Avalik sektori kliendi allkirja ruum: praktiline juhend

Halduslike toimingute dematerializeerimise protsess kiirenevad Prantsusmaa kohalike omavalitsuste ja haldusasutuste tasandil. Alates „Action publique 2022" plaani kehtestamisest ja eIDAS määrusest tulenevate kohustuste jõustumisest peavad avalikud asutused pakkuma sujuvaid, turvaliseid ja vastutulevõetavaid digitaalset teed. Selle süsteemi keskmes on kliendi allkirja ruum, spetsiaalne portaal, mis võimaldab igal kasutajal või partneril vastuvõtta, vaadata, allkirjastada ja arhiivida ametlikke dokumente võrgus. Käesolev artikkel detailselt kirjeldab konkreetseid samme sellise ruumi loomiseks avalikus sektoris, järgitavaid regulatiivseid nõudeid ja parimaid tavasid.

Miks kliendi allkirja ruum sai avaliku sektori jaoks strateegiliseks

Regulatiivne kontekst ja kasutajate ootused

Prantsusmaal määrusega nr 2014-1330 (6. november 2014) kasutajate õigusest elektroonilist teed kasutades haldusasutustele pöörduda loodi esimesed alused dematerializeerimise kohustuseks. Seejärel on seadused ESSOC (2018), 3DS (2022) ja järjestikused valitsusasutuste vahelised ringkirjad seda arengut tugevdanud. DINUM-i avaldatud dematerializeerimise barometri järgi aastal 2025 on üle 87% esimese tasandi halduslikest toimingutest nüüd kättesaadavad võrgus, kuid ainult 54% neist sisaldavad õiguslikult kehtivat elektroonilise allkirja mehhanismi.

Kasutajad ei aktsepteeri enam paberiga seonduvaid edasi-tagasi liikumisi. OpinionWay'i uuring aastast 2024 näitab, et 72% Prantsusmaa kodanikest eelistaksid halldusdokumenti võrgus allkirjastada, selle asemel et asutuses kohapeal käia, juhul kui seade oleks lihtne ja usaldusväärne. Kliendi allkirja ruum vastab täpselt sellele ootusele, pakkudes ühtset, turvalist ja jälgitavat juurdepääsupunkti kõigile dematerializeeritud toimingutele.

Erinevused erasektori vahel

Erinevalt erasektorist alluvad avalikud asutused lisapiirangutele: avalikud hanked, mida reguleerib avalike hangetega seotud seadusandlus, otsused, mis alluvad prefektuuriülevaatusele seaduslikkuse kontrolli jaoks, ja kodakondsuse dokumendid, mida reguleerib Tsiviilseadustik. Nõutava elektroonilise allkirja taseme määr varieerub sõltuvalt dokumendi olemusest: lihtne partnerluse kokkulepe võib piirduda täiustatud elektroonilise allkirjaga (TEA), samas kui notariaalne akt või omavalitsuse nõukogu otsus võib teatud juhtudel nõuda kvalifitseeritud allkirja (KA), nagu on määratletud eIDAS määruse artiklis 26.

Sobiva taseme valimiseks iga dokumendi tüübi jaoks vaadake meie täielikku elektroonilise allkirja juhiseid, mis detailselt kirjeldavad kolme eIDAS taseme ja nende rakendamist avalikus sfääris.

Etapid kliendi allkirja ruumi loomiseks kohalikule omavalitsusele või haldusasutusele

1. etapp — Dokumentide voogude ja osapoolte kaardistamine

Enne mis tahes vahendi juurutamist on voogude kaardistamise tegemine paratamatu. See faas hõlmab järgmise määratlemist:

• Dokumentide tüübid (otsused, avalikud hanked, kokkulepped, ehituslubade andmised, personalidokumendid jne);
• Sisemine allkirjastajad (valitud esindajad, peasekretärid, osakonna juhid) ja välised allkirjastajad (teenusepakkujad, organisatsioonid, kodanikud, muude avalike asutuste agendid);
• Mahud aastas ja seotud lepingulised või regulatiivsed tähtajad;
• Olemasolevad andmesüsteemid (spetsiaalsoftid nagu SEDIT, CIVIL NET, CIRIL, Berger-Levrault), millega kliendi ruum peab suhtlema.

