad der passer bedst i hans situation. Dokumentation Selv om man råder over kildeteksten, kan vedligeholdelse være mere eller mindre kompliceret. Mulighederne for at ændre et program beror på, hvor godt programmet er dokumenteret, dvs. hvor klart og præcist de ledsagende beskrivelser er formuleret. Mange IT-systemer, der udvikles i småvirksomheders IT-afdelinger, udspringer af en enkelt programmørs arbejde. Denne person er måske tilmed overbelastet, og da han - subjektivt - godt kan huske, hvordan han skrev de enkelte programmer, får han aldrig skrevet dokumentationen ned. Problemet kommer da først op til overfladen, når medarbejderen forlader afdelingen - og en anden skal træde i hans sted - eller hvis virksomheden skulle finde på at sælge et eksemplar af sit system til en anden virksomhed, der herefter selv skal vedligeholde det. Andre forhold Endelig beror vedligeholdelsesmuligheden på en række forhold, der har at gøre med det enkelte programs karakter. Bl.a. spiller den struktur, der er lagt til grund i systemet, en stor rolle for muligheden for at vedligeholde. I et dårligt struktureret program, hvor en udenforstående hverken kan se hoved eller hale i mængden af programinstruktioner, er det selvsagt vanskeligere at finde den instruktion, der skal ændres, end i et klart struktureret program. Også dette udgør et væsentlig kvalitetsparameter. På markedet for standardprogrammel indgås der sjældent aftaler om vedligeholdelse. Brugerens behov tilgodeses af markedsmekanismerne. Leverandører af standardløsninger giver ofte udtrykkeligt eller forudsat tilsagn om i fornødent omfang at udsende opdaterede versioner af programmet, når efterfølgende forhold (herunder nye tekniske eller markedsmæssige krav) gør dette nødvendigt. Se f.eks. K18, bilag 10, pkt. 3.1, hvorefter leverandøren "i overensstemmelse med god praksis inden for branchen" vil udarbejde nye udgaver af det leverede programmel. Sådanne nye versioner eller "releases" kan typisk købes af brugere af tidligere versioner for beløb, der ligger langt under startprisen, forudsat at de medier (diskette, tastatur-skabelon, manual mv.), der hører til den tidligere version, returneres til leverandøren. For de skræddersyede edb-programmer er forholdene anderledes. Når systemet er udviklet og afleveret, vil leverandøren alt andet lige ikke længere være tilskyndet til at vedligeholde systemet. Principielt ville der intet være til hinder for, at brugeren herefter selv forestod vedligeholdelsen. En sådan vedligeholdelse forudsætter en rådighed over kildeteksten; men den vil leverandøren sjældent ønske at give fra sig, sml. dog pkt. 6 i K33, hvorefter dokumentation for specialprogrammel også omfatter "opdaterede kildetekster". Uden særlig aftale herom kan leverandøren nægte at udlevere kildeteksten under henvisning til de residuelle ophavsretlige beføjelser, han ifølge de deklaratoriske regler herom vil være rådig over. I denne interessemodsætning mødes parterne typisk i et kompromis, hvorefter der indgås en vedligeholdelsesaftale med leverandøren. Aftalepraksis Aftalepraksis om vedligeholdelse har endnu ikke udmøntet sig i en veldefineret kontraktspraksis endsige veldefinerede spilleregler. EDB-rådet og administrationsdepartementet udgav i sin tid en kontrakt om vedligeholdelse af databehandlingsudstyr sammen med deres øvrige kontrakter. Kontrakten er næppe anvendelig i dag. Et mere tjenligt forlæg findes i den Specifikation vedrørende vedligeholdelsesforpligtelse, der er optrykt som bilag 10 til K18. Her sondres der mellem vedligeholdelse af udstyr og programmel. For vedligeholdelse af udstyr sondres der herefter mellem forebyggende vedligeholdelse (der navnlig omfatter en pligt til at "efterse, justere, smøre, reparere og om fornødent udskifte dele og enheder, der vil kunne medføre fejl i systemet") og reparation efter tilkaldelse. På programmelsiden sondres mellem udsendelse af nye udgaver af leveret programmel (pkt. 3.1) og fejlrettelse (pkt. 3.2). Se ligeledes pkt. 1.13 i ESF's Totalkontrakt vedrørende levering, installation og vedligeholdelse af et edb-system. Baggrundsret Vedligeholdelsesaftaler er ikke omfattet af købeloven. Ydelsen må rubriceres som andre tjenesteydelser, og kravene til dens indhold udledes af almindelige regler, se hertil afsnit 21.2. Ganske ofte må vedligeholdelsesaftalen forstås således, at vedligeholderen afgiver en form for tilsikring af, at det vedligeholdte system er tilgængeligt i en nærmere fastlagt "oppetid". Sådanne tilsikringer vil dog