Scrive (https://scrive.com) är den plattform som Wikimedia Sverige använder för att hantera digital signering av de dokument vi skickar ut.

Verifierbarhet

Den sista sidan i vart dokument som har signerats via Scrive innehåller ett verifikat som sammanställer vem som godkänt eller signerat dokumentet samt vilken mekanism som användes för att verifiera identiteten på den som signerat och en exakt tidsstämpel för när signeringen skedde.

Som en bilaga i pdf-dokumentet finns även det bevispaketet som utförligt dokumenterar signeringsförloppet och de tekniska mekanismer som använts. Du kan behöva extrahera dessa bilagor för att kunna läsa dem.

Om du behöver verifiera att ett signerat dokument du mottagit är autentiskt kan du göra detta på https://scrive.com/verify eller https://verifier.guardtime.com/. Det finns även mekanismer för att manuellt verifiera ett dokuments autenticitet.[1] Guardtime, som Scrive använder sig av, är betrodd i enlighet med EU:s eIDAS.

För de dokument som laddas upp på föreningens wiki har ibland sista sidan med verifikatet raderats för att undvika att särskilt känsliga personuppgifter exponeras. Dessa dokument går därmed inte heller att verifiera. Har du behov av en verifierbar version så kontakta kansliet.

Scrive och integritet

För att kunna styrka att dokument har mottagits och att signaturerna stämmer, lagrar Scrive en del personlig information om den som får en begäran om att signera ett dokument. Detta sker oavsett om personen väljer att signera dokumentet eller inte. De detaljer som lagras kan inkludera om e-posten har mottagits, öppnats och några länkar har besökts. Utöver detta innehåller de signerade dokumenten själva de personuppgifter som krävs för att identifiera den som ska signera samt möjliggöra signering med BankID när det är aktuellt.

För att göra mottagarna medvetna om detta skickas alla dokument ut med följande information och när det signerade dokumentet skickas ut bifogas ytterligare information om integritetsaspekterna. All data kring dokumenten raderas också från Scrive i enlighet med våra gallringsrutiner.

Intern användning av Scrive

Arbetsflöde för att skicka ut ett dokument för signering

Alla dokument som skickas ut måste utgå från en mall för att säkerställa att information om integritetspolicyn kommer med. Genom att ställa in en standardmall sker detta automatiskt när man startar en ny process.

Börja med att starta en ny process (eller utgå från en mall).

Parter

Lägg först in mottagarna av dokumentet. Det finns tre olika roller för mottagare av dokument, samtliga får en kopia av de slutligt signerade handlingarna:

  • Signerare: Den som ska signera dokumentet. Utöver signatur kan man även be Signeraren att fylla i andra fält eller bifoga ytterligare dokument. Inga andra roller har behörighet att fylla i fält eller lägga till bilagor.
  • Godkännare: Någon som måste godkänna, men inte signera dokumentet. Godkännandet registreras i beviskedjan. Används för t.ex.:
    • Verksamhetschef eller annan ansvarig om någon annan har förberett dokumentet.
  • Granskare: Kan se dokumentet men behöver inte interagera med det för att det ska gå vidare till nästa i turordningen. Används för t.ex.:
    • Den som förbereder dokumentet om hen inte behöver godkänna eller signera det.
    • diarium wikimedia.se eller Opad som bör få en kopia av det signerade dokumentet.

Vi använder antingen med BankID eller “touch-signatur“ (dvs. en signatur som ritas med musen eller fingret) eller en kombination av båda. BankID används för alla typer av mer formella dokument. För att aktivera detta sätt Autentisering för att signera till Svenskt BankID. Om BankID inte används säkerställs Signerarens identitet “enbart” vi deras tillgång till den e-post eller telefonnr. som inbjudan skickas till. För interna dokument, t.ex. reserapporter, använder vi inte BankID. Touch-signaturer aktiveras i ett senare steg.

Om flera parter ska signera dokumentet kan de med fördel ges samma inbjudningsordning för att undvika onödiga flaskhalsar i processen. Undantagen är:

  • Om någon/några parter (signerande eller godkännande) bör se över dokumentet innan de går vidare så läggs de först (vanligen verksamhetschef eller styrelseordförande).
  • Om någon/några granskande parter enbart behöver en kopia av det signerade dokumentet så läggs de sist så att de inte ombeds granska innan dokumentet är signerat.
  • För årsredovisningen ska revisorn alltid vara den sista signerande parten.

Vi brukar normalt sett inte lägga till “Autentisering för att visa” eller “Autentisering för att arkivera”.

Dokument

Här laddas det pdf-dokument som ska signeras upp. Endast ett dokument kan laddas upp i detta steg så alla sidor som ska ha en touch-signatur eller där signerande parter behöver lägga till information (t.ex. datum) måste i förväg ha kombinerats till samma dokument. Ytterligare dokument som bara ska godkännas, eller bifogas, kan läggas till som Bilagor i ett senare steg.

Varje touch-signatur måste manuellt läggas till och placeras på rätt plats i dokumentet. Det samma gäller för eventuella andra textfält som parterna behöver fylla i. Det är viktigt att kontrollera att rätt part är kopplad till vart fält samt att alla krävda fält är märkta som “Obligatoriska för mottagaren” för att undvika att de signerar ett inkomplett dokument.