See kaardistamine võimaldab määratleda platvormi funktsionaalset ulatust ja vältida duplikatsioone juba olemasolevate vahenditega. See määrab ka turvalikkuse taseme ja autentimise nõudmised, mida rakendada iga kasutajagrupi jaoks.

2. etapp — Sobiva tehnilise lahenduse valimine avaliku sektori nõuetele

Elektroonilise allkirja lahenduse valimine avalikus sektoris vastab spetsiifilistele kriteeriumitele, mida erasektori tavaliselt sama rangelt ei määra:

1. Souveraine majutus: avaliku asutuse andmed peavad asuma Prantsusmaal või Euroopa Liidus, sertifitseeritud infrastruktuuris HDS (tervishoiuandmete korral) või SecNumCloud (tundlike andmete korral). ANSSI SecNumCloud sertifikatsioon on muutunud eristava kriteeriumiks pärast peaministri ringkirja 5. juulist 2021.
2. Ühilduvus: lahendus peab esitama dokumenteeritud REST API-sid, mis ühilduvad RGI (Général d'Interopérabilité) ja RGS (Référentiel Général de Sécurité) viiteüldstandartidega.
3. RGAA ligipääsetavus: vastavalt seadusele nr 2005-102 (11. veebruar 2005) ja rakenduskäskkirjadele peavad avalikud portaalid, mis on kodanike jaoks kättesaadavad, järgima Référentiel Général d'Amélioration de l'Accessibilité (RGAA 4.1) vähemalt AA tasandil.
4. eIDAS vastavus: allkirja sertifikaadid peavad olema väljastatud Usaldusele kuuluva Teenusepakkuja (TSP) poolt, kes on loetletud Euroopa Liidu usalduslikus nimekirjas (Trusted List), mille avaldab Euroopa Komisjon.

Turu lahenduste võrdlemiseks nende kriteeriumide alusel pakub meie elektroonilise allkirja lahenduste võrdlus avalike hangetega tegelevate ostjate jaoks sobivat hindamismaatraksit.

3. etapp — Kliendi allkirja ruumi konfigureerimine: autentimine ja kasutaja tee

Kliendi allkirja ruumi konfigureerimine toetub kolmele tehnilistele sambale:

Allkirjastajate autentimine: avalik sektor omab strukturaalset eelis FranceConnect+ abil, Prantsusmaa rahvusliku digitaalse identiteedi seadmega, mida hallata DINUM. FranceConnect+ võimaldab eIDAS määruse järgi olulist või kõrget astme autentimist, mis muudab allkirjastatud dokumendid vastutulevõetavaks ilma mingite kahtluseta. Väliste teenusepakkujate (ettevõtted, organisatsioonid) jaoks võib email-tugevdatud autentimine (OTP) koos identiteedidokumentide kontrollimisega olla piisav keskmise tasandi dokumentidele.

Allkirjastamise tee peaks olema kavandatud hõõrdumise vähendamiseks: teavitus e-posti või SMS-iga, otsene juurdepääs dokumendile nimekirjast, sisu vaatamine enne allkirjastamist, allkirja asetamine ühe või kahe klikiga vastavalt nõudmisele ja horodaatega kinnituse vastuvõtmine. Kvalifitseeritud horodaatus (RFC 3161) tagab dokumendi terviklikkuse ja allkirja kindla kuupäeva, mis on tähtsad konfliktide korral.

Delegeeringute ja kinnituste vooluide haldamine: kohalikul omavalitsusel on akt sageli ainult ühe lõpplõpuallkirjaga, kuid see on eelnevalt sisemiste allkirjastamis sammudega. Kliendi ruum peab võimaldama mitme tasandi töövooge (elektrooniline parapheur) konfigureerida delegeerimisreeglitega, mis vastavad asutuse allkirjastamis delegeeringute määrusele.

4. etapp — Säilitamise ja tõendamisväärtusega arhiivimise tagamine

Kliendi ruum ei piirdu allkirjastamisega: ta peab garanteerima dokumentide tõendamisväärtust aja jooksul. Kodanike raamatukogu (artiklid L. 211-1 ja järgnevad) määrab avalike asutuste jaoks konkreetsed säilitusväljaanded aktide olemuse järgi (10 aastat avalike hangetele, piiramatu aeg otsustele jne).