sjældent indebære nogen pligt for vedligeholderen til at betale kunden erstatning for det driftstab, der lides, hvis den tilsikrede oppetid ikke nås. I vurderingen af, hvilke krav man kan stille til en enkeltstående afhjælpningsydelse (en "reparation") indgår bl.a. et subjektivt vurderingskriterium. Som antaget i betænkning 1133/1988 om forbrugeraftaler om arbejder på løsøre og fast ejendom (forbrugertjenester), s. 73, må et teknisk kompliceret arbejde, hvori der indgår en række usikkerhedsfaktorer (f.eks. at få en teknisk kompliceret genstand til at fungere igen), hvis andet ikke fremgår, ofte fortolkes således, at den erhvervsdrivende blot har påtaget sig at foretage en fagligt forsvarlig undersøgelse af genstanden med henblik på at finde fejlen og i den forbindelse udbedre de forefundne fejl på en fagligt forsvarlig måde. Se hertil afsnit 21.5.d. Særlige problemer Ved formuleringen af en vedligeholdelsesaftale må koncipisten tage aftalens overordnede formål om at sikre driften af det pågældende system i betragtning. Behovet for aftalemæssig sikring må afstemmes med, hvilken pris, kunden er parat til at betale for vedligeholdelsen. Denne afvejning beror dels på systemets funktion, dels på muligheden for at erstatte systemet med andre systemer, der kan opfylde samme funktioner. Varighed Parterne har typisk modsatte interesser i varigheden af en vedligeholdelsesaftale. For kunden er idealet, at systemet er undergivet vedligeholdelsespligt i hele dets forventede levetid, dvs. at vedligeholdelsesaftalen er uopsigelig. Dette ideal vil imidlertid kollidere med leverandørens interesse i ikke at blive bundet til en måske mindre profitabel virksomhed med vedligeholdelse i en uoverskuelig fremtid. Leverandøren vil ikke ønske at vedligeholde en ældre version af et system. At bruge kostbar programmørtid på at korrigere fejl og uhensigtsmæssigheder, der er rettet i senere versioner, savner økonomisk mening. Omvendt vil brugeren ikke altid have interesse i at købe nye versioner. Udover den meromkostning, der vil være forbundet hermed, vil implementeringen af nye faciliteter mv. kunne indebære en belastning af virksomheden og dens medarbejdere, der ikke står i forhold til de mulige nyttevirkninger. Fastlæggelsen af dette forhold beror på talrige faktorer, f.eks. på systemets pris og udbredelse, samt på den pris, der betales for vedligeholdelsen. Ofte aftales en uopsigelighed på 5 år fra leveringstidspunktet, se f.eks. pkt. 1.13.6 i ESF's Totalkontrakt. Hvis ikke leverandøren tilbyder vedligeholdelse efter udløbet af programmets økonomiske levetid og heller ikke tilbyder alternerende, funktionelt identiske, programmer til tilsvarende pris, bør han i almindelighed ikke modsætte sig, at kildeteksten stilles til rådighed for kunden eller for en af leverandøren udpeget virksomhed, der er parat til at videreføre denne opgave. Han har dog næppe pligt hertil uden særlig aftale. Tilkaldetid Et af de forhold, der ved afviklingen af en vedligeholdelsesaftale erfaringsmæssigt rejser problemer, er fastlæggelsen af tilkaldetiden. Brugeren, for hvem en forsinkelse kan være ensbetydende med et lammet produktionsapparat, vil typisk ønske omgående bistand ved nedbrud mv. Leverandøren, for hvem prisen herfor nødvendigvis må betales i form af en øget medarbejderstab, der i givet fald måske ikke vil blive udnyttet optimalt, vil trække i den modsatte retning. Nøglen til at løse denne konflikt ligger bl.a. i aftaler, der giver mulighed for at foretage fejlretning uden samtidigt besøg, f.eks. gennem telefonkonsultation eller med telematisk etableret fjernbetjening af det pågældende system. Reservedele For at kunne vedligeholde enhver form for teknisk udstyr er det nødvendigt at have adgang til de reservedele, der løbende skal udskiftes. Derfor pålægger de fleste aftaler om vedligeholdelse vedligeholderen en pligt til at opretholde et forsvarligt reservedelslager indenfor en afstand, der giver mulighed for at fremskaffe de nødvendige dele uden forsinkelse. Se f.eks. K18, pkt. 5 (7 år) og ESF's totalkontrakt pkt. 1.11 (5 år) og 6. Også på dette punkt vil parterne ofte have modsatte interesser. Et reservedelslager, der blot skal ligge parat med henblik på en uvis eventualitet, vil for vedligeholderen repræsentere et likviditetsbelastende dødt aktiv. Kompromis'et vil her ofte ligge i en aftale, der sondrer mellem mere eller mindre vitale henholdsvis hyppigt anvendte reservedele. Misligholdelse Hvis ikke leverandøren har afgivet indeståelse for, at systemet