Egy aláírt dokumentum hitelességének ellenőrzése: a DUER

Az Egyedi Kockázatértékelési Dokumentum (DUER) a munkahelyegészségügyi és munkabiztonság megfelelőségének fő eleme Franciaországban. A 2001. november 5-i 2001-1016. számú rendelettel létrehozva, ez az első alkalmazottól kezdve kötelező minden vállalatnál. Azonban jogi értéke a munkaügyi felügyelet ellenőrzése, baleset vagy vita esetén nagyrészt annak nyomon követhetőségén és az azt érvényesítő aláírások hitességén alapul. Hogyan lehet biztosítani, hogy egy digitálisan aláírt DUER nem lett módosítva az aláírás után? Milyen eszközök és módszerek teszik lehetővé ennek a hitességnek az ellenőrzését? Ez a cikk lépésről lépésre végigvezet benneteket, a technikai alapoktól a szervezeti legjobb gyakorlatokig.

Miért kritikus a DUER-aláírás hitelessége

Jogi és szabályozási kockázatok

A DUER nem egy közönséges közigazgatási dokumentum. Munkahelyi baleset, foglalkozási betegség vagy munkaügyi vita esetén a tanácskozásokon a munkáltató megelőzési politikájának bizonyítékaként terjeszthető elő. A Munka Törvénykönye (L.4121-1. és azt követő cikkei) a munkáltatóra eredménybiztos biztonsági kötelezettséget ró, és a DUER az értékelés formális nyoma.

Az ellenőrizhetetlen vagy módosított elektronikus aláírás a következőkhöz vezethet:

• A dokumentum nullitása mint bizonyítási eszköz a bíróság előtt;
• Közigazgatási szankciók akár 3750 € bírságig alkalmazottonként;
• A vállalat vezetőjének büntető felelőssége súlyos baleset esetén.

A 2021. augusztus 2-i 2021-1018. számú törvény (Munkahelyegészségügyi Törvény) értelmében a DUER frissítése 11 alkalmazottnál nagyobb vállalatoknál gyakoribbnak kell lennie, és megőrzése mostantól 40 évre terjed. Ez a hosszú időtartam erősíti az erős és időben ellenőrizhető elektronikus aláírás szükségességét.

A beszkennelt aláírás és a minősített elektronikus aláírás közötti különbség

Számos HR vagy HSE felelős azt gondolja, hogy az aláírt PDF-re beszkennelt kézi aláírást helyezni elég. Ez nem így van. Az aláírt képe (beszkennelés) nem garantálja a dokumentum integritását: a fájl az aláírás után módosítható anélkül, hogy egyértelműen nyomon követhető nyom maradna.

Az eIDAS rendeletnek megfelelő elektronikus aláírás ezzel szemben olyan kriptográfiai mechanizmuson alapul, amely visszavonhatatlanul köti az aláíró személyazonosságát a dokumentum tartalmához egy adott pillanatban. Bármilyen későbbi módosítás, még egy szóköz hozzáadása vagy egy számjegy megváltoztatása sem, érvényteleníti az aláírást és ellenőrzéskor riasztást indít.

Az elektronikus aláírás szószedetében az eIDAS által elismert három szint megkülönböztetésre kerül: egyszerű (SES), fejlett (SEA) és minősített (SEQ) elektronikus aláírás. Egy olyan érzékeny dokumentum, mint a DUER esetében, a fejlett szint javasolt legalább, a minősített szint pedig előnyösebb az gyakori ellenőrzéseknek kitett vállalatok számára.

Konkrét módszerek a DUER aláírásának hitességének ellenőrzésére

Ellenőrzés az eredeti PDF-olvasón keresztül

A legkönnyebben hozzáférhető módszer a dokumentum megnyitása az Adobe Acrobat Reader-ben (ingyenes verzió) vagy egy kompatibilis PDF-olvasóban. Ha egy érvényes elektronikus aláírás van jelen, automatikusan egy aláírási panel jelenik meg. Ez jelzi:

1. Az aláíró személyazonossága: név, vezetéknév, szervezet és használt tanúsítvány;
2. Az aláírás dátuma és időpontja, kriptográfiai időbélyegzéssel rögzítve;
3. Az integritás állapota: "Az aláírás érvényes" vagy "A dokumentum módosításra került az aláírás után";
4. A tanúsítvány megbízhatósági lánca: az elismert hitelesítésszolgáltató által ellenőrizve.

Ez az ellenőrzés azonnali, és nem igényel semmilyen előfizetést. Azonban korlátozott: ha a kibocsátó hitelesítésszolgáltató tanúsítványa nem szerepel a szoftver megbízható listáján (például az EUTL — European Union Trusted Lists), az aláírás "nem ellenőrzöttként" jelenhet meg, még ha technikailag érvényes is.