Standard NF Z 42-020 määratleb nõudmised elektroonilisele arhiivisüsteemile tõendamisväärtusega (SAE). Kliendi ruum peab suhtlema asutuse SAE-ga või pakkuma originaalselt digitaalset kasutusvõttu, mis vastab nõudmistele. Sertifitseeritud kolmanda osapoole arhivaar võimaldab eksportida selle kohustuse väljapoole jättes aga säilitada CNIL-i ja halduskohtute nõutava jälgitavuse.

Arvestage, et allkirjastatud dokumendid jäävad igale allkirjastajale kättesaadavaks tema isikust ruumist, vastavalt GDPR ja CADA seadusega ette nähtud ligipääsuõigustele.

Valitsemise, koolituse ja muudatuste juhtimine avalikus sektoris

Projekti valitsemise struktuuring

Kliendi allkirja ruumi juurutamine on organisatsioonilise muudatuse projekt nii palju kui tehniline. Valitsemisse peab kaasama:

• Pearahastussuutlikkuse juhti (DGS/DGA) poliitilise toetuse ja dokumentide kinnitamise jaoks;
• IT-osakonna juhti (DSI) tehnilise integreerimise ja turvalisuse jaoks;
• Andmekaitse delegaati (DPD), kohustuslik avalikes asutustes alates GDPR artiklist 37, mille valdkonnas kinnitatakse mõjuanalüüs (AIPD);
• Õigusasutuse riskide kaardistamiseks ja dematerializeeritud dokumentide tüüpide õiguslikke väärtust kinnitama.

Kvartaline juhtimisteadaanne, kuhu kuuluvad need osapooled, võimaldab juurutamist kohandada ja prioritiseeriada dematerializeeritavaid vooge vastavalt vaadeldud operatiivsele kasule.

Agentide ja välistele allkirjastajate koolitamine

Kliendi allkirja ruumi omaksvõtmine sõltub suuresti muudatuste juhtimise kvaliteedist. Avalikud agendid, harjunud paberiga protsessidega või heterogeensete töövahenditega, vajavad lühikest kuid sihtotstarbeliselt koolitust: elektroonilise allkirja õiguslikku väärtust mõista, teada kuidas tuvastada võltsitud dokumenti, valdama oma valdkonna allkirjastamis vooge.

Välistele allkirjastajatele (äriettevõtted teenusepakkujad, rahastatud organisatsioonid) on lihtne kasutusjuhend, mis on kättesaadav ruumi sees, märkimisväärne toetuse taotlemiste vähendamine. Kaasaegsed platvormid integreerivad nüüd kontekstikohased õpetused ja dünaamilist KKK otse allkirjastamise tee sisse. Näiteks Certyneo otsistusstudiad pakuvad sisulikke ressursse, mida saab kohandada teie sisemiste kommunikatsioonidega.

Kasude mõõtmine ja andmestikul põhinev juhtimine

Kliendi allkirja ruumi investeeringult saadud tulu avalikus sektoris mõõdetakse mitmel dimensioonil:

• Keskmise allkirjastamise aeg: dematerializeerimisega väheneb allkirjastamise tsükkel keskmiselt 7–14 päevast alla 48 tunni vastavalt kohalike omavalitsuste esimeste kasutajate kogemustele;
• Kadunud või halvasti arhiivitud dokumentide määr: nulliga SAE-ga interfaceerimisel;
• Otsesed kulud: trükkimine, posti maksimine, kuupja edastamise kulude, mittekvaliteetsetest dokumentidest tingitud töötlemise kulude;
• Välistele allkirjastajatele rahulolu: mõõdetav NPS kaudu, mis on integreeritud allkirjastamise voolu lõppu.

Need näitajad täidavad juhtimistablooni ja õigustavad järkjärgulist dematerializeeritud valdkonna laiendamist. Täpsemaks hindamiseks oma asutuse võimalike kasude hindamiseks pakub meie elektroonilise allkirja ROI kalkulaator isikupärastatud prognoosi vähem kui 5 minutiga.

Õiguslik raamistik, mis kohaldub kliendi allkirja ruumile avalikus sektoris

Kliendi allkirja ruumi kehtestamine Prantsusmaa kohalikule omavalitsusele või haldusasutusele sobib tihedate õigusaktide kogumikku, mis on struktureeritud mitmel tasandil.