i en nærmere fastsat periode (aftalt "oppetid") er i funktionsdygtig stand, er det udgangspunktet, at leverandøren alene har pligt til at præstere en fagligt forsvarlig ydelse. En sådan ydelsen kan godt være præsteret, selv om kunden ikke opnår en forventet funktion, sml. herved EDB-rådets udtalelse til Forbrugerklagenævnet af 26. august 1981 (ERA 1.67), der antager, at den omstændighed, at en periodisk fejl kræver flere teknikerbesøg, ikke i sig selv var udtryk for, at udbedringsforsøgene var mangelfulde. Det må i almindelighed bero på en samlet vurdering af aftaleforholdet, om misligholdelse af en pligt til at vedligeholde skal give brugeren ret til at hæve den samlede aftale om leveringen af dette system. Naturalopfyldelse i kildetekst? Foreligger der væsentlig misligholdelse (f.eks. i form af overskridelse af tilkaldetid, gentagne forgæves forsøg på fejlretning el.lign.), vil brugeren stå i valget mellem at ophæve aftalen eller at kræve naturalopfyldelse. I begge tilfælde vil der kunne påløbe krav om erstatning. Da (fortsat) vedligeholdelse af et edb-program forudsætter rådighed over dets kildetekst, opstår i begge tilfælde spørgsmålet om, hvorvidt brugeren kan forlange kildeteksten udleveret. Selv om brugeren herved kan reducere erstatningskravet, er spørgsmålet ikke ukompliceret. Almindeligvis bevares kildeteksten som leverandørens (vedligeholderens) eksklusive erhvervshemmelighed, og han - eller hans konkursbo - vil derfor sjældent ønske at give den fra sig. Spørgsmålet er derfor, om brugeren i disse tilfælde har et retskrav på at få adgang til kildeteksten. Spørgsmålet er ikke afgjort i praksis. Sat på spidsen drejer det sig om, hvorvidt en kontraktsparts berettigede krav på at kunne redressere et retsbrud skal gå forud for modpartens ligeså berettigede interesse i at kunne bibeholde en erhvervshemmelighed. I denne afvejning er det nærliggende at anlægge en helhedsvurdering, der afvejer brugerens skadevirkninger ved ikke at kunne få adgang til den tilsagte funktionalitet, overfor leverandørens risiko for kompromittering af erhvervshemmeligheder mv. Da problemstillingen set i forhold til leverandøren er mindst ligeså indgribende som et krav om ophævelse, må der som minimum stilles krav om, at leverandøren skal have udvist væsentlig misligholdelse. Er dette tilfældet, må der herudover foretages en interesseafvejning. Falder denne ud til brugerens fordel, må dennes ret til at anvende kildeteksten dog i alle tilfælde begrænses til de dele af den, der er nødvendige for at kunne rette opståede fejl og kunne foretage nødvendige opdateringer. Dernæst bør adgangen kun bestå, så længe det er nødvendigt af hensyn til fejlretningen. Lignende begrænsninger ligger til grund for de regler om anvendelsen af dekompilerede programmer, der findes i ophl. § 37. Misligholdelsens virkninger Selv om kunden får medhold i et krav om udlevering af kildeteksten, er hans problemer ikke nødvendigvis løst hermed, da en kildetekst kan være vanskeligt forståelig for uindviede. Da der efter gældende ret ikke er mulighed for at tvangsfuldbyrde et krav om udførelse af personligt arbejde, må man i mange tilfælde indstille sig på, at retssystemet på dette punkt ikke tilbyder en fuldstændig sikring af brugerens interesser. Udgør vedligeholdelsesforpligtelsen en integreret del af leverandørens samlede præstation, opstår spørgsmålet om, hvorvidt en misligholdelse af vedligeholdelsespligten får virkninger på overdragelsen. I K33, pkt. 5, sidste stk. (og tilsvarende K18, pkt. 4, sidste stk.), er det bestemt, at kunden ved væsentlig misligholdelse af vedligeholdelesforpligtelser uden varsel kan hæve "vedligeholdelsesordningen". Om kunden herudover kan hæve hovedaftalen, beror på dennes indhold. K18 pkt. 4, sidste stk. henviser herom til aftalens almindelige misligholdelsesregler, herunder ophævelsesreglen i pkt. 14.4. Heraf følger, at misligholdelse af vedligeholdelsespligten skal betragtes på samme måde som misligholdelse af hovedaftalen - som om der var tale om ét og samme aftaleforhold. I mangel af særskilt aftale kan en sådan ophævelse kun komme på tale, hvis leverandøren i henhold til hovedaftalen også er vedligeholdelsesleverandør, sml. dog U 1984.1032 Ø og U 1985.334 H, der begge lod en aftale borfalde ud fra forudsætningssynspunkter som følge af forhold hos en tredjepart, hvis forhold leverandøren var "nærmest til at bære risikoen" for. Er han det, og er overdragelsesaftalen indgået under en klar forudsætning om, at der skal leveres vedligeholdelsesydelser i en tilsvarende periode, må det også antages, at misligholdelse af vedligeholdelsesaftalen kan få retsvirkninger for overdragelsesaftalen. Det forhold, at de respektive forpligtelser er nedfældet i et eller flere aftaledokumenter, har ikke afgørende betydning for svaret. 