AB'de E-İmza Kanunları: İşletmeler İçin eIDAS Tüzüğü Açıklaması

Birkaç ay önce, Lizbon'da küçük bir pazarlama ajansı işleten bir arkadaşıma Alman bir müşteriyle anlaşma kapatmasında yardım ediyordum. Sözleşme kısmına gelene kadar her şey harika gidiyordu. Alman hukuk ekibi bir PDF gönderdi ve "nitelikli elektronik imza" istedi. Arkadaşım bir dakika boyunca e-postaya boş boş baktı ve sonra bana yazdı: "Bu da nereden çıktı, neden iki yıldır kullandığım imza aracını kullanamıyorum?"

Avrupa'da işletme yönetiyorsan, muhtemelen sen de bu duvara çarpmışsındır. AB'nin tüm 27 üye devletinde e-imzaları düzenleyen tek bir tüzüğü var, ama içi kısaltmalar ve hukuki incelikle dolu, ki çoğu kurucu ihtiyaç duyana kadar bunları öğrenmeye zahmet etmiyor. O zaman bunu halledelim.

Bu, eIDAS hakkında birinin bana açıklamasını dilediğim her şey, bir arkadaşıma kahve içerken anlatır gibi yazılmış hali.

eIDAS Aslında Nedir

eIDAS, "electronic IDentification, Authentication and trust Services" anlamına geliyor. Temmuz 2016'dan beri yürürlükte olan bir AB tüzüğüdür (No. 910/2014). Bütün amaç, elektronik imzalar, elektronik mühürler, zaman damgaları ve dijital kimliklendirme için tüm Avrupa Birliği genelinde tek bir hukuki çerçeve oluşturmaktı.

eIDAS'tan önce her ülkenin kendi kuralları vardı. Fransa'nın bir yaklaşımı, Almanya'nın başka bir yaklaşımı, İspanya'nın kendi tarzı vardı. İtalya'da bir sözleşmeyi dijital olarak imzalayıp Belçika'da bir mahkemede kullanmaya çalışırsan başın belaya girebilirdi. eIDAS bu sorunu şu şekilde öldürdü: Herhangi bir AB üye devletinde oluşturulan bir elektronik imza, diğer tüm devletlerde tanınmak zorunda.

KOBİ'ler için bu büyük bir mesele. Atina'daki bir müşteriye bir SaaS aboneliği satabilir, e-imzasını alabilir ve aynı belgenin Helsinki, Dublin veya Varşova'da aynı hukuki ağırlığa sahip olduğunu bilebilirim demek.

Elektronik imzaların genel olarak nasıl çalıştığına daha derinlemesine bakmak için, elektronik imza hukuki rehberim temel konuları sade bir dille ele alıyor.

Kısa Bir Tarihçe (Söz veriyorum kısa)

AB'nin bu konudaki ilk denemesi 1999 eSignature Direktifi'ydi. AB hukukunda direktifler tuhaftır çünkü her ülke tarafından ulusal hukuka aktarılması gerekir ve işler tam orada karışmaya başladı. Her üye devlet direktifi biraz farklı yorumladı, bu da bütün amacı boşa çıkardı.

eIDAS bu direktifi 2014'te değiştirdi ve 1 Temmuz 2016'dan itibaren tüm üye devletlerde doğrudan uygulanmaya başlandı. Aktarım yok, ulusal manevra alanı yok (eh, çoğunlukla). Ve sonra 2024'te AB, European Digital Identity Wallet'ı resme dahil eden eIDAS 2.0'ı kabul etti. Bunun hakkında daha sonra konuşacağız.

Üç İmza Seviyesi: SES, AES ve QES

İşte kısaltma çorbası burada başlıyor. eIDAS üç elektronik imza seviyesi tanımlıyor ve bunlar birbirinin yerine geçemez. Yanlışını seçmek, KOBİ'lerde gördüğüm en yaygın hatalardan biri.

Basit Elektronik İmza (SES)

Bu temel olanı. Bir SES, "elektronik formdaki diğer verilere eklenen veya mantıksal olarak ilişkilendirilen ve imzalayan tarafından imzalamak için kullanılan elektronik formdaki veriler"dir. Bu hukuki tanım ve bilinçli olarak geniş tutulmuş.

