Todentaa allekirjoitetun asiakirjan aitous: DUER

Dokumentti Uniikista Riskinarvioinnista (DUER) on tärkein osa työturvallisuus- ja terveysvaatimuksien noudattamista Ranskassa. Vuoden 2001 asetuksella n°2001-1016 (5.11.2001) se on pakollinen kaikille yrityksille jo ensimmäisestä työntekijästä alkaen. Kuitenkin sen oikeudellinen arvo työtarkastuksen valvonnassa, onnettomuuksissa tai riita-asioissa perustuu pääosin sen jäljitettävyyteen ja sen vahvistavia allekirjoituksia todentaviin menetelmiin. Kuinka varmistaa, että numeerisesti allekirjoitettu DUER ei ole muutettu allekirjoittamisen jälkeen? Mitkä työkalut ja menetelmät mahdollistavat tämän aitouden tarkistamisen? Tämä artikeli opastaa sinua vaiheittain teknisten perusteiden ja organisatoristen parhaiden käytäntöjen kautta.

Miksi DUER-allekirjoituksen aitous on kriittinen

Oikeudelliset ja säännöstövaatimukset

DUER ei ole tavallinen hallinnollinen asiakirja. Työtapaturman, ammattitaudin tai työsuhde-oikeudellisen riidan sattuessa se voidaan esittää todisteena työnantajan ehkäisypolitiikasta. Työlainsäädäntö (artiklalit L.4121-1 ja seuraavat) velvoittaa työnantajaa turvallisuuden tulostavoitteeseen, ja DUER on hänen arviointinsa muodollinen jäljitys.

Ei-vahvistettava tai muutettu sähköinen allekirjoitus voi johtaa:

• Asiakirjan mitätöitymiseen todisteena tuomioistuimessa ;
• Hallinnollisiin sanktioihin, joiden voi olla saakka 3 750 € sakkoa per työntekijä, joka ei ole suojattu ;
• Yrityksen johtajan rikossyytteiden vastuulla vakavan tapaturman sattuessa.

Vuonna 2021 annetulla lailla n°2021-1018 (2.8.2021, Työterveys-laki) DUER-päivitys on oltava useammin yrityksissä, joissa on yli 11 työntekijää, ja sen säilyttäminen ulottuu nyt 40 vuoteen. Tämä pitkä kesto vahvistaa sähköisen allekirjoituksen robustisuuden ja tarkistettavuuden vaatimuksen ajan kuluessa.

Ero skannatun allekirjoituksen ja pätevän sähköisen allekirjoituksen välillä

Monet HR- tai HSE-johtajat ajattelevat, että skannattua käsinkirjoitetulla allekirjoituksella varustettu PDF riittää. Näin ei ole. Kuvan muotoinen allekirjoitus (skannaus) ei takaa asiakirjan eheyttä: tiedosto voidaan muuttaa myöhemmin ilman havaittavaa jäljitystä.

Sähköinen allekirjoitus, joka noudattaa eIDAS-asetusta, sen sijaan perustuu kryptografiseen mekanismiin, joka sitoo peruuttamattomasti allekirjoittajan henkilöllisyyden asiakirjan sisältöön tietyllä hetkellä. Mikä tahansa myöhempi muutos – edes välilyönti tai numero – mitätöi allekirjoituksen ja laukaisee hälytyksen tarkistuksen aikana.

Sähköisen allekirjoituksen sanasto erottaa kolme eIDAS-tunnustamaa tasoa: yksinkertainen sähköinen allekirjoitus (SES), kehittynyt (SEA) ja pätevä (SEQ). DUER:n kaltaiselle arkaluontoiselle asiakirjalle kehittynyt taso on suositeltava vähintään, pätevä taso on suositeltava yrityksille, joille tehdään usein tarkastuksia.

