Rými fyrir undirritun í opinberum geira: starfrænt handbók

Aflögun stjórnsýsluferlanna flýtur fyrir sér í sveitarfélögum og stjórnsýsluaðilum Frakklands. Frá því að ákvörðun um „Aðgerðir fyrir almenna stjórnvöld 2022" tók gildi og skuldbindingum frá eIDAS-reglugerðinni, verða opinberir aðilar að bjóða fram smiðlega, öruggla og gilda stafræna ferla. Kjarninn í þessu kerfi er rými fyrir undirritun, gátt sem var tileinkuð því að leyfa hverjum notanda eða samstarfsaðila að taka á móti, skoða, skrifa undir og geyma opinber skjöl á netinu. Þessi grein útskýrir stærðu skref til að búa til slíkt rými í opinberum geira, eftirlitskröfur sem þarf að fylgja og bestu starfsvenjur frá reynslunni.

Hvers vegna rými fyrir undirritun hefur orðið stefnumótandi fyrir opinbera geirann

Regluverks samhengið og væntingar notenda

Í Frakklandi var frumkvæði nr. 2014-1330 frá 6. nóvember 2014 um rétt notenda til að senda inn beiðnir til stjórnsýslu með rafrænni aðferð, lögð fram fyrstu undirstöðu fyrir skyldu um aflögun. Síðan þá hafa ESSOC-lög (2018), 3DS-lög (2022) og ýmsar milliráðuneytisathugasemdir styrkt þessa þróun. Samkvæmt áfangamati aflögunar sem birt var af DINUM árið 2025, eru nú yfir 87% af stjórnsýsluverkefnum á fyrstu stigi fáanleg á netinu, en aðeins 54% innihela kerfi fyrir rafræna undirritun sem hefur lagalega gildi.

Notendur þola ekki lengur pappír fram og til baka. OpinionWay-rannsókn frá 2024 bendir til þess að 72% frönsku borgara vilji frekar skrifa undir stjórnsýsluskjal á netinu frekar en að ferðast, að því tilskildu að tækið sé einfalt og traust. Rými fyrir undirritun svarar fullkomlega þessari væntingu með því að bjóða eina aðgangsstöð, trausta og rekjanlegra fyrir alla aflögunaraðgerðir.

Munur á persónulega geiranum

Ólíkt persónulega geiranum, eru opinberir aðilar háðir frekari takmörkunum: opinber kaup sem eru stjórnað af lögum um opinberan kaup, dagskrá sem er háð lagalegum eftirliti framúrkara, borgaralegir skjöl sem eru skilgreind af borgaralögum. Stig rafrænnar undirskriftar sem þarf fer eftir eðli skjalsins: einföld samkomulag um samstarf getur nóðst með fullkomnum rakstri rafrænnar undirskriftar (SEA), en dómaralegir skjöl eða dagskrá sveitarstjórnarinnar þarfnast í sumum tilfellum fullgildir undirskriftar (SEQ) eins og skilgreint er í grein 26 eIDAS-reglugerðar.

Til að velja rétt stig fyrir hvert skjalsflokk skaltu fletta okkar heill handbók um rafræna undirritun sem útskýrir þrjú stig eIDAS og notkun þeirra í opinberum geira.

Skref til að búa til rými fyrir undirritun í sveitarfélagi eða stjórnsýsluaðila

Skref 1 — Kortleggja skjalaflæði og hagsmunaaðila

Áður en þú dreifir hverri tæki verður þú að framkvæma kortlagningu flæða. Þessi áfangi samanstendur af því að bera kennsl á:

• Skjalalflokka sem um ræðir (dagskrá, opinber kaup, samkomulag, byggingaleyfir, starfsmannaverkefni, osfrv.);
• Innri undirritarar (kjörnir, framkvæmdastjóri og deildarstjórar) og ytri (þjónustuaðilar, samtök, borgarar, starfsmenn frá öðrum opinberum aðilum);
• Magn árlega og samningsbundnum eða regluvörðu fresti sem tengjast;
• Núverandi upplýsingakerfi (forrit eins og SEDIT, CIVIL NET, CIRIL, Berger-Levrault) sem rými fyrir undirritun verður að tengja við.

