Provjera autentičnosti potpisanog dokumenta: DUER

Jedinstveni dokument za procjenu rizika (DUER) je ključni dio usklađenosti sa zdravljem i sigurnošću na radu u Francuskoj. Ustanovi dekretom br. 2001-1016 od 5. studenog 2001., obavezan je za svako poduzeće od prvog zaposlenika. Međutim, njegova pravna vrijednost u slučaju kontrole Inspektorata rada, nesreće ili spora uvelike se oslanja na njegovu praćivost i autentičnost potpisa koji ga potvrđuju. Kako osigurati da digitalno potpisani DUER nije izmijenjen nakon potpisivanja? Koji alati i metode omogućuju provjeru te autentičnosti? Ovaj članak vas vodi korak po korak, od tehničkih osnova do dobrih organizacijskih praksi.

Zašto je autentičnost potpisa DUER-a kritična

Pravni i regulatorni udjeli

DUER nije običan administrativni dokument. U slučaju nesreće na radu, profesionalne bolesti ili arbitražnog spora, može biti predstavljen kao dokaz politike prevencije poslodavca. Zakon o radu (članci L.4121-1 i dalje) nameće poslodavcu obvezu zaštite rezultatom, a DUER je formalni zapis njegove procjene.

Elektronski potpis koji se ne može provjeriti ili je izmijenjen može dovesti do:

• Ništavosti dokumenta kao dokaza pred sudom;
• Upravnih sankcija koje mogu dosegnuti 3.750 € kazne po neosiguranom zaposleniku;
• Dovođenja u pitanje kaznene odgovornosti čelnika poduzeća u slučaju ozbiljne nesreće.

Od Zakona br. 2021-1018 od 2. kolovoza 2021. (Zakon o zdravlju na radu), ažuriranje DUER-a mora biti češće u poduzećima sa 11 ili više zaposlenika, a njegova čuvanja sada je produžena na 40 godina. Ovaj dugi rok pojačava nužnost snažnog i provjerivog elektronskog potpisa tijekom vremena.

Razlika između skenirane potpisa i kvalificiranog elektronskog potpisa

Brojni HRH ili HSE menadžeri misle da je dovoljno dostaviti ruku pisanu potpisu skenirane na PDF. To nije točno. Potpis kao slika (skeniranje) ne jamči nikakvu cjelovitost dokumenta: datoteka može biti izmijenjena nakon toga bez vidljive praznine.

Elektronski potpis u skladu s propisom eIDAS, s druge strane, oslanja se na kriptografski mehanizam koji neporecivo povezuje identitet potpisnika sa sadržajem dokumenta u određenom trenutku. Bilo koja kasnija izmjena, čak i manja — dodani razmak, promijenjena znamenka — poništava potpis i aktivira upozorenje tijekom provjere.

Rječnik elektronskog potpisa razlikuje tri razine koje je prepoznao eIDAS: jednostavni elektronski potpis (SES), napredni (SEA) i kvalificirani (SEQ). Za dokument toliko osjetljiv kao DUER, preporučuje se minimalno napredna razina, a kvalificirana razina je poželjnija za poduzeća koja su podložna čestim kontrolama.

Konkretne metode za provjeru autentičnosti potpisanog DUER-a

Provjera putem izvornog PDF čitača

Najjednostavnija metoda je otvoriti dokument u Adobe Acrobat Reader (besplatna verzija) ili kompatibilnom PDF čitaču. Kada je prisutan elektronski potpis u skladu s propisima, automatski se prikazuje ploča potpisa. Pokazuje:

1. Identitet potpisnika: ime, prezime, organizacija i korišteni certifikat;
2. Datum i vrijeme potpisivanja, označena kripto vremenskom žigom;
3. Stanje cjelovitosti: "Potpis je validan" ili "Dokument je izmijenjen nakon potpisivanja";
4. Lanac povjerenja certifikata: validan od strane признаног autoriteta certifikacije.

Ova provjera je trenutna i ne zahtijeva nikakvu pretplatu. Međutim, ograničena je: ako certifikat autoriteta izdavatelja nije na listi povjerenja softvera (kao što je popis EUTL — Europska unija Pouzdani popisi), potpis može biti prikazan kao "neprovjeren" čak i ako je tehnički validan.

