التحقق من صحة توقيع المستند: وثيقة تقييم المخاطر الوحيدة

وثيقة تقييم المخاطر الوحيدة (DUER) هي حجر الزاوية في الامتثال الصحي والسلامة المهنية في فرنسا. تم إنشاؤها بموجب المرسوم رقم 2001-1016 الصادر في 5 نوفمبر 2001، وهي إلزامية لأي شركة يعمل بها موظف واحد على الأقل. ومع ذلك، تعتمد قيمتها القانونية في حالة فحص مفتشية العمل أو الحادث أو النزاع بشكل كبير على قابليتها للتتبع وصحة التوقيعات التي تصادق عليها. كيف يمكنك التأكد من أن وثيقة تقييم المخاطر الموقعة رقميًا لم يتم تعديلها بعد التوقيع؟ ما الأدوات والطرق التي تسمح بالتحقق من هذه الصحة؟ تحتويك هذه المقالة خطوة بخطوة، من الأساسيات التقنية إلى أفضل الممارسات التنظيمية.

لماذا تكون صحة توقيع وثيقة تقييم المخاطر حاسمة

الرهانات القانونية والتنظيمية

وثيقة تقييم المخاطر ليست مستندًا إداريًا عاديًا. في حالة حادث العمل أو المرض المهني أو النزاع أمام محكمة العمل، قد يتم إدراجها كدليل على سياسة الوقاية لدى صاحب العمل. ينص قانون العمل (المواد L.4121-1 وما يليها) على التزام صاحب العمل بالتزام أمان النتيجة، وتقييم المخاطر هو الدليل الرسمي على تقييمه.

قد يؤدي التوقيع الإلكتروني غير القابل للتحقق أو المحرف إلى:

• بطلان المستند كدليل أمام المحكمة؛
• عقوبات إدارية قد تصل إلى 3750 يورو لكل موظف غير مشمول؛
• مسؤولية جنائية لصاحب المشروع في حالة حادث خطير.

منذ القانون رقم 2021-1018 الصادر في 2 أغسطس 2021 (قانون الصحة المهنية)، يجب أن تتم تحديث وثيقة تقييم المخاطر بشكل أكثر تكرارًا في الشركات التي يعمل بها 11 موظفًا أو أكثر، وتم توسيع فترة الاحتفاظ بها إلى 40 عامًا. تعزز هذه المدة الطويلة ضرورة التوقيع الإلكتروني القوي والقابل للتحقق عبر الزمن.

الفرق بين التوقيع الممسوح ضوئيًا والتوقيع الإلكتروني المؤهل

كثيرون هم مديرو الموارد البشرية أو HSE الذين يعتقدون أن وضع توقيع يدوي ممسوح ضوئيًا على ملف PDF يكفي. هذا ليس صحيحًا. لا يضمن التوقيع الصورة (المسح) أي تكامل المستند: يمكن تعديل الملف لاحقًا دون ترك أثر قابل للكشف.

أما التوقيع الإلكتروني المطابق لنظام eIDAS فيعتمد على آلية تشفيرية تربط هوية الموقع بمحتوى المستند بشكل نهائي في لحظة محددة. أي تعديل لاحق، حتى لو كان طفيفًا — إضافة مسافة أو تغيير رقم — يبطل التوقيع ويثير تنبيهًا عند التحقق.

يميز معجم التوقيع الإلكتروني ثلاثة مستويات معترف بها من قبل eIDAS: التوقيع الإلكتروني البسيط (SES) والمتقدم (SEA) والمؤهل (SEQ). بالنسبة لمستند حساس مثل وثيقة تقييم المخاطر، يوصى بالمستوى المتقدم على الأقل، والمستوى المؤهل يكون أفضل للشركات التي تخضع لفحوصات متكررة.