4.4.c. KildetekstdeponeringAt gennemføre et krav om naturalopfyldelse efter de ovenfor angivne retningslinjer, kan være forbundet med betydelige praktiske vanskeligheder. For det første vil det ofte tage tid, inden der er taget stilling til berettigelsen af kundens krav. Dernæst kan leverandøren være gået konkurs - eller kildeteksen være fortabt - med den virkning, at et udleveringskrav er illusorisk. IT-brugerens behov for at råde over kildeteksten er vel ikke principielt anderledes end den interesse i at kunne råde over nødvendige reservedele, som gør sig gældende ved vedligeholdelsen af andet teknisk udstyr, jf. ovenfor. Men hvor det ofte vil være teknisk overkommeligt at genskabe en reservedel, er det - med de nuværende teknikker - udenfor mulighedernes grænser at genskabe en kildetekst. Vel er det muligt at hidføre en række af de funktioner, kildeteksten indeholder, gennem reverse engineering; men da en række væsentlige informationer ofte vil gå tabt ved konverteringen fra objektkode til kildetekst (herunder f.eks. navne på variable samt bemærkninger i kildeteksten til brug for programmøren), er denne mulighed uden praktisk betydning. Har han ikke faktisk rådighed over kildeteksten til et program, mister brugeren derfor muligheden for at udføre de tekniske ændringer i programmaterialet, der er nødvendige for at overkomme opståede fejl og uhensigtsmæssigheder. For at løse dette problem og i visse tilfælde for at opfylde lovkrav (herunder kontrolmæssige, jf. bogføringslovens § 14), indgår parterne undertiden en særlig deponeringsaftale vedrørende programkildetekst. En deponeringsaftale - eller med et ikke hensigtsmæssigt engelsk udtryk: en escrow-aftale (det uhensigtsmæssige består i, at begrebet "escrow" efter common law-terminologi betegner en håndpante-lignende situation) - involverer vedligeholdelsesaftalens to parter og en tredje part, der - typisk mod betaling eller som led i en service ydet på andet grundlag - påtager sig at opbevare en kildetekst. Det er ikke ukompliceret at etablere en deponeringsordning. For det første involverer den en tredje part, der måske ikke uden videre vil være indstillet på at tiltræde de betingelser for deponeringen, der måtte være aftalt mellem leverandør og bruger. For det andet vil aftalen - såfremt den aktualiseres - kunne føre til en åbenbaring af leverandørens mest følsomme erhvervshemmeligheder. Beslutningen om at udlevere kildeteksten, eller beholde den i depotet, kan være tvivlsom, og - givet de involverede værdier - ubehagelig at skulle træffe. Når udlevering bliver aktuel, vil parterne ofte true depositaren med erstatningsretlige krav for den standpunktsrisiko, der vil ligge i henholdsvis udlevering eller ikke-udlevering. Derfor er det et centralt punkt i deponeringsaftalen, hvornår depositaren må henholdsvis skal udlevere kildeteksten. En stillingtagen til dette spørgsmål forudsætter en afklaring af, hvornår misligholdelse foreligger. Og da dette spørgsmål ofte vil give anledning til tvivl, vil det være hensigtsmæssigt at indføre en metode til hurtig konfliktløsning, hvorved der - i hvert fald med sigte på spørgsmålet om udlevering - kan træffes afgørelse om dette spørgsmål. Både i ind- og udland er der etableret deponeringscentre for kildetekst. Herhjemme har Dansk Teknologisk Institut etableret et Dansk Deponerings Institut. Ifølge den standardaftale, der gælder herfor, skal instituttet frigive det deponerede til depositaren, hvis deponenten, eller den til sikkerhed for hvis forpligtelser depotet er oprettet, misligholder eller med overvejende grad af sandsynlighed må forventes at ville misligholde sine forpligtelser til at opfylde i henhold til den sikrede aftale, f.eks. på grund af konkurs, betalingsstandsning eller tvangsakkord. Ved uoverensstemmelser om, hvorvidt de materielle betingelser for frigivelse er opfyldte, træffes der afgørelse herom af en af DTI nedsat udleveringskomité. På europæisk plan er etableret et deponeringsselskab ved navn Escrow Europe, der i partnerskab med den svenske virksomhed Deposit AB i august 2000 har etableret deponeringsinstituttet Escrow Europe Scandinavia, se <www.deposit.se>. Selskabet markedsfører sig ved at give mulighed for deponering ét sted til fordel for frigivelse i hvert af de lande, hvor deponentens kunder findes. 