Konkreettiset menetelmät DUER-allekirjoituksen aitouden tarkistamiseksi

Tarkistus natiivin PDF-lukijan kautta

Helpoimmalla menetelmällä avaat asiakirjan Adobe Acrobat Readerissa (ilmainen versio) tai yhteensopivassa PDF-lukijassa. Kun pätevä sähköinen allekirjoitus on läsnä, allekirjoituspaneeli ilmestyy automaattisesti. Se näyttää:

1. Allekirjoittajan henkilöllisyyden : nimi, sukunimi, organisaatio ja käytetty sertifikaatti ;
2. Allekirjoituksen päivämäärä ja aika, jotka on leimastu kryptografisesti ;
3. Eheyden tila : "Allekirjoitus on pätevä" tai "Asiakirja on muutettu allekirjoituksen jälkeen" ;
4. Sertifikaatin luottamusketju : tunnustettu sertifiointiviranomaisen toimesta.

Tämä tarkistus on välitön ja ei vaadi mitään tilausta. Siinä on kuitenkin rajoituksia: jos myöntäjän viranomaisen sertifikaatti ei ole ohjelmiston luottamusluettelossa (esimerkiksi EUTL – Euroopan unionin luotettavien luetteloiden luettelossa), allekirjoitus voi näkyä "tarkistamattomana", vaikka se onkin teknisesti pätevä.

Tarkistus verkkovalidointipalveluja käyttäen

Euroopan komissio toimittaa DSS Demo Tools -palvelun (saatavilla osoitteessa ec.europa.eu), jonka avulla voit ladata allekirjoitetun asiakirjan ja saada ETSI EN 319 102 -standardiin noudattavan validointiraportin. Tämä palvelu:

• Tarkistaa XAdES-, CAdES-, PAdES- ja JAdES-muotojen noudattamisen ;
• Hallitsee sertifikaatin pätevyyttä allekirjoitushetkellä OCSP- tai CRL-protokollien kautta ;
• Luodaan JSON- tai PDF-raportti, joka yksityiskohtaisesti selostaa jokaisen validointivaiheen.

On myös yksityisiä palveluja, kuten pätevien luottamuspalvelun tarjoajien (QTSP) tarjoamat palvelut, jotka on lueteltu kansallisissa luottamusluetteloissa. Ranskassa ANSSI julkaisee akkreditoitujen QTSP-luettelon. Yhden näistä palveluista käyttäminen DUER:n tarkistamiseen riidan yhteydessä antaa huomattavasti paremman todistevoiman.

Tarkistus alkuperäisen allekirjoitusalustan kautta

Jos DUER on allekirjoitettu SaaS-ratkaisulla, kuten Certyneon, tarkistus on vielä suorempi. Jokainen allekirjoitettu asiakirja tuottaa allekirjoitustodistuksen (kutsutaan myös audit-raportiksi tai allekirjoitus-jäljeksi), joka arkistoi:

• Allekirjoittajan IP-osoitteen ja istunnon tunnisteen ;
• SHA-256-kryptografisen hajautusarvon alkuperäisestä asiakirjasta ;
• Pätevä RFC 3161 -aikaleima ;
• Käytetyt henkilöllisyystodisteet (sähköposti, SMS OTP tai jopa vahva eIDAS-todentaminen).

Tämä raportti on itse allekirjoitettu palveluntarjoajalta, mikä tekee siitä muuttamattoman ja suoraan hyödynnettävän todisteena oikeudessa. Sähköisen allekirjoituksen ratkaisu yrityksille Certyneo integroi tämän mekanismin natiivisti kaikille asiakirjoille, mukaan lukien DUER.

Parhaat käytännöt allekirjoituksen suojaamiseksi ja DUER:n säilyttämiseksi

Oikean allekirjoitustason valitseminen riskiprofiilin mukaan

Allekirjoitustason valintaa ei saa jättää sattumanvaraisuuden varaan. DUER:lle suositeltu päättely:

| Konteksti | Suositeltu taso | Perustelut | |---|---|---| | Mikro-yritys < 10 työntekijää, matala riskitoiminta | Kehittynyt allekirjoitus (SEA) | Tasapainoitu kustannus-todistevoima | | PK-yritys, teollinen tai rakennusala | Kehittynyt allekirjoitus QSCD-sertifikaatilla | Korkea eIDAS-yhdenmukaisuus | | Suuryritys, terveys- tai kemianala | Pätevä allekirjoitus (SEQ) | Vastaava käsinkirjoitetun allekirjoituksen arvoon |

Terveysalan yrityksille, sähköinen allekirjoitus terveydenhuollossa vastaa lisäsäännöllisiin vaatimuksiin (HDS, lääketieteellinen GDPR), jotka systemaattisesti perustelevat pätevän allekirjoituksen käyttöä.