الطرق العملية للتحقق من صحة وثيقة تقييم المخاطر الموقعة

التحقق عبر برنامج قراءة PDF الأصلي

تتمثل الطريقة الأكثر إمكانية في فتح المستند في Adobe Acrobat Reader (النسخة المجانية) أو قارئ PDF متوافق. عندما توقيع إلكتروني متوافق موجود، يتم عرض لوحة توقيع تلقائيًا. وتشير إلى:

1. هوية الموقع: الاسم، اللقب، المنظمة والشهادة المستخدمة؛
2. تاريخ ووقت التوقيع، المختومة بختم التشفير الزمني؛
3. حالة التكامل: "التوقيع صحيح" أو "تم تعديل المستند بعد التوقيع"؛
4. سلسلة ثقة الشهادة: التحقق منها بواسطة جهة إصدار شهادات معترف بها.

هذا التحقق فوري ولا يتطلب أي اشتراك. ومع ذلك، فهو محدود: إذا لم تكن شهادة جهة الإصدار في قائمة الثقة لدى البرنامج (مثل قائمة EUTL — European Union Trusted Lists)، قد يظهر التوقيع كـ "غير محقق" حتى لو كان صحيحًا من الناحية التقنية.

التحقق عبر خدمات التحقق الإلكترونية

تضع المفوضية الأوروبية خدمة DSS Demo Tools (متاحة على ec.europa.eu) للتحقق من التوقيع والحصول على تقرير تحقق متوافق مع معيار ETSI EN 319 102. تقوم هذه الخدمة بـ:

• التحقق من التوافق مع تنسيقات XAdES و CAdES و PAdES و JAdES؛
• التحقق من صحة الشهادة في وقت التوقيع عبر بروتوكولات OCSP أو CRL؛
• إنشاء تقرير JSON أو PDF يفصل كل خطوة من خطوات التحقق.

هناك أيضًا خدمات خاصة مثل تلك التي يقدمها مقدمو خدمات الثقة المؤهلون (QTSP) المشار إليهم في قوائم الثقة الوطنية. في فرنسا، تنشر ANSSI قائمة بـ QTSP المعتمدة. اللجوء إلى أحد هذه الخدمات للتحقق من وثيقة تقييم المخاطر المطعون فيها في نزاع يوفر قوة إثباتية أعلى بكثير.

التحقق عبر منصة التوقيع الأصلية

إذا تم توقيع وثيقة تقييم المخاطر عبر حل SaaS مثل Certyneo، يكون التحقق أكثر مباشرة. كل مستند موقع ينشئ شهادة توقيع (تسمى أيضًا تقرير التدقيق أو مسار التوقيع) تحفظ:

• عنوان IP ومعرف جلسة الموقع؛
• قيمة التجزئة التشفيرية SHA-256 للمستند الأصلي؛
• الختم الزمني المؤهل RFC 3161؛
• إثباتات الهوية المستخدمة (البريد الإلكتروني، رسالة نصية قصيرة OTP، أو حتى المصادقة القوية eIDAS).

يتم توقيع هذا التقرير نفسه إلكترونيًا بواسطة مقدم الخدمة، مما يجعله لا يمكن تزويره ومباشرة قابل للاستخدام كدليل في المحكمة. يدمج حل التوقيع الإلكتروني للشركات Certyneo هذه الآلية بشكل أصلي لجميع المستندات، بما في ذلك وثائق تقييم المخاطر.

أفضل الممارسات لتأمين توقيع وحفظ وثيقة تقييم المخاطر

اختيار مستوى التوقيع المناسب حسب ملف المخاطر

يجب عدم ترك اختيار مستوى التوقيع للصدفة. بالنسبة لوثيقة تقييم المخاطر، إليك الاستدلال الموصى به:

| السياق | المستوى الموصى به | التبرير | |---|---|---| | TPE < 10 موظفين، نشاط منخفض المخاطر | التوقيع المتقدم (SEA) | توازن بين التكلفة والقيمة الإثباتية | | SME، القطاع الصناعي أو البناء | التوقيع المتقدم مع شهادة QSCD | امتثال eIDAS على مستوى عالٍ | | شركة كبيرة، قطاع الصحة أو الكيمياء | التوقيع المؤهل (SEQ) | قيمة مكافئة للتوقيع اليدوي |

بالنسبة للشركات في قطاع الصحة، يتم الامتثال للقيود التنظيمية الإضافية (HDS، RGPD الطبي) التي تبرر بشكل منتظم الاستعانة بـ التوقيع الإلكتروني في الصحة بالتوقيع المؤهل.