4.4.d. Backup-aftalerI visse tilfælde kan det være hensigtsmæssigt, at flere brugere går sammen om at tilvejebringe et fælles grundlag for at sikre sig mod IT-nedbrud, således at A lover at stille sit system (og/eller sine lokaliteter) til rådighed for B, hvis B's system bliver uarbejdsdygtigt i kortere eller længere tid. Et sådant samarbejde kan organiseres på forskellig vis, f.eks. (hvis der er tale om systemer, der ikke er genstand for vid udbredelse) i klubber, som et løbende samarbejdsforhold af kommercielt tilsnit eller som mere eller mindre uforpligtende "gentlemen's agreements". Anskuet under ét - i formål og indhold - minder aftalerne forbløffende om de aftaler, der findes indenfor landbrugsområdet (brugsaftaler vedrørende maskiner, andelssamvirker mv., jf. til illustration dommen i U 1975.969 V). Sådanne aftaler betegnes almindeligvis som backup aftaler, fordi de pålægger en forpligtelse til at tilvejebringe erstatningsfunktioner. Fra gammel tid har man sondret mellem to hovedtyper: Den gensidige backup aftale og backup center aftalen. Gennem de seneste år, og navnlig efter udviklingen af de åbne digitale netværk, er backup-tjenester blevet et supplement til andre kommercielle databehandlingstjenester, f.eks. i form af online-backup, hvor brugeren løbende overfører sit datamateriale til en leverandør til opbevaring her. Gensidige En gensidig backup aftale forpligter en eller flere brugere til at stille deres systemer til rådighed for hinanden i tilfælde af nedbrud. Aftalen indgås ofte helt uformelt. Dette kan indebære en vanskelighed ved den senere fortolkning og gennemtvingelse. Skriftlige aftaler må tilrådes, hvis der tilsigtes andet end uforpligtende tilkendegivelser. En gensidig backup aftale må nødvendigvis knytte sig til en given systemtype. Systemets kompatibilitet er forudsætningen for at kunne udveksle de data, som det er aftalens formål at sikre behandling af. Heraf følger ligeledes, at parterne i aftalens løbetid må forpligte sig til ikke at udskifte dette udstyr. Da en sådan teknologibinding kan være uhensigtsmæssig over længere tidsrum, vil de bestemmelser, der regulerer længde og opsigelsesvarsel, få central betydning. En principiel vanskelighed ved gensidige backup aftaler angår håndhævelsen. Uanset hvor utvetydigt en forpligtelse er formuleret, kan den forpligtede stille faktiske hindringer i vejen for opfyldelsen: Nægter han f.eks. medkontrahenten adgang til virksomheden og/eller IT-systemet, når uheldet er ude, vil der sjældent være tid eller ressourcer til at rekvirere fogedbistand mv. Dernæst kan en foged kun gennemtvinge aftalens forpligtelser ved at pålægge tvangsbøder. Har den gensidige backup aftale mere end to parter, må aftalen tage stilling til, hvilke aftaleparter der skal have adgang til hvilke øvrige anlæg og - hvis flere systemer er nede samtidigt - i hvilken rækkefølge. En særlig vanskelighed angår her formuleringen af den tilstand, der giver adgang til backup systemet. Det må præciseres, hvor funktionelt omfattende et nedbrud er, f.eks. ved angivelse af antallet af funktionsudygtige terminaler. Ligeledes kan det være hensigtsmæssigt at sætte nedbruddet i forhold til den situation, virksomheden befinder sig i, når nedbruddet indtræffer, samt til årsagen til nedbruddet. En fejl, der kunne være rettet under en afhjælpende vedligeholdelse, bør ikke give adgang til backup systemet. Endelig må der sættes en tidsramme. Kan et nedbrud forventes afhjulpet indenfor et døgn, bør dette ikke give ret til backup systemet. Backup-center En backup center aftale fungerer som en slags forsikring. Den indgås mellem en part, der driver en lokalitet (centret), og en række tilknyttede brugere, der gennem aftalen tilstås rådighed til centret i tilfælde af nedbrud. Sådanne centrer findes i to hovedformer: Det "varme" center rummer såvel lokaliteter som maskinel. Det "kolde" center stiller derimod alene driftsklare lokaliteter til rådighed tillige med el-forsyning, køleanlæg og transmissionslinjer. Brugeren af et koldt center må derfor sørge for at indgå udtrykkelige aftaler med sin system-leverandører om maksimale leveringstider med henblik på installeringen af det nødvendige udstyr. Kolde centre Et koldt backup center forudsættes at træde i funktion i tilfælde af en fysisk ødelæggelse af brugerens IT-system eller den lokalitet, der huser det (f.eks. ved brand, vandskade eller anden omfattende ødelæggelse). Den