Ellenőrzés online validációs szolgáltatásokon keresztül

Az Európai Bizottság a DSS Demo Tools szolgáltatást helyezi rendelkezésre (az ec.europa.eu-n elérhető), amely lehetővé teszi egy aláírt dokumentum feltöltését és egy validációs jelentés beszerzését az ETSI EN 319 102 normán alapulóan. Ez a szolgáltatás:

• Ellenőrzi az XAdES, CAdES, PAdES és JAdES formátumok megfelelőségét;
• Kontrollálja a tanúsítvány érvényességét az aláírás időpontjában az OCSP vagy CRL protokolazokon keresztül;
• Egy JSON vagy PDF formátumú jelentést generál, amely az értékelés minden lépését részletezi.

Léteznek privát szolgáltatások is, mint amelyeket a minősített bizalmi szolgáltatások nyújtói (QTSP) kínálnak, akik a nemzeti megbízható listák nyilvántartásában szerepelnek. Franciaországban az ANSSI közzéteszi az akkreditált QTSP-k listáját. Egy ilyen szolgáltatáshoz fordulni egy vitatott DUER validálásához egy vitában jelentősen nagyobb bizonyítási erőt ad.

Ellenőrzés az eredeti aláírási platformon keresztül

Ha a DUER egy SaaS megoldáson keresztül, például a Certyneo-n keresztül lett aláírva, az ellenőrzés még közvetlenebb. Minden aláírt dokumentum egy aláírási tanúsítványt generál (más néven audit jelentés vagy aláírási nyomon követési út), amely az alábbiakat archiválja:

• Az aláíró IP-címe és munkamenet-azonosítója;
• Az eredeti dokumentum SHA-256 kriptográfiai kivonatja;
• Az RFC 3161 minősített időbélyegzés;
• A használt személyazonosítási bizonyítékok (e-mail, SMS OTP, vagy akár eIDAS erős hitelesítés).

Ez a jelentés maga a preztázis által elektronikusan aláírt, ami azt hamisíthatatlanná teszi és közvetlenül felhasználható bizonyítékként a bírósági eljárásban. A vállalatok elektronikus aláírási megoldása a Certyneo natívan integrálja ezt a mechanizmust az összes dokumentumra, beleértve a DUER-eket is.

Legjobb gyakorlatok a DUER-aláírás és megőrzésének biztosításához

A helyes aláírási szint kiválasztása a kockázati profil alapján

Az aláírási szint kiválasztása nem szabad véletlenre hagyni. Egy DUER esetében itt az ajánlott gondolkodásmenet:

| Kontextus | Ajánlott szint | Indoklás | |---|---|---| | KKV < 10 alkalmazott, alacsony kockázatú tevékenység | Fejlett aláírás (SEA) | Ár-érték arány egyensúlya | | KKV, ipari vagy építkezési szektor | Fejlett aláírás QSCD tanúsítvánnyal | Magas eIDAS megfelelőség | | Nagyvállalat, egészségügyi vagy vegyipari szektor | Minősített aláírás (SEQ) | Az aláíráshoz hasonló érték |

Az egészségügyi szektor vállalkozásai számára a elektronikus aláírás az egészségügyben további szabályozási követelményeket teljesít (HDS, orvosi GDPR), amely szisztematikusan indokolja a minősített aláíráshoz való fordulást.

Időbélyegzés és hosszú távú archiválás

A munkahelyegészségügyi törvény egy 40 év hosszú DUER-megőrzést ír elő, a gyakorlat az aláírások időtartamát konkrétan felveti. Egy aláírási tanúsítvány érvényességi ideje korlátozott (általában 1-3 év). Ezen időtartam után a megbízhatósági lánc megtörhető.

A megoldás a hosszú távu megbízhatósági archívum szolgáltatás (elektronikus archiválási szolgáltatás vagy SAE), összekapcsolva egy hosszú távu időbélyegzéssel az ETSI EN 319 122 norma szerint. Ez a mechanizmus, néha LTV-nek (Long Term Validation) nevezik, időszakosan újra időbélyegzi a dokumentumot további integritásbizonyítékokkal, garantálva annak ellenőrzhetőségét az egész jogi időtartam alatt.

Ne tévessze össze az archiválást a tárolással: egy egyszerű fájlkiszolgáló vagy egy cloud drive nem képez megbízhatósági archívumot. Csak az integritást, olvashatóságot és hozzáférés nyomon követhetőségét garantáló rendszer felel meg a jogi követelményeknek.