الختم الزمني والحفظ طويل الأجل

بفرض قانون الصحة المهنية الاحتفاظ بوثيقة تقييم المخاطر لمدة 40 عامًا، تطرح مسألة عمر التوقيع نفسها بشكل ملموس. يوقع الشهادة نطاق صلاحية محدود (عادة ما يكون سنة إلى 3 سنوات). بعد هذه المدة، قد تنقطع سلسلة الثقة.

الحل هو خدمة الحفظ ذات القيمة الإثباتية (خدمة الحفظ الإلكتروني أو SAE)، مقترنة بـ ختم زمني طويل الأجل وفقًا لمعيار ETSI EN 319 122. تضيف هذه الآلية، التي تسمى أحيانًا LTV (Long Term Validation)، ختمًا زمنيًا دوريًا للمستند عن طريق إضافة إثباتات تكامل إضافية، مما يضمن قابليته للتحقق طوال مدة الاحتفاظ القانونية.

لا تخلط بين الحفظ والتخزين: مجرد خادم ملفات أو محرك أقراص سحابي لا يشكل حفظًا ذا قيمة إثباتية. فقط نظام يضمن التكامل والقابلية للقراءة وتتبع الوصول يستوفي المتطلبات القانونية.

عملية التحقق أثناء التحديثات

يجب تحديث وثيقة تقييم المخاطر مرة واحدة على الأقل في السنة، وفي كل تعديل جوهري لظروف العمل. يجب تمييز كل نسخة جديدة عن الإصدار السابق وتوقيعها إلكترونيًا مرة أخرى. تتضمن عملية صارمة:

1. إصدار واضح: رقم الإصدار، تاريخ النفاذ، قائمة التعديلات المدخلة؛
2. توقيع النسخة الجديدة بواسطة المسؤول عن السلامة والصحة وفقًا للحالات من قبل ممثل الموظفين (CSE)؛
3. الحفاظ على جميع الإصدارات السابقة في خدمة الحفظ الإلكتروني، يمكن الوصول إليها في وضع القراءة فقط؛
4. التحقق المنتظم من تكامل الإصدار الحالي قبل أي مشاركة مع مفتشية العمل أو خدمات الصحة المهنية.

يقلل أتمتة هذه الخطوات عبر منصة مثل Certyneo بشكل كبير من خطر الخطأ البشري ويضمن الامتثال المستمر للعملية. لقياس العائد على الاستثمار لمثل هذا الحل، يسمح حاسبة ROI للتوقيع الإلكتروني بتقدير المكاسب حسب حجم منظمتك.

الإطار القانوني المعمول به في التوقيع والتحقق من وثيقة تقييم المخاطر

النصوص الأساسية في قانون العمل

ينشأ الالتزام بإنشاء وثيقة تقييم المخاطر المهنية الوحيدة (DUERP) من المادة L.4121-1 من قانون العمل، التي تفرض على صاحب العمل نسخ وتحديث نتائج تقييم المخاطر. أنشأ المرسوم رقم 2001-1016 الصادر في 5 نوفمبر 2001 هذا الالتزام الرسمي. وسعت القانون رقم 2021-1018 الصادر في 2 أغسطس 2021 لتعزيز الوقاية في الصحة المهنية التزامات الاحتفاظ إلى 40 عامًا وأدخلت متطلبات الإيداع المدرج حسب السجلات لدى خدمات الصحة المهنية للشركات التي يعمل بها 150 موظفًا على الأقل.