Aikaleima ja pitkäaikainen arkistointi

Koska Työterveys-laki velvoittaa DUER:n säilyttämisen 40 vuodeksi, kysymys allekirjoitusten elinkaaren pituudesta syntyy konkreettisesti. Allekirjoitussertifikaatin kelpoisuusaika on rajoitettu (yleensä 1–3 vuotta). Tämän jälkeen luottamusketju voi katketa.

Ratkaisu on todistevoiman arvoinen arkistointi (sähköisen arkistoinnin palvelu tai SAE), yhdessä pitkäaikaisen aikaileiman kanssa ETSI EN 319 122 -standardin mukaisesti. Tätä mekanismia, jota joskus kutsutaan LTV:ksi (Long Term Validation), kutsutaan jaksottaiseksi uudelleen aikaileimaksi, johon lisätään joitakin lisäintegriteettitodistuksia, mikä takaa asiakirjan tarkistettavuuden koko oikeudellisen keston ajan.

Älä sekoita arkistointia tallennukseen: yksinkertainen tiedostopalvelin tai pilviajo ei ole todistevoiman arvoista arkistointia. Vain järjestelmä, joka takaa eheyden, luettavuuden ja pääsynseurannan, täyttää lakisääteiset vaatimukset.

Tarkistusprosessi päivitysten yhteydessä

DUER on päivitettävä vähintään kerran vuodessa ja jokaisen merkittävän työolosuhteiden muutoksen yhteydessä. Jokaista uutta versiota on erotettava edellisestä ja allekirjoitettava uudelleen. Tiukka prosessi sisältää:

1. Nimenomainen versiointi : versionumero, voimaantulopäivä, muutosten luettelo ;
2. Uuden version allekirjoitus vastuullisen HSE-henkilön ja tarvittaessa henkilöstöedustajien (CSE) toimesta ;
3. Kaikkien aiempien versioiden säilyttäminen SAE:ssä, vain lukemiseen tarkoitetuissa ;
4. Systemaattinen tarkistus nykyisen version eheyden osalta ennen jakamista työtarkastukselle tai työterveyspalveluille.

Näiden vaiheiden automatisointi alustan, kuten Certyneo, kautta vähentää merkittävästi inhimillisen virheen riskiä ja takaa prosessin jatkuvan vaatimuksenmukaisuuden. Investoinnin sijoitetun pääoman tuoton mittaamiseksi sellainen ratkaisu kuten Certyneo Sähköisen allekirjoituksen ROI-laskuri antaa mahdollisuuden arvioda voittoja organisaatiosi koon mukaan.

DUER:n allekirjoitukseen ja tarkistukseen sovellettava oikeudellinen kehikko

Työoikeuden perustava teksti

Velvoituksena laatia Asiakirja Ainutlaatuisesta Ammatillisesta Riskinarvioinnista (DUER) perustuu Työlainsäädännön artiklan L.4121-1 vaatimukseen, jonka mukaan työnantaja on velvollinen kirjaamaan ja päivittämään riskinarvioinnin tulokset. Vuoden 2001 asetus n°2001-1016 vahvisti tämän muodollisen vaatimuksen. Vuonna 2021 annettu laki n°2021-1018 työturvallisuusvaatimuksista vahvisti säilytysvelvoitteet 40 vuoteen ja otti käyttöön vaatimuksia sähköiselle jättämiselle terveyspalvelun kanssa yrityksille, joissa on vähintään 150 työntekijää.

