Проверка на автентичност на подписан документ: DUER

Единственият документ за оценка на рисковете (DUER) е основна част от съответствието със здравето и безопасността на работното място във Франция. Установен чрез декрет № 2001-1016 от 5 ноември 2001 г., той е задължителен за всяко предприятие от първия служител. Неговата юридическа стойност в случай на проверка от Инспекцията на труда, злополука или спор зависи главно от неговата проследяемост и автентичността на подписите, които го валидират. Как да сте сигурни, че цифрово подписан DUER не е бил изменен след подписа? Кои инструменти и методи позволяват проверката на тази автентичност? Тази статия ви ръководи стъпка по стъпка, от техническите основи към организационните добри практики.

Защо автентичността на подписа на DUER е критична

Правни и нормативни проблеми

DUER не е обикновен административен документ. В случай на работна злополука, професионално заболяване или трудово разбирателство, той може да бъде представен като доказателство за политиката на предотвратяване на работодателя. Кодексът на труда (членове L.4121-1 и следващите) налага на работодателя задължение за безопасност с резултат, а DUER е официалният запис от неговата оценка.

Неверифицируем или изменен електронен подпис може да доведе до:

• Нищожност на документа като доказателство пред съда;
• Административни санкции които могат да достигнат 3 750 € глоба на служител, който не е обхванат;
• Признаване на наказателна отговорност на ръководителя на компанията в случай на тежка злополука.

От закон № 2021-1018 от 2 август 2021 г. (Закон за здравето на работното място), актуализирането на DUER трябва да бъде по-често в предприятия с 11 служители и повече, а неговото съхранение сега се разширява до 40 години. Този дълъг период засилва необходимостта от надежден и верифицируем електронен подпис във времето.

Разликата между сканиран подпис и квалифициран електронен подпис

Много ръководители на HR или HSE смятат, че приложението на ръчно написан сканиран подпис върху PDF е достатъчно. Това не е случаят. Подпис-изображение (сканиране) не гарантира интегритет на документа: файлът може да бъде променен впоследствие без оставяне на проследяване.

Електронен подпис, съответстващ на регламента eIDAS, от друга страна, се основава на криптографски механизъм, който неразривно свързва самоличността на подписвача със съдържанието на документа в определен момент. Всяка последваща промяна, дори минимална — добавено пространство, променено число — инвалидира подписа и активира предупреждение при проверка.

Глосарият на електронния подпис разграничава три признати нива на eIDAS: прост електронен подпис (SES), разширен (SEA) и квалифициран (SEQ). За толкова чувствителен документ като DUER, нивото на разширен подпис се препоръчва като минимум, а нивото на квалифициран подпис е предпочитано за предприятия, подложени на чести проверки.

Конкретни методи за проверка на автентичността на подписан DUER

Проверка чрез собствен PDF четец

Най-достъпният метод е отварянето на документа в Adobe Acrobat Reader (безплатна версия) или съвместим PDF четец. Когато е налице съответстващ електронен подпис, панел със подпис се показва автоматично. Той указва:

1. Самоличност на подписвача: име, фамилия, организация и използван сертификат;
2. Дата и час на подписа, маркирани с криптографско отмерване на времето;
3. Статус на интегритета: „Подписът е валиден" или „Документът е бил променен след подписа";
4. Верижка на доверие на сертификата: валидирана от признато удостоверяващо тяло.

Тази проверка е незабавна и не изисква абонамент. Тя е обаче ограничена: ако сертификатът на издаващото удостоверяващо тяло не е в списъка на доверието на софтуера (като списък EUTL — European Union Trusted Lists), подписът може да се появи като „неверифициран", дори ако е технически валиден.

Проверка чрез онлайн услуги за валидация

Европейската комисия предоставя услугата DSS Demo Tools (достъпна на ec.europa.eu), която позволява качване на подписан документ и получаване на отчет за валидация, съответстващ на стандарта ETSI EN 319 102. Тази услуга:

• Проверява съответствието с формати XAdES, CAdES, PAdES и JAdES;
• Контролира валидността на сертификата в момента на подписа чрез протоколи OCSP или CRL;
• Генерира отчет JSON или PDF, детайлизиращ всяка стъпка на валидацията.

Съществуват също частни услуги, като предложения от предоставяти на квалифицирани услуги на доверие (QTSP), посочени в списъците на доверието на национално ниво. Във Франция ANSSI публикува списъка на акредитирани QTSP. Обръщането към една от тези услуги за валидиране на оспорван DUER в спор осигурява силно докажимост.

Проверка чрез платформата за подпис на произхода

Ако DUER е подписан чрез SaaS решение като Certyneo, проверката е още по-директна. Всеки подписан документ генерира сертификат за подпис (също наречен отчет за одит или пътека на подпис), който архивира:

• IP адреса и идентификатор на сесията на подписвача;
• Криптографския хеш SHA-256 на оригиналния документ;
• Квалифицирано отмерване на времето RFC 3161;
• Доказателства за самоличност, използвани (имейл, SMS OTP, дори силна аутентификация eIDAS).