ydelse, det kolde center kan tilbyde, er - foruden husly - tilslutning af elektricitets- og kommunikationsledninger. Hvor husly undertiden kan tilvejebringes gennem midlertidige bygninger, telte mv., omend denne udvej efter omstændighederne kan være tidkrævende, kan det være forbundet med større problemer at skaffe reservesystemer til kommunikation. Et koldt backup center, der f.eks. skal kunne huse et større pengeinstitut, må typisk skulle tilbyde et par hundrede højhastigheds kommunikationslinier for at kunne tjene sit formål. Værdien af et koldt backup center beror i vid udstrækning på, hvilke konkrete faciliteter der stilles til rådighed. Bortset fra de rent fysiske rammer må køle- og ventilationsforholdene f.eks. kunne opfylde de krav, det pågældende system stiller. Dertil må de sikkerhedsmæssige rammer omkring centret - f.eks. adgangsforhold og afskærmning - være tilfredsstillende. Varme centre Et varmt center har navnlig betydning for virksomheder, som er afhængige af hurtig databehandling. Dette er f.eks. tilfældet indenfor den finansielle sektor (banker, børsmæglerselskaber mv.). Begge backup center modeller rummer det generelle problem, at samme center principielt kan være optaget af flere brugere på samme tid. Aftalen giver typisk ingen sikkerhed mod, at denne situation opstår. Derfor får det betydning, om centret prioriterer større brugere frem for mindre, eller om den, der kommer først til mølle, først får malet. Antallet af øvrige brugere med adgang til centret må derfor tages i betragtning. I Danmark driver foreningen Dansk Backup Center <www.dkbackup.dk> i samarbejde med DMdata et kombineret koldt og varmt backup center; primært med sigte på større IT-brugere f.eks. inden for den finansielle sektor. Virksomheden, der er opstået ved en sammenlægning af IT-driften i Mærsk Data og Den Danske Bank, har en kapacitet på 9.000 MIPS, men med en målsætning om at løfte denne kapacitet til 15.000 MIPS i løbet af år 2001 og forøge de allerede installerede 32 Tb (Terabytes). 4.4.e. Aftaler om certificering og digital signaturForløbet omkring udstedelse af certifikater til elektronisk signatur indebærer en række retlige relationer, såvel i som uden for kontraktsforhold. For at få overblik over disse relationer er det nødvendigt at udskille de relevante partsforhold. Underskriver-modtager I forholdet mellem underskriver og modtager gælder enten den aftale, der foreligger mellem parterne om brug af digital signatur el.lign., eller en retlig regulering af anden art - f.eks. en lovhjemmel, forpligtende retssædvane eller andet retligt grundlag for at betjene sig af denne teknologi. For så vidt angår de aftaleretlige problemer henvises til gennemgangen i kapitel 19. Om retsforholdet til offentlige myndigheder - som undertiden også kan være aftalereguleret - henvises til kapitel 16. Underskriver-CA Forholdet mellem underskriveren og CA'en vil derimod typisk være løst gennem aftale: Der er jo tale om, at underskriveren ved at opnå certifikatet hos CA erhverver en ydelse, som underskriveren typisk vil betale for. Denne aftale vil ofte henvise til CA'ens egen beskrivelse af de procedurer, der gennemløbes i forbindelse med certifikatets udstedelse, herunder i forbindelse med kontrollen med certifikatindehaverens nøglegenerering, identitet og om certifikatets offentliggørelse og tilbagekaldelse. Det kan dog ikke udelukkes, at der på sigt vil blive stillet et offentligt udbud af certificeringstjenester til rådighed for almenheden, f.eks. hvis det såkaldte borgerkort-projekt gennemføres i en eller anden skikkelse. Sker dette, må det formodes, at den retlige regulering af brugen af en sådan ydelse vil blive lagt fast ved særlig lovgivning. LES indeholder visse regler til udfyldelse af dette aftaleforhold, jf. § 8, stk. 1. Ved indgåelse af en aftale om udstedelse af et kvalificeret certifikat skal nøglecentret skriftligt oplyse underskriveren om: 1) Vilkårene for anvendelsen af certifikatet, herunder eventuelle formåls- eller beløbsbegrænsninger. 2) Eventuelle krav til underskriverens opbevaring og beskyttelse af signaturgenereringsdataene. 3) Underskriverens omkostninger ved erhvervelse og anvendelse af certifikatet og brug af nøglecentrets øvrige tjenester. 4) Hvorvidt nøglecentret er tilknyttet en frivillig akkrediteringsordning. 