Þessi kortlagning gerir þér kleift að skilgreina hinn virkni og undirskrift kerfisins og að forðast tvítekningum með verkfærum sem eru þegar til staðar. Hún stýrir einnig öryggisstigi og sannprófun sem nota verður fyrir hvern notendaflokk.

Skref 2 — Velja tæknilega lausn sem hentar kröfum opinbera geirans

Val á rafrænni undirritunarlausn fyrir opinbera geirann svarar sérstökum viðmiðum sem persónulegi geirinn setur ekki alltaf með sömu stingi:

1. Heimavalinn geymsla: gögn opinbera aðilans verða að vera geymd á Íslandi eða innan Evrópusambandsins, á innviðum sem vottuð eru HDS (ef heilsufar gögn) eða SecNumCloud (ef viðkvæm gögn). Hæfni SecNumCloud frá ANSSI verður aðgreiningarmerkjað viðmið frá stærðu frumkvæði Forsætisráðherra frá 5. júlí 2021.
2. Samvirkni: lausnin verður að birta RESTful API-kerfi skjöluð sem samræmist RGI (Almennt framboð samvirkni) og RGS (Almennt framboð öryggi) handbókunum.
3. RGAA aðgengi: samkvæmt lögum nr. 2005-102 frá 11. febrúar 2005 og útboðum um framkvæmd, opinberir gáttir aðgengilegir fyrir borgara verða að fylgja Almennu framboði um bætta aðgengi (RGAA 4.1) á lágmarksmark AA.
4. eIDAS-fylgni: skjöl um undirritun verða að vera gefin út af trausthæfum þjónustuaðila (TSP) sem taldar eru upp á evrópskri traustvörðu lista (Trusted List) sem gefin er út af Framkvæmdastjórn Evrópusambandsins.

Til að bera saman lausnir á markaði samkvæmt þessum viðmiðum, bjóðar okkar borgun lausna fyrir rafræna undirritun mat-ramma sem hentar fyrir opinbera kaupendur.

Skref 3 — Stilla rými fyrir undirritun: sannprófun og notendaferill

Stilling rýmis fyrir undirritun byggir á þremur tæknilegum stoðum:

Auðkenning undirritara: opinberi geirinn hefur skipulagsbundinn kostnað með FranceConnect+, landsbundnu kerfi fyrir stafræna auðkenni sem stjórnað af DINUM. FranceConnect+ leyfir meðalstærðar eða mikillar sannprófunar miðað við eIDAS, sem gerir gerði undirritaða gild án tvimælni. Fyrir ytri þjónustuaðila (fyrirtæki, samtök), getur fullnægt sannprófun með tölvupósti sem styrkt er (OTP) ásamt persónuauðkenningu gæti dugað fyrir meðalstigs gerðir.

Undirritunin ferli ætti að vera hannað til að lágmarka núning: tilkynning með tölvupósti eða SMS, beinn aðgangur að skjali frá tilnefndu rými, skoðun á efni fyrir undirritun, undirritun með einni eða tveimur smellum eftir því sem þarf, og staðfesting með vottuðu tímastimpli. Vottuð tímasetning (RFC 3161) tryggir heilleika skjalsins og visst dagsetningu undirskriftar, nauðsynleg atriði ef um er að ræða deilur.

Umsjón með úthlutun og eftirlitskerum: í sveitarfélagi inniheldur gerð oft aðeins einn lokaundirritara, en hún er endurtekin með innri kerfum. Rými fyrir undirritun verður að gera kleift að stilla verkflæði mörgum stiga (rafræn skrifstofugögn) með reglum um úthlutun sem samræmast úthlutun undirritaðra aðila.

Skref 4 — Gæta geymslu og geymslu sem sönnun

Rými fyrir undirritun er ekki bara undirritunin: það verður að tryggja sönnunargildi skjala með tímanum. Lög um erfðamenningu (greinum L. 211-1 og eftir) leggja á opinbera aðila sérstaka geymslu samkvæmt eðli gerða (10 ár fyrir opinber kaup, endalaus tíð fyrir dagskrá, osfrv.).