Този отчет е сам по себе си електронно подписан от предоставителя, което го прави неподправим и директно използваем като доказателство в съда. Решението за електронен подпис за предприятия Certyneo интегрира този механизъм вътрешно за всички документи, включително DUER.

Добри практики за защита на подписа и съхранение на DUER

Избор на правилното ниво на подпис според профила на риска

Избирането на нивото на подпис не трябва да бъде оставено на случайност. За DUER, ето препоръчания начин на разсъждение:

| Контекст | Препоръчано ниво | Обоснование | |---|---|---| | МСП < 10 служители, дейност с нисък риск | Разширен подпис (SEA) | Баланс между цена и доказателствена стойност | | МСП, промишлен или строителен сектор | Разширен подпис с QSCD сертификат | Съответствие на eIDAS високо ниво | | Голямо предприятие, санитарен или химически сектор | Квалифициран подпис (SEQ) | Стойност еквивалентна на ръчно написания подпис |

За предприятия в здравния сектор, електронният подпис в здравеопазването отговаря на допълнителни нормативни ограничения (HDS, медицински RGPD), които систематично оправдават обращението към квалифициран подпис.

Отмерване на времето и дългосрочно архивиране

Законът за здравето на работното място, налагащ съхранение на DUER за 40 години, практически поставя въпроса за продължителност на подписите. Сертификатът за подпис има ограничена валидност (обикновено 1 до 3 години). След този период верижката на доверието може да бъде нарушена.

Решението е услугата за архивиране с доказателствена стойност (услуга за електронно архивиране или SAE), свързана с дългосрочно отмерване на времето според стандарта ETSI EN 319 122. Този механизъм, понякога наричан LTV (Long Term Validation), периодично реотмерва документа, добавяйки допълнителни доказателства за интегритет, гарантирайки неговата верифицируемост през целия правен период.

Не бъркайте архивирането със съхранението: един обикновен сървър на файлове или облачно хранилище не представляват архивиране с доказателствена стойност. Само система, гарантираща интегритет, четимост и проследяване на достъпа, отговаря на правните изисквания.

Процес на проверка при актуализации

DUER трябва да бъде актуализиран поне веднъж годишно и при всяка значителна промяна на условията на труд. Всяка нова версия трябва да бъде различена от предходната и да подлежи на нов подпис. Строг процес включва:

1. Явно версионизиране: номер на версия, дата на влизане в сила, списък с направени промени;
2. Подписание на новата версия от отговорния HSE и, според случаите, от представител на персонала (CSE);
3. Съхранение на всички предходни версии в SAE, достъпни само за четене;
4. Систематична проверка на интегритета на текущата версия преди споделяне със Инспекцията на труда или служби за здравето на работното място.

Автоматизацията на тези стъпки чрез платформа като Certyneo значително намалява риска от човешка грешка и гарантира продължаващото съответствие на процеса. За измерване на възвращаемостта на инвестицията в такова решение, калкулаторът ROI електронен подпис позволява оценка на печалбите според размера на вашата организация.

Применимо правно регулиране за подпис и проверка на DUER

Учредяващи текстове в трудовото право

Задължението да се установи Единствен документ за оценка на професионални рискове (DUERP) произхожда от член L.4121-1 на Кодекса на труда, който налага на работодателя да преведе и актуализира резултатите от оценката на рисковете. Декретът № 2001-1016 от 5 ноември 2001 г. установи това официално задължение. Законът № 2021-1018 от 2 август 2021 г. за укрепване на превенцията в здравето на работното място разширява задължението за съхранение до 40 години и въвежда изисквания за електронно депозиране при услугите на работното място за предприятия с поне 150 служители.

Юридическа стойност на електронния подпис

Член 1366 на Кодекса на гражданското право установява принципа: „Електронният документ има същата доказателствена сила като писмено документ на хартиен носител, при условие че лицето, от което е произлязло, може да бъде надлежно идентифицирано и че е установено и съхранено в условия, които гарантират интегритета му". Член 1367 уточнява, че електронният подпис „се състои в използванието на надежден процес на идентификация, гарантиращ връзката му с акта, към който се прилага".

Регламент eIDAS № 910/2014 на Европейския парламент и на Съвета установява европейската рамка на доверие за електронни сделки. Определя три нива на подписи (прост, разширен, квалифициран) и установява еквивалентност между квалифицирания електронен подпис и ръчния подпис в член 25 § 2. Разширеният подпис, без да е в полза на това правно предположение, остава приемлив като начин на доказ според принципа на недискриминация в член 25 § 1.

Технически референтни норми

Форматите на електронния подпис, признати за PDF документи, се определят от стандартите ETSI EN 319 132 (XAdES), ETSI EN 319 122 (CAdES) и ETSI EN 319 142 (PAdES). За дългосрочна валидация стандартът ETSI EN 319 102 определя процедурите на алгоритъм на валидация, съответстваща на eIDAS.