Määrus eIDAS nr 910/2014 Euroopa Parlamendist ja Nõukogust moodustab Euroopa aluse. See eristab kolme taset elektroonilise allkirja (lihtne, täiustatud, kvalifitseeritud) ja määrab, et ainult kvalifitseeritud allkirja saab saavutada usaldusväärse ekvivalenti käsitsi allkirjale kõigis liikmesriikides. Tundliku avaliku aktsiooni jaoks on väline Usaldusele kuuluva Teenusepakkuja (TSP) poolt väljastatud sertifikaat, kes on registreeritud Euroopa usalduslikus nimekirjas, paratamatu. Määrus eIDAS 2.0 (Määrus EL 2024/1183), mis on jõustunud 2024. aasta maist, tugevdab neid nõudmisi, tuues sisse Euroopa Digitaalse Identiteedi Rahakoti (EUDIW), mille integreerimine avalikesse portaalidesse peab olema toimiv 2026–2027 aastaks, nagu on määranud Euroopa Komisjon.

Tsiviilseadustik, artiklid 1366 ja 1367, määravad elektroonilise dokumendi kehtivuse tingimused Prantsusmaa õiguses: autori usaldusväärne tuvastamine ja dokumendi terviklikkuse tagamine. Neid tingimusi täidavad täiustatud ja kvalifitseeritud allkirjade krüptograafilised mehhanismid.

GDPR nr 2016/679 määrab igale organisatsioonile, kes töötleb isikuid tuvastavaid andmeid (nimi, e-post, FranceConnect'i tunnus allkirjastajatele) jaoks teostada Andmekaitsega seotud mõjuanalüüs (AIPD) enne kliendi ruumi juurutamist, vastavalt määruse artiklile 35. See kohustus on tugevdatud avalike asutuste jaoks. DPD määramine (artikkel 37) on kohustuslik kõigile avalikele võimudele.

Üldine turvalisuse raamistik (RGS v2.0), mille avaldas ANSSI, määrab telesideteenuste turvalikkuse tasemed Riigi ja kohalike omavalitsuste jaoks. Selles kontekstis juurutatud allkirjaplatvormi tuleb auditeerida ja sõltuvalt andmete tundlikkuse tasemest kvalifitseerida või sertifitseerida ANSSI poolt.

ETSI standardid määravad tehniliselt allkirjade formaadid: ETSI EN 319 132 (XAdES), ETSI EN 319 122 (CAdES) ja ETSI EN 319 162 (PAdES PDF-idele). PAdES formaat on soovitatud avalike dokumentide jaoks, kuna see on loetav standardsetes PDF-vaatlejates.

NIS2 direktiiv (EL 2022/2555), mis on üle võetud Prantsusmaa õigusesse seadusega nr 2024-449 (21. mai 2024), laiendab küberturvalisuse kohustusi olulistele ja olulistele üksustele, kuhu kuuluvad paljud avalikud asutused (üle 30 000 elanikkonnaga linnad, maakonnakogud, piirkondlikud kehakonnad, tervishoiuasutused). Allkirjaplatformid peavad kuuluma asutuse teabeturbeotsuste (PSSI) alla ja andma teadet ANSSI-le andmete piiramise juhul.

Lõpuks määrab Avalike hangetega seotud seadus (artiklid R. 2132-1 ja järgnevad) avalike hangetega tegelevate dokumentide 40 000 € HT summat ületavatel tehingutes dematerializeerimise ja nõuab allkirja elektroonilise vormi kasutamist kohustuslike dokumentide puhul. Selle kohustuse eiramise korral tekib asutusele dokumentide kehtetuse ja prefektuuriülevaatuse ajal karistuse oht.

Kasutusstsenaariumid: kliendi allkirja ruum tegevuses avalikus sektoris

Stsenaariumis 1 — Ühistranspordi piirkond dematerializeerib oma partnerluse kokkulepped

Ühistranspordi piirkond, kuhu kuulub umbes 20 linna, hallustab igal aastal üle 350 partnerluse kokkuleppe kohalike organisatsioonide, õppeasutuste ja erasektori teenusepakkujatega. Enne kliendi allkirja ruumi juurutamist oli iga kokkulepe keskmiselt 18 päeva siseseid validatsioone ja mõlema osapoole allkirjastamist, mille jooksul kadus ligikaudu 4% dokumentidest (halvasti arhiivitud või allkirjastamata versioonid, mis säiliti ekslikult).