Pratikte bir SES şunlar olabilir:

• Bir e-postanın altına adını yazmak
• "Kabul ediyorum" kutusuna tıklamak
• El yazısı bir imzayı tarayıp PDF'e yapıştırmak
• Tablette fare veya parmakla bir imza çizmek

Kullanımı en kolayıdır ve iş durumlarının büyük çoğunluğunda işe yarar. NDA'lar, satış sözleşmeleri, iş teklifleri, tedarikçi anlaşmaları, freelancer sözleşmeleri: bunların hepsi tipik olarak bir SES ile sorunsuzdur.

İleri Elektronik İmza (AES)

AES bir adım yukarısıdır. AES sayılabilmesi için imzanın dört özel gereksinimi karşılaması gerekir:

1. İmzalayana benzersiz şekilde bağlıdır
2. İmzalayanı tanımlayabilir
3. İmzalayanın yalnızca kendi kontrolünde tutabileceği veriler kullanılarak oluşturulur
4. İmzalandıktan sonra imzalı veride yapılan herhangi bir değişiklik tespit edilebilir

Pratikte bu genellikle bir özel anahtar kullanan kriptografik bir imza, artı bir tür kimlik doğrulama (e-posta linki, SMS kodu, kimlik yüklemesi) anlamına gelir. CanUSign'daki bizimki dahil çoğu modern e-imza platformu, business planları için varsayılan olarak AES seviyesi imzalar üretir.

AES, daha yüksek değerli sözleşmeler için istediğin şeydir: B2B SaaS anlaşmaları, ortaklık sözleşmeleri, kredi belgeleri ve kimin imzaladığına ve belgenin değiştirilmediğine dair güçlü kanıt istediğin her şey.

Nitelikli Elektronik İmza (QES)

Bu ağır topçu. QES esasen iki ek gereksinime sahip bir AES'tir: bir "nitelikli imza oluşturma cihazı" kullanılarak oluşturulmalıdır (donanım güvenlik modülü veya akıllı kart düşün) ve resmi olarak AB Güven Listesi'nde yer alan bir güven hizmeti sağlayıcısı tarafından verilen bir "nitelikli sertifika" ile desteklenmelidir.

Bir QES'in öldürücü özelliği? Tüm AB'de el yazısı imza ile aynı hukuki etkiye sahiptir. Nokta. Hiçbir mahkeme onu elektronik olduğu için reddedemez.

Olumsuz tarafı, QES'in kurulumunun zahmetli olmasıdır. İmzalayan tipik olarak kimliğini şahsen veya video görüşmesi ile doğrulamalı, bir Nitelikli Güven Hizmeti Sağlayıcısı (QTSP) tarafından verilen bir sertifika almalı ve özel bir imzalama cihazı kullanmalıdır. SES veya AES'ten daha yavaş ve daha pahalıdır.

Dijital imzaların kaputun altında nasıl çalıştığının teknik tarafını anlamak istiyorsan, bunu dijital imza vs elektronik imza yazısında yazdım.

SES vs AES vs QES: Hızlı Karşılaştırma

Sınır Ötesi Geçerlilik (Asıl Sihir)

Bu, eIDAS'ın bence yeterince hak ettiği değeri görmeyen kısmı. Tüzüğün 25. Maddesi, bir elektronik imzaya yalnızca elektronik olduğu için ya da bir QES gereksinimlerini karşılamadığı için hukuki etki ve mahkemede kabul edilebilirlik reddedilemeyeceğini söylüyor.

Ve Madde 25(3) daha da ileri gidiyor: Bir üye devletten gelen bir QES, diğer her üye devlette el yazısı imza ile aynı hukuki etkiye sahiptir. "Ama bizim ülkemizin özel kuralları var" diyemezsin.

Bu sınır ötesi KOBİ'ler için çok büyük. Her yargı bölgesinin kendi kağıt imzasına ihtiyacı olduğunu düşünerek üç farklı ülkede sözleşmeleri yeniden yapmak için avukatlara para ödeyen kurucularla çalıştım. İhtiyaçları yoktu. Tek bir eIDAS uyumlu e-imza yeterli olurdu.