Ellenőrzési folyamat a frissítéskor

A DUER-t minimum évente egyszer frissíteni kell, és a munka körülményei minden jelentős változásakor. Minden új verzió el kell különülnie az előzőtől, és új aláírásban kell részesülnie. A szigorú folyamat az alábbiakat tartalmazza:

1. Világos verziókövetés: verzió száma, hatálybalépés dátuma, végzett módosítások listája;
2. Az új verzió aláírása az HSE felelős és szükség esetén a személyzetképviselő (CSE) által;
3. Az összes korábbi verzió megőrzése az SAE-ben, csak olvasásra hozzáférhető;
4. A jelenlegi verzió integritásának szisztematikus ellenőrzése a munkaügyi felügyelettel vagy a munkahelyegészségügyi szolgáltatásokkal való megosztás előtt.

Az erre a lépések automatizálása egy platformon, mint a Certyneo, jelentősen csökkenti az emberi hiba kockázatát és garantálja a folyamatos megfelelőséget. Az ilyen megoldás beruházási megtérülésének mérésére a elektronikus aláírás ROI kalkulátor lehetővé teszi a nyereségek becslését a szervezet mérete szerint.

A DUER-aláírásra és ellenőrzésére alkalmazandó jogi keret

Munkajoggal kapcsolatos alapító szövegek

Az Egyedi Munkahelyegészségügyi Kockázatértékelési Dokumentum (DUERP) felállításának kötelezettségei a Munka Törvénykönye L.4121-1. cikkéből fakadnak, amely a munkáltatóra köti a kockázatok értékelésének eredményeinek átírását és frissítését. A 2001. november 5-i 2001-1016. számú rendelet ezt a formális kötelezettséget megalapította. A 2021. augusztus 2-i 2021-1018. számú munkahelyegészségügyi prevencióerősítési törvény kiterjesztette a megőrzési kötelezettségeket 40 évre, és bevezette a dematerializált bejelentés követelményeit az egészségügyi szolgáltatásoknál a legalább 150 alkalmazottal rendelkező vállalatok számára.

Az elektronikus aláírás jogi értéke

A Polgári Kódex 1366. cikke az elvet rögzíti: "Az elektronikus okirat ugyanolyan bizonyítási erővel bír, mint az papír alapú okirat, feltéve, hogy az abból származó személyt kellően azonosítani lehet, és hogy az olyan körülmények között kerül estabelecimiento és megőrzésre, amelyek garantálják annak integritását." Az 1367. cikk tisztázza, hogy az aláírás elektronikus "olyan megbízható azonosítási eljárás használatából áll, amely garantálja annak kapcsolatát az aktussal, amelyhez csatlakozik".

A 2014/910 eIDAS rendelet az Európai Parlament és a Tanács elektronikus tranzakciók európai megbízhatósági keretét jelöli ki. Három szintű aláírást határoz meg (egyszerű, fejlett, minősített), és az 25.§(2) cikkben megállapítja az ekvivalenciát a minősített elektronikus aláírás és a kézi aláírás között. A fejlett aláírás, bár nem részesül ebből a jogi vélelmezésből, továbbra is elfogadható bizonyítási módként az 1.§(25) nem-diszkriminációs elve szerint.

Műszaki referencia normák

Az aláírás elektronikus formátumok PDF dokumentumokhoz az ETSI EN 319 132 (XAdES), ETSI EN 319 122 (CAdES) és ETSI EN 319 142 (PAdES) normák által definiálják. A hosszú távu validáláshoz az ETSI EN 319 102 norma az eIDAS-nak megfelelő validálási algoritmusokat határozza meg.

A minősített elektronikus időbélyegzés az eIDAS Rendelet 41. cikkével és az IETF RFC 3161 normájával szabályozva van, garantálva a feleknek szembeni támadható biztos dátumot.

Személyes adatok védelme

A DUER személyes adatokat tartalmaz (az alkalmazottak kilétét, az egészségügyi és biztonsági információikat). Kezelésére az 2016/679 GDPR rendelet vonatkozik. Az elektronikus aláírás maga az aláírók személyazonosságát érinti. A munkáltató, mint felelős feldolgozó, biztosítania kell, hogy az aláírási szolgáltató GDPR-kompatibilis alulkalmazott, amely rendelkezik a GDPR 28. cikkének megfelelő DPA-val (Data Processing Agreement).

Nem-megfelelőség kockázatai

A DUER hiánya vagy olyan DUER, amelynek aláírása nem támadható, 3750 € bírságra teszik ki a munkáltatót (5. szabálysértési kategória) minden megállapított sértésért. Súlyos munkahelyi baleset esetén a DUER nem-támadhatósága a munkáltató felróható hibájának elismerésében fordulhat elő, ami az áldozatnak fizetett kártérítések megemelkedéséhez és a CPAM visszkereseti intézkedéséhez vezethet.