القيمة القانونية للتوقيع الإلكتروني

تضع المادة 1366 من القانون المدني المبدأ: "للكتابة الإلكترونية نفس القوة الإثباتية للكتابة على الورق، بشرط أن يتم التحقق بشكل صحيح من هوية الشخص الذي تنبع منه وتم إنشاؤها والاحتفاظ بها بطريقة تضمن تكاملها." توضح المادة 1367 أن التوقيع الإلكتروني "يتكون من استخدام إجراء موثوق للتعريف يضمن ارتباطه بالعمل الذي يتعلق به".

يؤسس نظام eIDAS رقم 910/2014 من البرلمان الأوروبي والمجلس الإطار الأوروبي للثقة في المعاملات الإلكترونية. يحدد ثلاثة مستويات من التوقيعات (بسيط، متقدم، مؤهل) ويضع التكافؤ بين التوقيع الإلكتروني المؤهل والتوقيع اليدوي في المادة 25 الفقرة 2. التوقيع المتقدم، على الرغم من عدم الاستفادة من هذا الافتراض القانوني، لا يزال قابلاً للقبول كوسيلة إثبات وفقًا لمبدأ عدم التمييز في المادة 25 الفقرة 1.

معايير التقنية المرجعية

يتم تحديد تنسيقات التوقيع الإلكتروني المعترف بها للمستندات في صيغة PDF بموجب معايير ETSI EN 319 132 (XAdES) و ETSI EN 319 122 (CAdES) و ETSI EN 319 142 (PAdES). للتحقق طويل الأجل، يحدد معيار ETSI EN 319 102 إجراءات خوارزمية التحقق المتوافقة مع eIDAS.

يتم تنظيم الختم الزمني الإلكتروني المؤهل بموجب المادة 41 من نظام eIDAS ومعيار RFC 3161 من IETF، مما يضمن التاريخ المعين القابل للمعارضة للطرف الثالث.

حماية البيانات الشخصية

تحتوي وثيقة تقييم المخاطر على بيانات شخصية (هويات الموظفين، المعلومات المتعلقة بصحتهم وسلامتهم). يخضع معاملتها لـ نظام RGPD رقم 2016/679. يتضمن التوقيع الإلكتروني نفسه معالجة بيانات هوية الموقعين. يجب على صاحب العمل، بصفته مسؤول المعالجة، التأكد من أن مقدم الخدمة هو معالج بيانات متوافق مع RGPD ولديه DPA (Data Processing Agreement) متوافق مع المادة 28 من RGPD.

المخاطر في حالة عدم الامتثال

عدم وجود وثيقة تقييم المخاطر أو وثيقة لا يمكن معارضة توقيعها يعرض صاحب العمل لغرامة 3750 يورو (خلاف الفئة الخامسة) لكل انتهاك تم الكشف عنه. في حالة حادث عمل خطير، قد يؤدي عدم معارضة الوثيقة إلى الاعتراف بخطأ صاحب العمل الغير المعقول، مما يؤدي إلى زيادة التعويضات المدفوعة للضحية وإجراء استرجاعي من قبل CPAM.

سيناريوهات الاستخدام العملية

مقاول صناعي يواجه فحصًا من مفتشية العمل

تخضع شركة صناعية صغيرة ومتوسطة يعمل بها 85 موظفًا، تعمل في تصنيع الأجزاء المعدنية، لزيارة فجائية من مفتشية العمل بعد حادث ماكينة. تطلب المفتشة الاطلاع على وثيقة تقييم المخاطر الساري المفعول في تاريخ الحادث. يقدم مسؤول السلامة والصحة ملف PDF موقعًا إلكترونيًا عبر منصة التوقيع الخاصة بالشركة.

بفضل شهادة التدقيق المرفقة بالمستند، يمكن للمفتشة التحقق في الوقت الفعلي: تاريخ ووقت التوقيع (السابق للحادث)، هوية الموقع (مدير الإنتاج المرخص)، تكامل المستند (قيمة التجزئة SHA-256 سليمة)، والامتثال لمستوى التوقيع (متقدم مع شهادة مؤهلة). تكون الشركة قادرة على إثبات أن المخاطر تم تحديدها والتدابير التصحيحية كانت مخطط لها. تتجنب هذه الملف تكييف الخطأ الغير المعقول. وفقًا لبيانات التقرير السنوي من CNAM حول الحوادث، تقلل الشركات التي تتمتع بتتبع وثائقي قوي من تعرضها لإجراءات استرجاعية من CNAM بنسبة 30 إلى 45 في المائة.

