Elektroniske signaturer og dokumentmigrering

På Wikipedia er en elektronisk signatur defineret således: “An electronic signature, or e-signature, refers to data in electronic form, which is logically associated with other data in electronic form and which is used by the signatory to sign.”, og fortsætter: “This type of signature provides the same legal standing as a handwritten signature as long as it adheres to the requirements of the specific regulation it was created under…”

En elektronisk signatur er altså i vores sprog og verden altså typisk metadata på eller logdata om dokumentet i vores dokumenthåndteringssystem. Når dokumenter flyttes fx i forbindelse med at et nyt system skal erstatte det gamle, så er det altså fuldstændigt centralt for gyldigheden af signaturen at disse data flyttes med på korrekt vis. 

Det gør naturligvis en forskel i forhold til hvad signaturen skal være gyldig til.

En virksomhed kan beslutte at noget er “godt nok” til internt brug, men skal signaturen have almen gyldighed, skal det være evident at signaturen ikke er blevet forvandsket i migreringen. Det kan fortolkes lidt forskelligt, men som minimum må det betyde:

  • at man kan vise at migreringen er sket under fuld kontrol
  • at linket mellem dokumentet og det data der repræsenterer signaturen er intakt
  • at der ikke har været mulighed for at manipulere med det undevejs.

Vi anbefaler – ikke kun på grund af signaturer gyldighed, men for dataintegriteten i det hele taget, at en migrering betrages som en process, der skal beskrives, klargøres og  testes inden den til sidst udføres. Under udførslen skal der indsamles evidens for kørslen og resultatet skal kvalitetssikres. Meget mere om det på vores temakursus om migrering, der afholdes i København den 5. marts.

Hvor kan man læse mere?

For farmaceutiske virksomheder gælder dels FDA 21 CFR part 11 som statuerer, hvad der skal til for at en signatur er valid, og dels er der et relativt nyt guidance dokument for data integritet, hvoraf signatur-data er en del. Selvom andre brancher ikke nødvendigvis skal leve op til disse krav, er de gode at blive klog af for det er grundlæggende sund fornuft.

 

ISO standarden 13008, Information and documentation — Digital records conversion and migration process, er en best practice standard. Heri behandles migrering fx ifht til valg af teknologi(er), krav til en migrering, planlægning og test.

Et PS om Digitale signaturer

Der findes også digitale signaturer, som ikke er det samme som elektroniske signaturer. I Danmark kender vi fx digitale signaturer fra NemID, hvor det er en ekstern part som godkender at vi er den, vi udgiver os for at være. En migrering af dokumenter signeret med digitale signaturer er ganske anderledes end det ovenfor beskrevne. Signaturen er da nemlig holdt eksternt og ikke i dokumenthåndteringssystemet. Det er ikke den slags signaturer, denne artikel handler om. 

Afslutning

En elektronisk signatur er bare et blandt mange konkrete problemer i en migrering af dokumenter. Det er et rigtigt godt eksempel til at illustrere hovedudfordringen i en migrering: Dataintegritet! Dataintegriteten skal i fokus og det skal understøttes med gode processer og godt værktøj. Migrering er ikke noget IT bare lige fikser – der er massiv behov for viden om dokumentkontrol i sådan et projekt.