KOBİ'ler İçin Pratik Kullanım Senaryoları

Somut konuşalım. İşte Avrupa genelinde küçük ve orta ölçekli işletmeler için gerçekten işe yaradığını gördüğüm şeyler:

Satış sözleşmeleri ve teklifler: SES %99 sorunsuz çalışır. Ortalama anlaşma büyüklüğün 50.000 €'nun altındaysa ve yoğun düzenlemeli sektörlere satış yapmıyorsan, bunu fazla düşünme.

İş sözleşmeleri: AES tatlı nokta. Kimin ne zaman imzaladığını kanıtlayabilmek istiyorsun ve değişiklik tespitini istiyorsun. Çoğu ülke iş sözleşmeleri için AES'i kabul eder, ancak birkaçı (Almanya gibi belirli sözleşme türleri için) hâlâ QES'i tercih eder veya gerektirir.

NDA'lar: Her zaman SES. Devam.

Freelancer sözleşmeleri: Değere göre SES veya AES. 5.000 €'nun altında SES yeterli. Üzerinde AES'e meylederim.

Kira sözleşmeleri (ticari): Çoğu ülkede AES. Birkaç ülkede QES. Yerel olarak kontrol et.

Kredi sözleşmeleri (B2B): Küçük işletme kredisiyse AES. Bankalar veya düzenlenmiş kredi verenlerle uğraşıyorsan QES.

Gayrimenkul satın alımları: Neredeyse her zaman QES. Ve birçok ülkede üstüne hâlâ bir notere ihtiyacın var.

Sınır ötesi tedarikçi sözleşmeleri: AES güvenli seçim. Her yerde çalışır ve işler ters giderse ihtiyacın olan kanıtı sağlar.

Belirli Üye Devletlerde QES Gerektiren Şeyler

Burada dürüst olmam gerekiyor: eIDAS, belirli belge türleri için ne tür bir imzanın gerekli olduğu konusunda ulusal hukuku geçersiz kılmaz. Her üye devlet hâlâ "bu tür belge için bir QES gerekiyor, son" diyebilir.

Birkaç örnek:

• Almanya: İş sözleşmelerinin feshi (bazı durumlarda), tüketici kredisi sözleşmeleri ve belirli ticaret sicil işlemleri QES gerektirir. Almanya muhtemelen AB'de bu konuda en katı ülkedir.
• Fransa: Çoğu tüketici sözleşmesi AES kullanabilir, ancak gayrimenkul işlemleri ve bazı finansal anlaşmalar QES gerektirir.
• İtalya: Birçok kamu yönetimi belgesi ve bazı ticari işlemler, yerel olarak genellikle "firma digitale" olarak adlandırılan QES gerektirir.
• İspanya: AEAT'ye (İspanyol vergi otoritesi) vergi beyannameleri ve birçok hükümet etkileşimi, tipik olarak DNI electrónico (gömülü çipli İspanyol ulusal kimlik kartı) kullanılarak QES gerektirir.
• Polonya: Çoğu B2B sözleşmesi AES ile çalışır, ancak mahkeme başvuruları QES gerektirir.

Ders: Sınırlar ötesinde faaliyet gösteriyorsan ve emin değilsen, yerel bir avukata sor. Bir sözleşmenin reddedilmesinden daha az pahalıya gelir.

eIDAS 2.0 ve EU Digital Identity Wallet

AB, 2024'te eIDAS 2.0'ı kabul etti ve üye devletler bunu 2026'ya kadar yayıma alıyor. Manşet değişikliği, her AB üye devletinin 2026'ya kadar vatandaşlarına sunmak zorunda olduğu European Digital Identity Wallet (EUDI Wallet).

Wallet temelde, hükümet tarafından doğrulanmış kimliğini, sürücü belgeni, diplomalarını, ödeme bilgilerini ve evet, nitelikli imza sertifikanı saklamana izin veren bir akıllı telefon uygulaması. Fikir, telefonundaki bir dokunuşla QES seviyesinde bir belge imzalayabilmen, tekrarlanan imzalar için akıllı kart veya şahsen doğrulama gerekmemesi.