5) Procedurer for behandling af klager og bilæggelse af tvister. Det følger af bestemmelsens stk. 2, at kontraktsvilkårene kan afgives elektronisk, forudsat at det sker i en for modtageren umiddelbart læsbar form. De relevante dele af de i stk. 1 nævnte oplysninger skal på anmodning stilles til rådighed for tredjemand, der forlader sig på et kvalificeret certifikat, stk. 3. CA-tredjepart Retsforholdet mellem CA'en og tredjeparten er først og fremmest præget af risikoen for, at der kan blive påført tredjeparten et tab, fordi certifikatet blev udstedt for en anden person end den angivne (med risiko for, at en gerningsmand herefter uberettiget tegner den berettigede). - kvalificerede certifikater For kvalificerede certifikater er dette forhold reguleret ved LES § 11. En CA, der udsteder sådanne certifikater til offentligheden, eller som overfor offentligheden indestår for sådanne certifikater udstedt af et andet nøglecenter, er ansvarlig for tab hos den, der med rimelighed forlader sig på certifikatet, såfremt tabet skyldes visse nærmere angivne forhold, se hertil afsnit 18.3.d., medmindre nøglecentret kan godtgøre, at nøglecentret ikke har handlet uagtsomt eller forsætligt. Der gælder med andre ord et præsumptionsansvar for sådanne skader. Ansvaret tilpasses dog indholdet af det pågældende certifikat. Således er CA ikke ansvarlig for tab opstået som følge af anvendelse af et kvalificeret certifikat uden for de formålsbegrænsninger, som gælder for certifikatet, eller for tab opstået som følge af en overskridelse af de beløbsbegrænsninger, som gælder for certifikatet. For at undgå vidtgående retsfølger af småttrykte tilføjelser i et certifikat kræves dog, at de pågældende begrænsninger tydeligt fremgår af certifikatet, jf. § 4, stk. 2, nr. 6, og på forespørgsel oplyses, jf. § 9, stk. 1 og 3. Præsumptionsansvaret i LES § 11 kan ikke ved forudgående aftale fraviges til skade for skadelidte, jf. § 11, stk. 4. Omvendt fortrænges det objektive ansvar af særlige regler, der måtte hjemle et videregående - objektivt - ansvar. Dette siges udtrykkeligt med en henvisning til erstatningsreglerne i LVB §§ 11-12, jf. LES § 11, stk. 5. Men det almindelige princip om lex specialis-fortolkning må føre til et tilsvarende resultat også for andre objektive erstatningsregler, således f.eks. værdipapirhandelslovens § 80. - andre certifikater For andre certifikater gælder de almindelige regler for erstatning uden for kontraktsforhold, dvs. en almindelig culparegel. Det hører til sjældenhederne, at der etableres formelle aftalerelationer mellem tredjepart og CA gennem underskrevne kontraktsvilkår mv. Visse CA-virksomheder søger at bringe sådanne kontraktsrelationer til eksistens ved i certifikaterne at angive, at brugen af certifikatet indebærer tiltrædelsen af en " relying party agreement"; men den aftaleretlige gyldighed af sådanne konstruktioner må betegnes som i høj grad diskutabel. Se til eksempel den hos Verisign (<www.verisign.com>) angivne Relying Party Agreement. Det må i høj grad anses for tvivlsomt, om den blotte anvendelse af et certifikat, der jo i sig selv blot er en konstaterende erklæring (svarende til en revisionspåtegning) kan antages at etablere et sådant aftaleforhold. Grænsen mellem kontrakt og delikt er dog ikke knivskarp på dette punkt. De fleste CA-virksomheder offentliggør deres praksis for udstedelse og tilbagekaldelse af certifikater i deres CP og CPS, og en sådan pligt gælder udtrykkeligt i medfør af § 2 i nøglecenterbekendtgørelsen for CA'er, der udsteder kvalificerede certifikater. En sådan erklæring giver almenheden (brugerne) en almindelig forventning om, at CA vil optræde som her anført: På den ene side kan brugeren ikke forlange "mere" sikkerhed end angivet i CPS'en, men på den anden side kan der opstå en culpaformodning, hvis CA ikke optræder som angivet i CPS. Supplerende litteraturLitteraturen om IT-sikkerhed florerer i disse år. Hvor den ældre litteratur primært havde fokus på de fysiske rammer omkring systemerne - se herved Lars Frank: Edb-sikkerhed (1985), samt generelt den ovenfor i teksten omtalte Norm for edb-sikkerhed, som Dansk Standard har udstedt den 21. januar 2000 - har de senere års litteratur, forståeligt, fokuseret på de nye - og stadigt mere vanskelige - sikkerhedsproblemer, der opstår i og omkring telekommunikationssystemer. Se herved Othmar Kyas: Sikkerhed på Internet (Teknisk Forlag, 2000), Warwick Ford og Michael S. Baum: Secure Electronic Commerce (1997), og sidst, men ikke mindst, Bruce Schneiers både instruktive, let-læste og ikke mindst underholdende bog: Secrets and Lies, Digital Security in a Networked World (John Wiley & Sons, 2000). CLSR, der er et kombineret