Provjera putem internetskih servisa validacije

Europska komisija stavi na raspolaganje servis DSS Demo Tools (dostupan na ec.europa.eu), koji omogućuje učitavanje potpisanog dokumenta i dobivanje izvještaja validacije sukladno normi ETSI EN 319 102. Ovaj servis:

• Provjerava usklađenost s formatima XAdES, CAdES, PAdES i JAdES;
• Provjerava valjanost certifikata u vrijeme potpisivanja putem OCSP ili CRL protokola;
• Generira JSON ili PDF izvještaj koji detaljno opisuje svaki korak validacije.

Postoje i privatni servisi kao što su oni koje nudi kvalificirani davatelji usluga povjerenja (QTSP) navedeni na nacionalnim popisima povjerenja. U Francuskoj, ANSSI objavljuje popis akreditiranih QTSP-a. Oslanjanje na jedan od ovih servisa za validaciju spornog DUER-a u sporu pruža znatno veću dokaznu snagu.

Provjera putem izvornog platforma za potpisivanje

Ako je DUER potpisano putem SaaS rješenja kao što je Certyneo, provjera je još direktnija. Svaki potpisani dokument generira certifikat potpisa (poznat i kao izvještaj o reviziji ili trail potpisa) koji arhivira:

• IP adresu i identifikator sesije potpisnika;
• Kriptografski heš SHA-256 izvornog dokumenta;
• Kvalificirani vremenski žig RFC 3161;
• Dokaze identiteta koji su korišteni (e-mail, SMS OTP, čak i jaka eIDAS autentifikacija).

Ovaj izvještaj je sam potpisano elektronskim putem davatelja usluga, što ga čini nepogrešivo i izravno upotrebljivim kao dokaz u pravdi. Rješenje elektronskog potpisa za poduzeća Certyneo integrirane ovaj mehanizam nativno za sve dokumente, uključujući DUER.

Dobre prakse za osiguranje potpisivanja i čuvanja DUER-a

Odabir odgovarajuće razine potpisa prema profilu rizika

Odabir razine potpisa ne bi trebao biti ostavljen slučajnosti. Za DUER, evo preporučenog zaključivanja:

| Kontekst | Preporučena razina | Opravdanje | |---|---|---| | TPE < 10 zaposlenika, niska aktivnost rizika | Napredni potpis (SEA) | Ravnoteža trošak/dokazna vrijednost | | PME, industrijski sektor ili građevinarstvo | Napredni potpis s QSCD certifikatom | Visoka eIDAS usklađenost | | Veliko poduzeće, zdravstveni ili kemijski sektor | Kvalificirani potpis (SEQ) | Vrijednost ekvivalentna rukom pisanom potpisu |

Za poduzeća u zdravstvenom sektoru, elektronski potpis u zdravstvu odgovara dodatnim regulatornim ograničenjima (HDS, medicinski GDPR) koja sistematski opravdavaju oslanjanje na kvalificirani potpis.

Vremenski žig i dugoročna arhiva

Zakon o zdravlju na radu koji nameće čuvanje DUER-a tijekom 40 godina, pitanje trajanja potpisa postaje praktično. Certifikat potpisa ima ograničenu vrijednost (obično 1 do 3 godine). Prošao taj rok, lanac povjerenja može biti prekinut.

Rješenje je servis arhiviranja s dokaznom vrijednosti (servis elektronske arhive ili SAE), kombiniran s dugoročnim vremenskim žigom prema normi ETSI EN 319 122. Ovaj mehanizam, ponekad pozvan LTV (Long Term Validation), periodički ponovno vremenski žiga dokument dodavanjem dodatnih dokaza cjelovitosti, jamčeći njegovu provjerljivost tijekom cijele zakonske dobe.

Ne miješajte arhiviranje i skladištenje: jednostavni server datoteka ili oblačni pogon ne čine arhiviranje s dokaznom vrijednosti. Samo sustav koji jamči cjelovitost, čitljivost i praćivost pristupa zadovoljava zakonske zahtjeve.