Sähköisen allekirjoituksen oikeudellinen arvo

Siviililain artikla 1366 asettaa periaatteen: "Sähköinen kirjoitus on yhtä pätevä todiste kuin paperille kirjoitettu kirjoitus, edellyttäen, että sen alkuperä voidaan oikein tunnistaa ja että se on laadittu ja säilytetty tavalla, joka takaa sen eheyden." Artikla 1367 selventää, että allekirjoitus "koostuu luotettavasta menetelmästä, joka takaa sen suhteen asiakirjaan, johon se liittyy".

eIDAS-asetus n°910/2014 Euroopan parlamentin ja neuvoston asettaa eurooppalaisen luottamuskehikon sähköisille liiketoimille. Se määrittelee kolme allekirjoitusten tasoa (yksinkertainen, kehittynyt, pätevä) ja asettaa ekvivalenssin pätevän sähköisen allekirjoituksen ja käsinkirjoituksella tehdyn allekirjoituksen välille artiklan 25§2:ssa. Kehittynyt allekirjoitus, vaikka se ei nauttii tästä oikeudellisesta olettamuksesta, pysyy hyväksyttävänä todistusmenetelmänä kielteisen syrjinnän periaatteen artikla 25§1 mukaisesti.

Tekniset viitestandardit

PDF-asiakirjojen sähköisen allekirjoituksen tunnustetut muodot määritetään standardeissa ETSI EN 319 132 (XAdES), ETSI EN 319 122 (CAdES) ja ETSI EN 319 142 (PAdES). Pitkäaikaisen validoinnin osalta standardi ETSI EN 319 102 määrittelee eIDAS:n mukaisen validointialgoritmin.

Pätevä sähköinen aikaleima on säädelty eIDAS-asetuksen artiklan 41 ja IETF:n standardin RFC 3161 mukaisesti, mikä takaa kolmannen osapuolen oikeuden mukaisen varman päivämäärän.

Henkilötietojen suoja

DUER sisältää henkilötietoja (työntekijöiden henkilöllisyydet, tiedot heidän terveydestään ja turvallisuudestaan). Sen käsittely on sidottu GDPR-asetukseen n°2016/679. Sähköinen allekirjoitus merkitsee myös allekirjoittajien identiteettitietojen käsittelyä. Työnantaja, joka on vastuullisen käsittelijän asemassa, on velvollinen varmistamaan, että allekirjoituspalveluntarjoaja on GDPR-vaatimuksiin noudattava alihankkija, jolla on GDPR-sopimus (Data Processing Agreement) artiklan 28 mukaisesti.

Riskit epäyhdenmukaisuuden tapauksessa

DUER:n puuttuminen tai DUER, jonka allekirjoitus ei ole ehkäisevä, aiheuttaa työnantajalle 3 750 €:n sakon (5. rikkoksen luokka) jokaisesta todetusta loukkkauksesta. Vakavan tapaturman sattuessa DUER:n ei-sopeutuvuus voi johtaa työnantajan väärinkäytöksen tunnustamiseen, mikä lisää uhreille maksettavien korvausten määrää ja CPAM:n takaisinottokanteen.

Konkreettiset käyttötarkoitukset

Teollisuuden alihankkija kohtaa työtarkastuksen

PME-teollinen yritys, jossa on 85 työntekijää ja joka valmistaa metalliosia, joutuu työtarkastuksen ilmoittamattomaksi vierailuksi koneen tapaturman jälkeen. Tarkastaja pyytää näkemään tapaturman ajankohtana voimassa olevan DUER:n. HSE-johtaja esittää PDF-tiedoston, joka on allekirjoitettu sähköisesti yrityksen allekirjoitusalustalla.

Asiakirjaan liitetyn audit-sertifikaatin ansiosta tarkastaja voi tarkistaa reaaliajassa: allekirjoituksen päivämäärä ja aika (ennen onnettomuutta), allekirjoittajan henkilöllisyys (valtuutettu tuotantojohtaja), asiakirjan eheys (SHA-256-hajautus ehjä) ja allekirjoitustason vaatimuksenmukaisuus (kehittynyt pätevällä sertifikaatilla). Yritys pystyy osoittamaan, että riski oli tunnistettu ja korjaavat toimenpiteet oli suunniteltu. Tämä asiakirja välttää väärinkäytön tunnustamisen. CNAM:n vuosiraportin sinistraliteetin mukaan yritykset, joilla on vahva dokumentaarinen jäljitettävyys, vähentävät altistumistaan CPAM:n takaisinottokanteisiin 30–45 %.