Konkrét alkalmazási forgatókönyvek

Ipari beszállító a munkaügyi felügyelet ellenőrzésével szembesül

Egy 85 alkalmazottal rendelkező ipari KKV, amely fém alkatrészek gyártásával foglalkozik, a munkaügyi felügyelet váratlan ellenőrzésének tárgyává válik egy gépbalesetet követően. Az ellenőr azt kéri, hogy tekintsen meg a baleset időpontjában érvényes DUER-t. Az HSE felelős egy olyan PDF fájlt mutat be, amely elektronikusan aláírt a vállalat aláírási platformján.

A dokumentumhoz csatolt audit tanúsítványnak köszönhetően az ellenőr valós időben ellenőrizheti: az aláírás dátumát és időpontját (a baleset előtt), az aláíró személyazonosságát (a jogosult termelési igazgató), a dokumentum integritását (érintetlenül SHA-256 kivonatot) és az aláírási szint megfelelőségét (fejlett minősített tanúsítvánnyal). A vállalat képes kimutatni, hogy a kockázat azonosított volt és az intézkedéseket megtervezték. Ez a dokumentáció elkerülte a felróható hiba minősítést. A CNAM éves sinistralitási jelentésének adatai szerint az erős dokumentumnyomon követéssel rendelkező vállalatok 30-45%-kal csökkentik a CPAM visszkereseti intézkedéseinek kitettségét.

HR tanácsadó iroda, amely több ügyfél DUER-ét kezeli

Egy 18 munkatársas emberi erőforrás tanácsadó iroda körülbelül negyven KKV és KKV ügyfél körét támogatja DUER-jük kidolgozásában és éves frissítésében. Eddig az dokumentumokat e-mailben nem aláírt PDF-ként küldték, majd manuálisan aláírt és beszkennelt formában küldték vissza.

Az elektronikus aláírási SaaS megoldásra való átköltözés után minden DUER online van aláírva az ügyfél vezetője által kevesebb mint 3 perc alatt. Az iroda egy központosított irányítópulttal rendelkezik, amely bármikor lehetővé teszi az egyes dokumentumok állapotának ellenőrzését: aláírt, időbélyegzett, archivált. Ha egy ügyfelünk kérdéz egy korábbi verzió érvényességéről, az hitelesség-ellenőrzés kevesebb mint 30 másodperc alatt megtörténik. A papírdokumentumokhoz fordított idő és kezeléskor körülbelül 60%-kal csökkent az összehasonlítható szektorális benchmarkoknak megfelelően, amelyeket az HR tanácsadó szervezetek tesznek közzé.

Egészségügyi létesítmények csoportja, amely többéves DUER-eket kezel

Egy körülbelül 600 ágyas magánkórházi csoport, amely több egészségügyi létesítményt és EHPAD-t foglal magában, speciális DUER-eket kell kezelnie minden helyéhez, beleértve a kémiai, biológiai és pszichoszociális kockázatokat. A 40 éves jogi megőrzési időtartam és az aláírók sokasága (helyi igazgatók, munkahelyegészségügyi orvosok, CSE képviselők) a nyomon követést különösen összetettté teszik.

A csoport egy minősített elektronikus aláírási megoldást telepít megbízhatósági archiválással és hosszú távu időbélyegzéssel. A DUER minden verziója kriptográfiailag lezáródik és automatikusan háromévente újra időbélyegzik a megbízhatósági lánc fenntartása érdekében. Az ARS audit vagy vitaeljárás esetén a DUER bármely korábbi verziója teljes validációs jelentésével kinyerhető. Ez az organizáció majdnem 70%-kal csökkentette az külső ellenőrzések tényleges dossz-előkészítésének idejét az idő papír-digitális hibrid archiválási rendszeréhez képest.

Következtetés

Az Egyedi Kockázatértékelési Dokumentum aláírásának hitességét ellenőrizni nem opcionális formaság: ez jogi és szervezeti szükségszerűség. A Munka Törvénykönye, a 2021 óta előírt 40 éves megőrzési időtartam és a baleset esetén felmerülő felelősségi kockázatok között csak egy erős elektronikus aláírás — megbízható ellenőrzési eszközökkel kombinálva — garantálja a DUER teljes bizonyítási értékét.

Akár PDF-olvasón, európai validációs szolgáltatáson vagy közvetlenül az aláírási platformon keresztül jut hozzá, a lényeg az, hogy ezt az ellenőrzést egy dokumentált és reprodukálható folyamatba integrálja.

A Certyneo lehetővé teszi a DUER-ek aláírását, ellenőrzését és archiválását az eIDAS teljes megfelelőségében, teljes audit nyomon követéssel és integrált megbízhatósági archiválással. Hozzon létre ingyenes fiókot a Certyneo-n és biztosítsa ma a megelőzési dokumentumok jogi értékét.