Proces provjere tijekom ažuriranja

DUER mora biti ažuriran najmanje jednom godišnje, a svakim značajnom promjenama u radnim uvjetima. Svaka nova verzija mora biti razlikovna od prethodne i biti predmet novog potpisa. Strog proces uključuje:

1. Izričito verzioniranje: broj verzije, datum važenja, popis učinjenih izmjena;
2. Potpisivanje nove verzije od strane HSE odgovornog i, prema potrebi, od strane predstavnika zaposlenika (CSE);
3. Čuvanje svih prethodnih verzija u SAE, dostupne samo za čitanje;
4. Sistematska provjera cjelovitosti trenutne verzije prije dijeljena s Inspektoratom rada ili zdravstvenim službama rada.

Automatizacija ovih koraka putem platforme kao što je Certyneo značajno smanjuje rizik od ljudske greške i jamči kontinuiranu usklađenost procesa. Za mjerenje povrata ulaganja takve rješenja, kalkulator ROI elektronskog potpisa omogućuje procjenu dobitaka prema veličini vaše organizacije.

Primjenjivi pravni okvir za potpisivanje i provjeru DUER-a

Temeljni tekstovi u radnom pravu

Obveza uspostavljanja Jedinstvenog dokumenta za procjenu stručnih rizika (DUERP) proizlazi iz članka L.4121-1 Zakona o radu, koji nameće poslodavcu da prenese i ažurira rezultate procjene rizika. Dekret br. 2001-1016 od 5. studenog 2001. uspostavio je ovu formalnu obvezu. Zakon br. 2021-1018 od 2. kolovoza 2021. o jačanju prevencije u zdravlju na radu produžio je obveze čuvanja na 40 godina i uveo zahtjeve za dematerijaliziranu prijavu kod zdravstvenih službi rada za poduzeća s najmanje 150 zaposlenika.

Pravna vrijednost elektronskog potpisa

Članak 1366 Gradanskog zakona postavlja načelo: "Elektronski spis ima istu dokaznu snagu kao spis na papirnatoj podlozi, pod uvjetom da se osoba od koje dolazi može pravilno identificirati i da je uspostavljena i čuvana na način koji jamči njegovu cjelovitost." Članak 1367 pojašnjava da elektronski potpis "sastoji se od korištenja pouzdanog procesa identifikacije koji jamči njegovu vezu s činom kojem se veže".

Uredba eIDAS br. 910/2014 Europskog parlamenta i Vijeća uspostavljava europski okvir povjerenja za elektronske transakcije. Određuje tri razine potpisa (jednostavni, napredni, kvalificirani) i postavlja ekvivalenciju između kvalificiranog elektronskog potpisa i rukom pisanog potpisa u članku 25§2. Napredni potpis, bez uživanja ove zakonske pretpostavke, ostaje prihvatljiv kao način dokaza prema načelu nediskriminacije članka 25§1.

Referentne tehničke norme

Prepoznati formati elektronskog potpisa za PDF dokumente definirani su normama ETSI EN 319 132 (XAdES), ETSI EN 319 122 (CAdES) i ETSI EN 319 142 (PAdES). Za dugoročnu validaciju, norma ETSI EN 319 102 definira postupke algoritama validacije sukladne eIDAS.

Kvalificirani elektronski vremenski žig uređen je člankom 41 Uredbe eIDAS i normom RFC 3161 IETF-a, jamčeći sigurnost datuma suprotstavljivom trećim stranama.

Zaštita osobnih podataka

DUER sadrži osobne podatke (identitete zaposlenika, informacije o njihovom zdravlju i sigurnosti). Njegova obrada podložna je Uredbi GDPR br. 2016/679. Elektronski potpis sam uključuje obradu identitetnih podataka potpisnika. Poslodavac, kao voditelj obrade, mora osigurati da je davatelj usluge potpisivanja GDPR-sukladan obrađivač s DPA (Data Processing Agreement) sukladnom članku 28 GDPR-a.

Rizici u slučaju neusklađenosti

Nedostatak DUER-a ili DUER čiji se potpis ne može suprotstavljati izlaže poslodavca kazni od 3.750 € (5. klasa prekršaja) po konstatiranom prekršaju. U slučaju ozbiljne nesreće na radu, nesuprotstavljivost DUER-a može dovesti do uznanjenja grešnog ignoriranja poslodavca, što dovodi do povećanja odštete isplaćene žrtvi i povratnog djelovanja CPAM-a.