Staðall NF Z 42-020 skilgreinir kröfur um rafrænt geymslutæki með sönnunargildi (SAE). Rými fyrir undirritun verður að tengja SAE aðilans eða bjóða nælega eignar dóbandi samkvæmt. Notkun treystum geymslumanni sem er vottaður gerir þér kleift að útglæða þessa skyldu á meðan þú viðheldur rekjanleika sem CNIL og stjórnsýsludómstólar krefjast.

Athugaðu að skjöl sem undirritað hafa aðgengi fyrir hvern undirritara frá einkastarfsemi sína rými, samkvæmt aðgangsréttindi sem GDPR og CADA-lög setja fram.

Áskorunaremi, kennsla og breytingastýringu í opinberum geira

Setja upp stjórnun verkefnisins

Innleiðing rýmis fyrir undirritun er breytingarverkefni skipulagsmála jafn sem tæknilega. Stjórn verður að fela í sér:

• Framkvæmdastjóra almenna (DGS/DGA) fyrir pólitíska bera og samþykki gerða sem um ræðir;
• Framkvæmdastjóra upplýsingakerfa (DSI) fyrir tæknilega samþættingu og öryggi;
• Framkvæmdastjóra um vernd gagna (DPD), skylda í opinberum aðilum frá grein 37 GDPR, til að staðfesta áhrifagreiningu (AIPD);
• Lögfræðisvið til að kortleggja áhættu og staðfesta lagalegt gildi hvers flokks aflögðra gerða.

Ársfjórðungslegt stýringaruðval, sem myndar þessa aðila, leyfir breytingu og stærðu aflögunarflæða samkvæmt rekstrarlegum hagnaði sem sést.

Þjálfa starfsmenn og ytri undirritara

Samþykki rýmis fyrir undirritun byggir að miklu leyti á gæðum breytingastýringar. Opinberir starfsmenn, vanir til pappírs eða ódrifnum verkfærum, þurfa stutta en miðaða þjálfun: skilja gildi rafrænnar undirskriftar, geta greint falsað skjal, stjórnun undirritunarkerfis síns virksviðs.

Fyrir ytri undirritara (fyrirtæki sem veita þjónustu, styrkt samtök), einföld leiðarvísir, aðgengileg frá rými fyrir undirritun sjálft, minnkar umtalsvert framboð um stuðning. Nútímaleg kerfi innihalda nú samningsbundna leiðarvísir og virka svarleiðir beint inni í undirritunaferlinu. Certyneo stuðningsmiðstöðin bendir til dæmis um fræðslugögn sem hægt er að aðlaga að eigin samskiptum.

Mæla ávinning og stýra með gögnum

Endurkoma fjárfestingar rýmis fyrir undirritun í opinberum geira er mæld á mörgum víddum:

• Meðalundir fyrir undirritun: aflögun dregur að meðaltali undirritunarlotu frá 7 til 14 dögum til innan við 48 klukkustundir samkvæmt reynslu brautryðjenda sveitarfélaga;
• Hlutfall týnds eða illa geymds skjals: tilhneiging til núlls með SAE tengdum;
• Beinn kostnaður: prentun, póstkostnað, kurirtíð, endurkostun ósamhæfðra skjala;
• Ánægja ytri undirritara: mælanleg með NPS samtengdum við endalok undirritunaferlisins.

Þessir vísar gefa næringarinni gagnagrunninn fyrir stjórnunarnefndina og réttlæta smám saman stækkun aflöguðu sviðsins. Til að reikna út nákvæmlega hugsanlegan hagnað fyrir aðilann þinn, gefur okkar reiknivél ROI fyrir rafræna undirritun einkaðan skráningu á innan við 5 mínútum.