Квалифицираното електронно отмерване на времето е регулирано от член 41 на Регламент eIDAS и стандарта RFC 3161 на IETF, гарантирайки определена дата, възложима на трети лица.

Защита на личните данни

DUER съдържа лични данни (самоличности на служители, информация за тяхното здраве и безопасност). Неговото обработване подлежи на Регламент RGPD № 2016/679. Електронният подпис сам по себе си включва обработка на данни за самоличност на подписвачите. Работодателят, като отговорен за обработка, трябва да гарантира, че предоставителят на подпис е съответстващ на RGPD подизпълнител, диспозирайки DPA (Data Processing Agreement), съответстващ на член 28 на RGPD.

Рискове при несъответствие

Липсата на DUER или DUER, чийто подпис не е възложим, изложи работодателя на глоба от 3 750 € (5-ти клас нарушение) за всяко констатирано нарушение. В случай на тежка работна злополука, невъзложимостта на DUER може да доведе до признаване на неизвинима вина на работодателя, предизвиквайки повишение на обезщетенията, изплатени на жертвата, и встъпателна процедура на CPAM.

Конкретни сценарии на използване

Индустриален предоставител, съкрушен при проверка от Инспекцията на труда

МСП производител на метални части с 85 служители, работеща в производството на метални части, подлага на неочаквано посещение от Инспекцията на труда след машинна злополука. Инспекторката иска да разгледа DUER, действащ на дата на злополуката. Отговорният HSE представя PDF файл, подписан електронно чрез платформата за подпис на компанията.

Благодарение на приложения одитен сертификат, инспекторката може да проверя в реално време: дата и час на подпис (преди злополуката), самоличност на подписвача (оправомощения директор на производство), интегритет на документа (хеш SHA-256 неповреден) и съответствие на нивото на подпис (разширен с квалифициран сертификат). Компанията е в състояние да демонстрира, че рискът е識ентифициран и че коригиращи мерки бяха планирани. Това досие избягва квалификацията на неизвинима вина. Според данните от годишния отчет на CNAM относно злополуките, предприятия, разполагащи с надежден документален документен и проследим опис, намаляват експозицията си към встъпателни процедури на CPAM с 30 до 45%.

HR консултантска фирма, управляваща DUER на много клиенти

Консултантска фирма за човешки ресурси с 18 сътрудници придружава около четиридесет МСП клиенти при разработването и годишното актуализиране на техните DUER. До този момент документите бяха изпращани по имейл в неподписан PDF, след това ръчно подписани и върнати като сканирани.

След миграция към SaaS решение за електронен подпис, всеки DUER е подписан онлайн от клиента ръководител за по-малко от 3 минути. Фирмата разполага със централизирана контролна таблица, позволяваща проверката на статуса на всеки документ във всеки момент: подписан, отмерен, архивиран. В случай на въпрос на клиент относно валидността на предходна версия, проверката на автентичност отнема по-малко от 30 секунди. Времето, посветено на напомнителни и управление на документи по хартия, намаля с около 60%, според сравними бенчмарки на сектора, публикувани от асоциации на консултанти по човешки ресурси.

Групиране на здравни учреждения, управляваща плюрианни DUER

Частна болнична група с около 600 легла, които групирана няколко здравни учреждения и EHPAD, трябва да управлява специфични DUER за всяко свое място, включително химични, биологични и психосоциални рискове. Дългото правно съхранение на 40 години и множество подписвачи (директори на места, работни лекари, представители на CSE) правят проследяването особено сложно.

Групата развърта решение за квалифициран електронен подпис с архивиране с доказателствена стойност и дългосрочно отмерване на времето. Всяка версия на DUER е запечатена криптографски и периодично реотмерена всеки 3 години за поддържане на верижката на доверието. В случай на ревизия на ARS или съдебен спор, всяка исторически версия може да бъде извлечена със своя пълен отчет за валидация. Тази организация позволи намаляването на времето за подготовка на файлове при външни инспекции с близо 70%, в сравнение със стара система от хибридно архивиране на хартия-цифрово.

Заключение

Проверката на автентичността на подписан документ за Единствен документ за оценка на рисковете не е опционална формалност: това е правна и организационна необходимост. Между задължения, произхождащи от Кодекса на труда, дългосрочното съхранение на 40 години, наложено от 2021 г., и рисковете от отговорност в случай на злополука, само надежден електронен подпис — придружен от надеждни инструменти за проверка — гарантира пълната доказателствена стойност на вашия DUER.

Независимо дали преминете чрез PDF четец, европейска услуга за валидация или директно чрез вашата платформа за подпис, е от съществено значение да интегрирате тази проверка в документиран и повторяем процес.

Certyneo ви позволява да подписвате, проверявате и архивирате вашите DUER в пълното съответствие на eIDAS, с пълна пътека на одит и интегрирано архивиране с доказателствена стойност. Създайте своя безплатна сметка на Certyneo и защитете днес юридическата стойност на вашите документи за предотвратяване.