مكتب استشارات الموارد البشرية يدير وثائق تقييم المخاطر متعددة العملاء

يصاحب مكتب استشارات موارد بشرية يضم 18 متعاونًا حوالي أربعين شركة صغيرة ومتوسطة عملاء في تحرير وتحديث وثائق تقييم المخاطر السنوية. حتى الآن، كانت المستندات ترسل عبر البريد الإلكتروني في ملفات PDF غير موقعة، ثم يتم توقيعها يدويًا وإرسالها مرة أخرى بصيغة ممسوحة ضوئيًا.

بعد الهجرة إلى حل التوقيع الإلكتروني عبر الإنترنت، يتم توقيع كل وثيقة تقييم مخاطر عبر الإنترنت من قبل المدير العميل في أقل من 3 دقائق. يتمتع المكتب بلوحة تحكم مركزية تسمح بالتحقق في أي وقت من حالة كل مستند: موقع، مختوم بختم زمني، محفوظ. في حالة سؤال العميل حول صحة نسخة سابقة، يستغرق التحقق من الصحة أقل من 30 ثانية. انخفض الوقت المكرس للمتابعات وإدارة المستندات الورقية بحوالي 60 في المائة، وفقًا لمعايير القطاع المماثلة التي نشرتها جمعيات الاستشارة في الموارد البشرية.

تجمع من مرافق الرعاية يدير وثائق تقييم المخاطر متعددة السنوات

يجب على مجموعة مستشفيات خاصة بحوالي 600 سرير، تضم عدة مرافق رعاية و دور رعاية الحالات الحرجة، أن تدير وثائق تقييم المخاطر محددة لكل موقع من مواقعها، بما في ذلك المخاطر الكيميائية والبيولوجية والنفسية الاجتماعية. مدة الحفاظ القانوني البالغة 40 عامًا وتعدد الموقعين (مديري المواقع، أطباء العمل، ممثلي لجنة الصحة والسلامة) تجعل المتابعة معقدة بشكل خاص.

تنشر المجموعة حل التوقيع الإلكتروني المؤهل مع الحفظ ذي القيمة الإثباتية والختم الزمني طويل الأجل. يتم ختم كل نسخة من وثيقة تقييم المخاطر بشكل تشفيري وإعادة ختمها بختم زمني تلقائيًا كل 3 سنوات للحفاظ على سلسلة الثقة. في حالة تدقيق من ARS أو نزاع، يمكن استخراج أي إصدار تاريخي مع تقرير التحقق الكامل الخاص به. سمحت هذه المنظمة بتقليل الوقت المخصص لإعداد الملفات أثناء الفحوصات الخارجية بنسبة تقارب 70 في المائة، مقارنة بنظام الحفظ الهجين الورقي والرقمي القديم.

الخلاصة

التحقق من صحة التوقيع على وثيقة تقييم المخاطر الوحيدة ليس إجراءً اختياريًا: إنه ضرورة قانونية وتنظيمية. بين الالتزامات الناشئة عن قانون العمل، ومدة الاحتفاظ البالغة 40 عامًا المفروضة منذ 2021 ومخاطر المسؤولية في حالة الحادث، فقط التوقيع الإلكتروني القوي — مقترنًا بأدوات التحقق الموثوقة — يضمن القيمة الإثباتية الكاملة لوثيقة تقييم المخاطر الخاصة بك.

سواء مررت عبر برنامج قراءة PDF، أو خدمة تحقق أوروبية أو مباشرة عبر منصة التوقيع الخاصة بك، فإن الأساسي هو دمج هذا التحقق في عملية موثقة وقابل