Löglegt ramma fyrir rými fyrir undirritun í opinberum geira

Innleiðing rýmis fyrir undirritun í frönsku sveitarfélagi eða stjórnsýsluaðila fer inn í þéta lagalega safn, byggðar á mörgum stigum.

eIDAS reglugerð nr. 910/2014 frá Evrópuþinginu og ráðinu myndar evrópska stoðina. Hún aðgreinir þrjú stig rafrænnar undirskriftar (einföld, fullkomin, fullgilt) og kveður á um að aðeins fullgilt merki njóti endurhliðunar um áreiðanleika sem jafngildir handritatri undirritun í öllum aðildarríkjum. Fyrir viðkvæmar opinberar gerðir, þörf á skírteini sem gefið er út af trausthæfum þjónustuaðila (TSP) sem skráð er á evrópsku traustvörðu lista er beinlínis. eIDAS 2.0 reglugerð (EU-reglugerð 2024/1183), sem tók gildi í maí 2024, styrkar þessar kröfur með því að innleiða Evrópska stafræna auðkennisveskið (EUDIW), sem samþætting í opinberum gáttum verður að vera starfhæf fram til 2026-2027 samkvæmt áætlun Framkvæmdastjórnar.

Borgaralög, greinum 1366 og 1367, setja skilyrði fyrir gildi rafrænnar skrits í frönsku rétti: áreiðanleg auðkenning höfundar og tryggi fyrir heilleika skjalsins. Þessi skilyrði eru uppfyllt með dulmálaaðgerðum fullkominna og fullgildra undirskrifta.

GDPR nr. 2016/679 leggur á hvaða aðila sem vinnur með persónulegum gögnum (nafn, tölvupóstfang, FranceConnect auðkenni undirritara) til að framkvæma Áhrifagreiningu varðandi vernd gagna (AIPD) fyrir innleiðingu rýmis fyrir undirritun, samkvæmt grein 35 reglugerðarinnar. Þessi skylda er styrkt fyrir opinbera aðila. Tilnefning DPD (grein 37) er skylda fyrir allar opinberar yfirvöld.

Almennt öryggisorðaboð (RGS v2.0), gefin út af ANSSI, setur öryggisstig sem krafist er fyrir rafræna þjónustu ríkisins og sveitarfélaga. Þjónustuflutningskerfi innleidd í þessum skilum verða að vera endurskoðuð og, eftir viðkvæmni gagna, getu eða vottuð af ANSSI.

ETSI staðlar stýra tæknilega sniðum undirskrifta: ETSI EN 319 132 (XAdES), ETSI EN 319 122 (CAdES) og ETSI EN 319 162 (PAdES fyrir PDF). Snið PAdES er mælt með fyrir opinber skjöl vegna innfeldrar lesanleika í venjulegum PDF-skoðunum.

NIS2 tilskipunin (EU 2022/2555), flutt til frönsku réttar með lögum nr. 2024-449 frá 21. maí 2024, framlengir netöryggiskröfur til ómissandi og mikilvægra aðila, meðal þeirra marga opinbera aðila (sveitarfélög með fleiri en 30 000 búa, sýslur, svæði, heilsugæslustofnanir). Þjónustukerfin verða að vera hluti af öryggisstefnu upplýsingakerfa aðilans (PSSI) og verða að tilkynna um brot til ANSSI ef um brot er að ræða.

Að lokum, opinberu kaupalög (greinum R. 2132-1 og eftir) leggja á aflögun á opinberum kaupum yfir 40 000 € án virðisaukaskatts og krefja rafrænrar undirskriftar skuldbindingaskjala. Vanefndir þessarar skyldu útsetja aðilann fyrir hættu á ógildum gerðum og fagurtum við lagaleg athugun yfirvallanna.

Notkunartilvik: rými fyrir undirritun í aðgerð í opinberum geira

Tilvik 1 — Stærðri sveitarstjórnarbandlagi eru aflögðu samkomulag um samstarf

Stærri sveitarstjórnarbandlag sem inniheldur um tuttugu sveitarfélög stýrir um árið meira en 350 samninga um samstarf við staðbundin samtök, menntastofnanir og einkarekna þjónustuaðila. Áður en innleiðing rýmis fyrir undirritun var hver samningur krafðist að meðaltali 18 dögum milli innri samþykkis og undirritun beggja aðila, með óreiðutíðum um gagnakostnað um 4% (skjöl sem illa voru geymd eða útgáfur sem ekki voru undirritaðar varðveitt fyrir mistökunum).