KOBİ'ler için bu, QES'i çok daha erişilebilir hale getirmeli. Şu anda, tek bir imzalayan için QES kurmak bir hafta sürebilir ve 100 €'dan fazlaya mal olabilir. EUDI Wallet ile bu daha çok beş dakika ve vatandaşlar için ücretsiz olmalı.

Püf noktası? Uygulama eşit değil. Bazı ülkeler önde (Estonya bunu yıllardır e-Residency programıyla yapıyor), diğerleri çok geride. 2026'ya kadar her yerde sorunsuz bir yayıma alma bekleme.

Doğru İmza Seviyesi Nasıl Seçilir

Hızlı karar çerçevem:

1. Belge ne kadar değerli? 10.000 €'nun altında ve düzenlenmemiş mi? SES. 10.000 € ile 100.000 € arası mı? AES. Daha fazlası veya düzenlenmiş sektör mü? QES'i düşün.
2. QES yasal olarak zorunlu mu? Eğer öyleyse, tartışma yok. QES kullan.
3. Bu mahkemeye gidecek mi? Bir anlaşmazlık biraz bile olası ise, en azından AES'e geç. Denetim izi buna değer.
4. Sınır ötesi mi? AES güvenli minimumdur. eIDAS olmaması gerektiğini söylese bile bazı mahkemelerde SES'in hukuki etkisi reddedilebilir.
5. Karşı tarafın ne istiyor? Bir Alman enterprise müşterisi QES'e ihtiyacı olduğunu söylüyorsa, sadece QES ver. Tartışmak anlaşmaya değmez.

Dürüst Sınırlamalar

eIDAS harika, ama sihirli bir değnek değil. Akılda tutulması gereken birkaç şey:

• Ulusal hukuk hâlâ önemli. eIDAS tabanı belirler, tavanı değil. Üye devletler belirli belge türleri için QES gerektirebilir ve bunu yapıyorlar.
• Mahkeme yorumu değişir. SES teknik olarak her yerde geçerlidir, ama bir Fransız mahkemesi ve bir Romanya mahkemesi kanıtı çok farklı tartabilir.
• QES hâlâ pahalı. eIDAS 2.0 yolda olsa bile, sürtünme gerçek. Net bir teslim yolun yoksa müşterilere QES sözü verme.
• Güven hizmeti sağlayıcı kalitesi değişir. Resmi AB Güven Listesi'ndeki QTSP'lere bağlı kal. Liste herkese açık ve düzenli olarak güncellenir.
• AB dışı tanınma ayrı bir konu. Bir sözleşmenin eIDAS kapsamında AB'de geçerli olması, ABD'de, Birleşik Krallık'ta (Brexit sonrası) veya başka bir yerde uygulanabilir olacağı anlamına gelmez. Yerel kuralları kontrol et.

Toparlayalım

Tüm bunlardan tek bir şey alacaksan, şunu al: Çoğu KOBİ sözleşmesinin QES'e ihtiyacı yok. AES iş durumlarının büyük çoğunluğu için yeterli ve günlük şeyler için SES sorunsuz. İşin püf noktası ne zaman seviye atlanacağını bilmek.

eIDAS, Avrupalı işletmelere dünyadaki en iyi e-imza hukuki çerçevesini verdi ve çoğumuz hâlâ bunu iyi kullanmıyoruz. Daha iyi seçenekler varken pahalı eski araçlar için para ödüyoruz ya da hukuki kısımdan korktuğumuz için kağıda saplanıp kalıyoruz. İkisi de gerekli değil.

AES'i kutudan çıkar çıkmaz halleden ve seni iflas ettirmeyecek bir e-imza platformu arıyorsan, daha ucuz DocuSign alternatifleri karşılaştırmamıza bir göz at. Ve eIDAS uyumlu imzalamanın pratikte nasıl göründüğünü görmek istiyorsan, CanUSign'ı ücretsiz deneyebilir ve ilk belgeni iki dakikanın altında imzalayabilirsin.

Yasa senin tarafında. Onu kullan.