Pärast kliendi allkirja ruumi juurutamist, mis on integreeritud olemasolevasse äri-IT-süsteemi, oli keskmise allkirjastamise aeg langenud 3,5 päevale. Partnerlusorganisatsioonid pääsevad oma ruumile juurde FranceConnect kaudu, saavad teatise e-postiga, niipea kui dokument on allkirjastamiseks valmis, ja leiavad kõik oma kokkulepped oma isiklikust ruumist arhiivitud. Dokumentide kaotuse määr on pärast juurutamist null. Iga-aastane säästud trükkimis-, postimis- ja halduskuludel ületavad 15 000 €, arvestamata agentide aega säästvat.

Stsenaarium 2 — Maakond dematerializeerib oma avalike hangetega seotud tellimisakte

Maakonnakogus, mis tegeleb igal aastal üle 1 200 avalike hangetega (kõik piirid kaasaarvatud), olid allkirjastamise tähtajad vastuolus tema osakondade tegevusliste piirangutega. Paberiprotokoll nõudis kuni 7 siseseid osalejat (ettepanekute koostamine, juriidiline arvamusavaldus, finantsarvamusavaldus, presidendi või volitatud asepresident allkiri) enne teenusepakkujale saatmist.

Elektrooniline parapheur-süsteem, integreeritud kliendi allkirja ruumiga, võimaldas konfigureerida mitme tasandi töövoo, kus delegeerimised vastavalt puudumistele automaatselt aktiveeruvad. Sisese voolu keskmiste tähtajad langesid 11 päevalt 2,8 päevale. Maakond märkas ka 60% vähenemist teenuste teele saadetud teabepäringutes allkirjastamise edenemine teada saada. Välistele teenusepakkujatele pakutud kliendi ruum võimaldab neil allkirjastada kohustuslikud dokumendid otse oma liidesest, kusjuures horodaatega kvalifitseeritud allkiri automaatselt arhiivitakse maakonna SAE-sse.

Stsenaarium 3 — Avalik tervishoiuasutus turvab oma personalitöötajate akte

Umbes 1 200 töötajaga (sealhulgas 180 arstiga) haiglakooslus haldasid lepinguid, lisaparandusi ja ajutiste võtmete akte postiga või kohustusliku füüsilise kohaloleku teel, mis tekitasid kiiretest personalivajadustest (juhtimispuhkused, ajutised arstid) vastuolulisi tähtaegu.

Ressursiosakonnas juurutatud kliendi allkirja ruum võimaldab nüüd igal arstil või töötajal saada, vaadata ja allkirjastada oma leping turvalisest portaalist, mis on kättesaadav mistahes seadmest. Autentimine tugineb FranceConnect+ ametnicele ja dokumentide identiteedi kontrollimisele ajutistele abijõududele. Keskmised ajad pärast suusõnaklikkust vähenesid 8 päevalt (paberikäsitöötluse aeg) alla 24 tunni. Asutus vähendas ka 40% personali- ja administratiivsete dokumentide vigadega ja puudujäägidel tänu juhitud vormidele, mis on integreeritud allkirjastamise voolusse, vastavalt avaliku haigla personalitöö juhistele.

Kokkuvõte

Kliendi allkirja ruumi loomine avalikus sektoris ei ole enam valik: see on järkjärguline regulatiivne kohustus ja kasvav ootus kasutajatelt ning institutsionaalsete partnerite poolt. Lähenemisviis toetub neljale lahutamatule sambale — dokumentide voolu kaardistamine, suveraense ja eIDAS-ga vastavusliku lahenduse valimine, kasutajale sõbralik allkirjastamis tee konfigureerimine ja tõendamisväärtusega arhiiveerimine — tugistatuna tugeva valitsemisega ja põhjaliku muudatuste juhtimisel.

Kohalikud omavalitsused ja asutused, kes on juba sammu astunud, täheldavad mõõdetavaid tulemusi: allkirjastamise keskmised tähtajad vähenevad viis korda, administraatiivsed kulud vähenevad ja arhiivimiskvaliteet on täiuslik. Certyneo toetab avalikke organisatsioone selle projekti igas etapis, algusega auditeerimisest kuni tegelikuks juurutamiseks.

Valmis tegema sammu edasi? Võtke ühendust Certyneo eksperdiga tasuta auditi saamiseks oma dokumentide voolt ja isikupärastatud demonstratsiooni avaliku sektori piirangutele.