HR-neuvontapalvelu, joka hallinnoi moniasiakkaiden DUER:ia

Kahdeksantoista neuvonantajan HR-neuvontapalvelu tukee noin neljääkymmentä PK-asiakasta heidän DUER:ien laadinnassa ja vuosittaisissa päivityksissään. Tähän asti asiakirjat lähetettiin sähköpostitse allekirjoittamattomana PDF-tiedostona, allekirjoitettiin sitten manuaalisesti ja palautettiin skannatussa muodossa.

Siirron jälkeen sähköisen allekirjoituksen SaaS-ratkaisuun jokainen DUER allekirjoitetaan asiakkaan johtajalla verkossa alle 3 minuutissa. Neuvontapalvelulla on keskitetty kojelauta, jonka avulla se voi tarkistaa jokaisen asiakirjan tilan milloin tahansa: allekirjoitettu, aikaismerkitty, arkistoitu. Jos asiakas kysyy aiemman version pätevyydestä, aitouden tarkistaminen kestää alle 30 sekuntia. Paperi- ja asiakirjojen hallinnon uudelleenohjaukseen käytetty aika on vähentynyt noin 60 %, vertailukelpoisten alan vertailujen mukaisesti, jotka on julkaisseet HR-neuvontapalvelun yhdistykset.

Monitoimiset terveyspalvelut, jotka hallinnovat usean vuoden DUER:ia

Yksityinen sairaalarakentelu, jossa on noin 600 sänkyä, joissa on useita terveyspalveluja ja vanhustenhoitolaitoksia, hallinnoi spesifisiä DUER:ia jokaiselle palvelulleen, kuten kemiallisille, biologisille ja psykososiaalisten tekijöiden riskeille. Säilyttämisen lainmukainen aika 40 vuotta ja allekirjoittajien lukuisuus (palvelun johtajat, työterveyslääkärit, CSE:n edustajat) tekevät seurannasta erityisen monimutkaista.

Rakentelu ottaa käyttöön pätevän sähköisen allekirjoituksen ratkaisun todistevoiman arvoisella arkistoinnilla ja pitkäaikaisella aikaileimalla. Jokainen DUER-versio on suljettu kryptografisesti ja aikaismerkitty uudelleen automaattisesti kolmen vuoden välein luottamusketjun säilyttämiseksi. Jos ARS-tarkastus tai riita-asia syntyy, mikä tahansa historiallinen versio voidaan poimia täydellisenä validointiraporttina. Tämä organisaatio on vähentänyt ulkoisten tarkastusten valmisteluaikaa lähes 70 %, verrattuna vanhaan hybridi paperi-digitaaliseen arkistointijärjestelmään.

Päätelmä

DUER:lle allekirjoitetun asiakirjan aitouden todentaminen ei ole valinnainen muodollisuus: se on oikeudellinen ja organisatorinen välttämättömyys. Työlainsäädännöstä johtuvat velvoitteet, 2021:stä lähtien määrätty 40 vuoden säilytysaika ja riskit työnantajan vastuuseen onnettomuuden sattuessa varmistaa, että vain vahva sähköinen allekirjoitus – jota tukevat luotettavat tarkistustyökalut – takaa DUER:n täyden todistevoiman.

Riippumatta siitä, käytätkö PDF-lukijaa, eurooppalaista validointipalvelua vai suoraan allekirjoitusalustaasi, tärkein asia on sisällyttää tämä tarkistus dokumentoituun ja toistettavaan prosessiin.

Certyneo antaa sinulle mahdollisuuden allekirjoittaa, tarkistaa ja arkistoida DUER:ia täysin eIDAS-yhdenmukaisesti, täydellisellä audit-jäljellä ja integroidulla todistevoiman arvoisella arkistoinnilla. Luo ilmainen Certyneo-tilisi ja turvaa DUER:isi oikeudellinen arvo jo tänään.