För signeringsdatum används Textfält->Fält:Signeringsdatum, inte Datumfält. Även här är det viktigt att fältet kopplas till rätt part.

Inställningar

Här anges diverse inställningar bl.a. om hur länge dokumentet är giltigt samt när automatiska påminnelser ska gå ut. Notera att även om giltigheten för ett dokument har gått ut går det att i ett senare skede förlänga det.

Under bilagor kan ytterligare dokument, som inte behöver signeras, läggas till. Bilagor som uttryckligen måste godkännas bör markeras med Obligatorisk att granska?: Obligatorisk. Bilagor som utgör en del av det signerade dokumentet bör märkas Sammanfoga: Sammanfoga med huvudfilen, efter signering läggs dessa dokument i så fall in i huvuddokumentet efter sidan med signeringsbevisen. Om dokumentet inte sammanfogas skickas det ut som ett separat dokument när signeringen är klar, detta är fallet för den bilaga om vår integritetspolicy som alltid redan finns inlagd.

Man kan här även be någon av de signerande parterna att bifoga ett dokument som sedan utgör en del av det signerade dokumentet.

Under Inbjudningsmeddelande kan man lägga till ett meddelande som går ut tillsammans med den e-post som ber mottagaren att signera dokumentet. Eventuell sådan text läggs till ovanför den förifyllda texten kring integritet. Notera att texten här utgör inte en del av det signerade dokumentet och inte går att se i efterhand. Det går också att lägga till ett liknande meddelande som går ut tillsammans med de signerade dokumenten på Bekräftelsemeddelande.

Arbetsflöde för att spara ner dokument

Vi använder Scrive för att ta in signaturer men inte för långtidslagring av dessa dokument.

Administratörer i Scrive har tillgång till samtliga dokument som har skickats (dvs. inte utkast) och vilken administratör som helst kan därmed spara ner dokumenten för långtidslagring (i Drive). Dock har enbart Verksamhetschefen och den Operativa chefen tillgång till den yta på Drive där avtal kopplade till personal och individuella konsulter sparas.

Var dokumenten lagras och vem som är ansvarig för lagringen beror på typen av dokument.

Dokumentkategori Arkiveras i/hos Gallras i Scrive efter...[2] Ansvarig [3]
Traktamente/Resebeslut Opad Opad har bekräftat mottagande Organisationsassistenten
Personalrelaterade dokument (ledighetsansökningar, nya kontrakt etc.) Personalakt-mappar på Chefer-enheten arkivering Verksamhets-/Operativ chef
Avtal för konsulter (individer)[4] Konsulter-mappen på Chefer-enheten arkivering Verksamhets-/Operativ chef
Autogiromedgivande Medlemskap & Donationer-enheten arkivering Organisationsassistenten
Kvitton och REB-ar Opad Opad har bekräftat mottagande Organisationsassistenten
Dokument signerade av individuella styrelseledamoter[5] Diarium arkivering Organisationsassistenten
Signerade mötesprotokoll Diarium arkivering Organisationsassistenten
Dokument som förbereds för årsmötet Diarium arkivering Organisationsassistenten
Externa rapporter, ansökningar och avtal Diarium arkivering Organisationsassistenten
Övriga dokument Diarium arkivering Organisationsassistenten

För signerade dokument räcker det att exportera dokumenten via Exportera->Ladda ner valda dokument, PDF i E-arkivet. För de situationer då osignerade dokument ska arkiveras (inkl. underlag för att de inte signerats) behöver både dokumentet och loggsidan (där alla fält först måste expanderas manuellt) skrivas ut.

Övriga noter för intern användning av Scrive

PDF-filer som laddas upp för signering konverteras av Scrive till “platta dokument”. Det betyder att man måste ha måste ha rena länkar (då länkar tas bort från pdf). Så https://se.wikimedia.org/wiki/Integritetspolicy funkar men inte Integritetspolicy. Detta är särskilt viktigt om man t.ex. länkar ut till bilagor.

Om ett dokument återkallas är det artigt att kontakta de som tidigare fick en inbjudan om att signera för att förklara vad som har hänt. Detta då de inte blir automatiskt notifierade, istället slutar länken i deras mail bara att fungera.

Vid signering med Scrive läggs en sida till på slutet där en logg med tidsuppgifter och bevis för alla signeringar finns med. Denna sida måste behållas för att dokumentet ska vara giltigt. Sidan kan dock tas bort vid uppladdning av en kopia till vår wiki om särskilt känsliga personuppgifter kan finnas med.

Fotnoter

  1. I vissa situationer kan anti-virus program eller e-postklienter modifiera pdf-dokumentet så att det inte längre går att verifiera. Har du behov av en verifierbar kopia, kontakta kansliet.
  2. Notera att gallringen aldrig bör ske inom de första 40 dagarna efter signeringen.
  3. Ansvarig är här den person som genomför själva arkiveringen (och därmed gallringen om tillämpbart). Organisationsassistenten ansvarar för att dokumenten lyfts till annan ansvarig part.
  4. Vi särskiljer mellan konsulter på individnivå och de i flerpersonsföretag då det även reflekterar de skilda relationer vi har med underleverantörerna i dessa situationer. Avtal med de senare arkiveras i Diariet.
  5. Omfattar bara icke-finansiella dokument (annars hanteras de inom ramen för en av ovanstående kategorier). I praktiken omfattar detta främst intyg om jäv.

Se även