IT-juridisk/edb-sikkerheds-tidsskrift, publicerer løbende afhandlinger, der berører de centrale spændingsfelter mellem sikkerhed og jura. En god oversigt over IT-sikkerhedsspørgsmål og afledte juridiske spørgsmål findes i Ronald G. Balding: Computer breaking and entering: the anatomy of liability, 5 The Computer Lawyer (January 1988), s. 5 ff. De særlige problemer omkring sikkerheden på Internet er bl.a. behandlet i IT-sikkerhedsrådets redegørelser Privatliv på Internet (1998), Digitale dokumenters bevisværdi (1999) og Praktisk brug af kryptering og digital signatur (2000). Ønskes en mere prosaisk indføring i emneområdet, anbefales Cliff Stoll: The cuckoo's egg - tracking a spy through the maze of computer espionage (Simon & Schuster, 1989, 1990), der handler om, hvordan forfatteren - dengang edb-chef på Lawrence Berkely Laboratories - identificerede og afslørede en omfattende hacking mod laboratorierne. Den almindelige bevisret er bl.a. præsenteret hos Gomard: Civilprocessen, 5. udg. (2000) hos Eva Smith: Civilproces, 4.udg., (2000), s. 140 ff. og i Henrik Zahle: Det juridiske bevis (1976). Se også Henrik Zahle: Om bevisbedømmelsen - kommentar til nogle aktuelle emner U1978B.375 ff. Bevisproblemerne vedrørende nye elektroniske medier er præsenteret af Eivind Einersen: Elektronisk aftale- og bevisret (1992), s. 18 ff. og Klaus Østergaard Jensen: Elektronisk udveksling af informationer i juridisk belysning. EDB-gruppen Herning, Oktober 1996. Problemerne vedrørende digital signatur er bl.a. behandlet af IT-sikkerhedsrådet i flere rapporter, første gang i baggrundspapiret Danmarks IT-sikkerhedspolitik (november 1996) og senest i vejledningen Praktisk brug af kryptering og digital signatur (2000). Herudover behandles emnet i Forskningsministeriets udredning vedrørende digital signatur. Se også <http://www.mbc.com/ds_sum.html>. Herudover kan henvises til den af ICC udsendte vejledning GUIDEC - General Usage for International Digital Electronic Commerce, som blev vedtaget af ICC i 1997 og udsendt i en revideret udgave i 2001. Dokumentet er tilgængeligt fra adressen <www.iccwbo.org/home/guidec/guidec.asp>. For en mere teknisk indføring i emnet henvises til Warwick Ford og Michael S. Baum: Secure Electronic Commerce (1997) og Stefan A. Brands: Rethinking Public Key Infrastructures and Digital Certificates (2000). De teknikker, der findes til sikring af uretmæssig kopiering mod eller adgang til IT-systemer, er beskrevet af Lars Frank: Edb-sikkerhed (1987), se navnlig s. 19 ff. (der beskriver truslerne) og kapitel 3 (s. 77 ff.), der angiver metoder til styring af sikkerheden. Det matematiske grundlag for nutidens teknikker til asymmetrisk kryptering og digital signatur er beskrevet af Peter Landrock i U1992B.176 ff. Herudover henvises til DS-publikationen Kryptografi og datasikkerhed (DS/INF 43, 1988). En god oversigt over de lovforslag, der foreligger verden over vedrørende digital signatur findes hos Stewart A. Baker & Paul R. Hurst: The Limits of Trust - Cryptography, Governments, and Electronic Commerce (Kluwer Law International, The Hague, 1998). Vil man stifte bekendtskab med et vigtigt kapitel af kryptografiens historie, anbefales Ole Immanuel Franksen: Mr. Babbage's secret - the tale of a cypher (1984). De juridiske aspekter af disse teknikker behandles nedenfor i kapitel 9 om retlig disponeren med IT. Se i øvrigt Roger Henriksen (1982), s. 53 ff. og min artikel i R&R Februar 1991, s. 39 ff. Dansk litteratur om katastrofeplanlægning gennem backup-aftaler er ikke omfattende. Se hertil J. P. Elmgreen: Katastrofeplanlægning, (Kap. 11.2 i Jens Schou-Christensen (red.): Edb i Virksomheden, abonnementssystem, Børsens forlag (1987)). Fra den engelsksprogede litteratur henvises til David A. Feldheim: Computer backup and disaster recovery agreements. 24 Jurimetrics Journal 210 ff. (1984) og til Gemignani (1985), s. 220 ff., der betegner disse aftaleforhold som "mutual aid agreements". De juridiske problemer vedrørende edb-vedligeholdelsesaftaler er bl.a. omtalt hos Christophersen & Føyen (1981), s. 347 ff. og hos Bender & Bruun Nielsen (1989), s. 40 ff. En god oversigt over problemerne vedrørende kildetekstdeponering findes hos L. J. Kutten (1989 med senere updates), chapter 9: Proprietary information deposit. Se ligeledes Nørager-Nielsen: Sikkerhedsordninger vedrørende kildeprogrammel, trykt i Beck & Bruun Nielsen (1987), s. 73 ff. og Hanne Bender & Susanne Karstoft i U1991B.81 ff. Indholdsfortegnelse | Forrige kapitel | Næste kapitel |