Konkretni scenariji korištenja

Industrijski davatelj usluga suočen s kontrolom Inspektorata rada

PME industrija od 85 zaposlenika, koja radi u proizvodnji metalnih dijelova, podložna je naplani viziti Inspektorata rada nakon nesreće s mašinom. Inspektorica traži da preglednije DUER koji je na snazi na datum nesreće. Odgovorni za HSE predstavlja PDF datoteku potpisanu elektronski putem platforme potpisivanja poduzeća.

Zahvaljujući priloženom certifikatu revizije, inspektorica može provjeriti u stvarnom vremenu: datum i vrijeme potpisivanja (prije nesreće), identitet potpisnika (ovlašteni direktor proizvodnje), cjelovitost dokumenta (SHA-256 heš nije dodijeljen) i usklađenost razine potpisa (napredne s kvalificiranim certifikatom). Poduzeće je u mogućnosti dokazati da je rizik bio identificiran i da su planirane ispravke mjere. Ovaj dosje izbjeći kvalifikaciju kao grešnu ignoranciju. Prema podacima godišnjeg izvještaja CNAM-a o sinistralnosti, poduzeća sa snažnom dokumentarnom praćivosti smanjuju izloženost povratnim djelovanjima za 30 do 45%.

HRH savjetodavno društvo koje upravlja DUER-om za više klijenata

Savjetodavno poduzeće za ljudske resurse od 18 suradnika prati četrdeset TPE i PME klijenata u pisanju i godišnjem ažuriranju njihovih DUER-a. Do tada su dokumenti slani e-mailom u PDF-u bez potpisa, zatim ručno potpisani i vraćeni skenirani.

Nakon migracije na SaaS rješenje za potpisivanje, svaki DUER je potpisano na mreži od strane klijentskog vodje u manje od 3 minute. Savjetodavno poduzeće ima centraliziranu kontrolnu ploču koja omogućava provjeru u bilo kojem trenutku statusa svakog dokumenta: potpisanog, vremenski označenog, arhiviranja. U slučaju pitanja klijenta o valjanosti prethodne verzije, provjera autentičnosti traje manje od 30 sekundi. Vrijeme posvećeno sljedenju i upravljanju papirnatim dokumentima smanjeno je za oko 60%, prema usporedivim mjerilima sektora koja je objavila savjetodavna društva za HRH.

Grupa zdravstvenih установ koja upravlja DUER-om sa više godina

Privatna bolnička grupa od približno 600 bolničkih postelja, koja broji nekoliko zdravstvenih ustanova i domova za starije, mora upravljati specifičnim DUER-a za svako od svojih mjesta, uključujući kemijske, biološke i psihosocijalne rizike. Zakonska dob čuvanja od 40 godina i multiplicnost potpisnika (direktori mjesta, liječnici rada, predstavnici CSE) čine nadzor posebno složenim.

Grupa je implementirala rješenje za kvalificirani elektronski potpis s arhivom s dokaznom vrijednosti i dugoročnim vremenskim žigom. Svaka verzija DUER-a je kriptografski zapečaćena i automatski ponovno vremenski označena svakih 3 godine kako bi se održao lanac povjerenja. U slučaju revizije ARS-a ili spora, bilo koja historijska verzija može biti izvučena s njezinim kompletnim izvještajem validacije. Ova organizacija omogućila je smanjenje za blizu 70% vremena potrebnog za pripremu dosje tijekom vanjskih inspekcija, u odnosu na stari hibridni sustav arhiviranja papir-digitalni.

Zaključak

Provjera autentičnosti potpisanog dokumenta za Jedinstveni dokument za procjenu rizika nije fakultativna formalnost: to je pravna i organizacijska nužnost. Između obveza iz Zakona o radu, dobe čuvanja od 40 godina navedene od 2021. i udjela odgovornosti u slučaju nesreće, samo snažan elektronski potpis — popraćen pouzdanim alatima za provjeru — jamči punu dokaznu vrijednost vašega DUER-a.

Bilo da prolazite PDF čitačem, europskim servisom za validaciju ili direktno putem svoje platforme potpisivanja, važno je integrirati ovu provjeru u dokumentirani i ponovljivi proces.

Certyneo vam omogućuje potpisivanje, provjeru i arhiviranje DUER-a u potpunoj eIDAS usklađenosti, s kompletnim audit trail-om i integriziranom arhivom s dokaznom vrijednosti. Besplatno kreirajte konto na Certyneo i osigurajte već danas pravnu vrijednost vašeg dokumenta prevencije.