Eftir innleiðingu rýmis fyrir undirritun sem tengt var núverandi gögnum um upplýsingakerfi, var meðalundir fyrir undirritun á 3,5 dögum. Samstarfsaðilar aðilanna aðgast rými sitt með FranceConnect, fá tilkynning tölvupósts um leið og skjal er tilbúið fyrir undirritun og finna samtöl sín geymdir í persónulegu rými. Óreiðutíðin gagnakostnað er núll síðan innleiðingu. Árleg sparnaður sem metinn er fyrir prentun-, freiðleika- og endurvinnslu stjórnsýslukostnað fer yfir 15 000 €, án þess að telja tíðni fyrir stjórnendur.

Tilvik 2 — Sýsla aflögðu opinbera kaupaskjöl stjórnenda sinna

Bæjarfélagsráð sem meðhöndlar meira en 1 200 opinber kaup á ári (allir þröskuldar) stóð frammi fyrir undirritunagáfum sem voru ósamhæf með rekstrarlegum takmörkunum stjórndeilda sinna. Pappírskerfið fól í sér allt að 7 innri aðila (leiðbeiningar, löglegt yfirlit, fjárhagssamþykki, undirritun forseta eða varaforseta með umboð) áður en flutning til þjónustuaðila.

Innleiðing rafræns skrifstofugagna sem tengt var rými fyrir undirritun gerði kleift að stilla verkflæði mörgum stigum með sjálfvirkri úthlutun ef um fjarveruframleiðslu væru að ræða. Meðalundir innri kerfis dró saman frá 11 dögum til 2,8 dögum. Sýslan tók einnig eftir 60% minnkun á endurspyrjum sím til deilda til að vita framgang undirskrifta. Rými fyrir undirritun sem bjóðað var ytri þjónustuaðilum gerir þeim kleift að skrifa undir skuldbindingarskjöl beint frá gáttinni sinni, með undirritun og sjálfvirkri tímasetningu geymdar í SAE sýslu.

Tilvik 3 — Opinber heilsugæslustofnun tryggir starfsmannaskjöl lækna sinna

Sjúkrahússamstarf með um 1 200 starfsmönnum (þar með 180 lækni) stýrði samningum um skuldbindingu, breytingum og flutningstímabili með pósti eða skyldri líkamlegri viðvist, sem framkallaði tímabil sem voru ósamhæf við brýn ráðningarþörf (gæslubreytingar, tímabundin læknavinnsla).

Rými fyrir undirritun sem dreift var fyrir mannauðsmál gerir nú hverjum lækni eða starfsmanni kleift að taka á móti, skoða og skrifa undir samning frá traustri gátt, aðgengilegri frá hvaða tæki sem er. Sannprófunin byggir á FranceConnect+ fyrir heitstafa starfsmenn og um persónuauðkenningu skjala fyrir hreyflinga. Meðalundir frá munnlegri samþykki til starfsmannasetningar var frá 8 dögum (pappírsvinnslutíð) til innan við 24 klukkustundir. Stofnunin minnkaði einnig um 40% villur í fullfyllingri starfsmannaskjala þökk fyrir leiðaðar fyrirlitir sem samþættir eru við undirritunakerfið, samkvæmt tillögum opinbera heilbrigðisstofnunarinnar.

Lokaorð

Búa til rými fyrir undirritun í opinberum geira er ekki lengur valkvætt: það er lagaleg skylda sem fer þroy og vaxandi væntingar notenda sem og stofnana. Framkvæmdin byggir á fjórum ódeildum stoðum — kortlagningu flæða, vali um fullvalda og eIDAS-samhæfa lausn, stilli fyrir notendaferil sem fljótt og öruggt, og gögnum sem gæði röklegt gildið — studdir af traustri stjórnun og stingi breytingastýringu.

Sveitarfélög og stjórnsýsluaðilar sem hafa komið þessari framkvæmd á framfæri sjá mælanlegan hagnað: undirritunartíð deilt með fimm að meðaltali, stjórnsýslukostnaður minnkaður og geymslugeysla gild. Certyneo fylgist með opinberum aðilum í hverju þrepi þessa verkefnis, frá upphaflegri endurskoðun til rekstrarlegrar innleiðingu.

Tilbúinn til að taka framhaldið? Hafðu samband við okkar sérfróða Certyneo fyrir ókeypis endurskoðun á skjalaflæðum þínum og persónulega sýningu sem aðlöguð er takmörkunum opinbera geirans.