Niðurhal og geymsla undirritaðra skjala fyrir opinberan innkaupasamninga

Inngangur: Hvers vegna geymsla undirritaðra skjala er mikilvæg í opinberum innkaupum af vörum

Að vinna opinberan innkaupasamninga um vörukaup er aðeins fyrsti skref í flóknu stjórnsýslu- og lagalegu ferli. Þegar samningsgögn hafa verið undirritað rafrænt — aðgreining aðilans, almennar samningskjör, tæknileg samningskjör, innkaupapöntun — verður að hlaða þeim niður, varðveita og geyma í fullum samræmi við gildandi lögbundnar skyldur. Í Frakklandi sameinast þessar skyldur réttur um opinbera kaup, reglugerð eIDAS nr. 910/2014 og staðlar fyrir þrautgóða rafræna geymslu. Ef þetta er vanrækt, stofnar það opinberum og einkakaupendu til verulegs áhættu vegna deilna: andhugun á sönnunargili samningsins, hafnun endurskoðunar Reikningsins, eða tap á réttindum ef deila verður um framkvæmd samningsins. Þessi grein leiðir þig skref fyrir skref um hvernig á að hlaða niður og geyma undirritud skjöl þín í fullum samræmi.

---

Skilningur á reglugerðarramma geymslu í opinberum innkaupum

Geymslutímar sem kveðið er á um í opinberum innkaupakóða

Opinberi innkaupakóði og fyrirmæli frönsku arkífa ákveða lágmarks geymslutíma fyrir samningsgögn. Fyrir opinberan innkaupasamninga um vörukaup er almenn regla um 10 ára geymslu frá lokum samningsins, í samræmi við fyrirmæli DAF/DPACI/RES/2009/018. Þessi tímabil er í samræmi við frestur kröfu um ábyrga á samningi sem settir eru fram í 2224. gr. borgaralaga.

Fyrir samninga sem fara yfir evrópskar viðmiðanir (sem standa nú í 143 000 € án virðisaukaskatts fyrir miðlæg kaupaaðila og 221 000 € án virðisaukaskatts fyrir aðra framboðsaðila samkvæmt reglugerðum framkvæmdastjórnar ESB sem gilda árið 2026), er krafa um fullkomna raknaningu aðgerðarinnar, þ.m.t. rafræn gögn á stafrænum kerfum (kaupandapróf).

Sönnunargildi rafrænnar undirskriftar samkvæmt eIDAS

Reglugerð eIDAS nr. 910/2014 kemur auga á þrjá flokka rafrænnar undirskriftar: einfalda, ítarlega og hæfa. Í samhengi opinberra innkaupasamninga um vörukaup er ítarleg eða hæf rafræn undirskrift mælt með — eða jafnvel kveðin á um af sumum opinberum kaupendum — til að tryggja heilleika og áreiðanleika undirritaðs skjals.

Hæf rafræn undirskrift samkvæmt eIDAS nýtur lagalegrar forsendna áreiðanleika samkvæmt 25. gr. reglugerðarinnar: hún hefur lagalega áhrif sem jafngild handskrifaðri undirskrift í öllum aðildarríkjum ESB. Til að varðveita þennan sönnunargild yfir tíma er nauðsynlegt að framkvæma hæfa tímastimpla og samþæta undirritað skjal í kerfi rafrænnar geymslu (SAE) sem er í samræmi.

Skylda til að varðveita innsegli og lýsigögn

Að hlaða niður undirrituðu PDF skjali nægir ekki. Til að tryggja lagalegt gildi arkífsins verður að varðveita:

• Undirritað skjal á PAdES sniði (PDF Advanced Electronic Signatures, ETSI EN 319 132 staðall) eða XAdES fyrir XML-skjöl;
• Heillar vottunargjarðir undirritunarvottun;
• Hæf tímastimpilinn (RFC 3161);
• Lýsigögn viðskiptanna: auðkenni undirritara, dagsetning og tími UTC, IP-tala, auðkenni undirskriftarlotunar.

Einfalt PDF-útflutningur án þessara þátta myndi ekki leyfa þér að sanna áreiðanleika skjalsins fyrir dómara eða við endurskoðun Reikningsins.

---

Þrep 1 — Niðurhal undirritaðra skjala frá undirskriftarvettvanginum

Auðkenna tiltæk útflutningssnið

Eftir að allir aðilar (opinber kaupandi og eigandi) hafa undirritað skal undirskriftarvettvangi þinn leyfa þér að hlaða niður nokkrum þáttum:

1. Undirritað skjal á PAdES sniði (PDF sem samþættir undirskriftir í lýsigögnum skjalsins);
2. Undirskriftarskýrsla eða „vottun undirskriftar" — aðskilið skjal sem telur upp undirritara, tímastimpla, dulmál-kjörkjósun (hash SHA-256) og tilvísanir í notuðar vottanir;
3. Heildarskrá ZIP sem inniheldur skjal + skýrslu + endurskoðun sönnunargagna.

Certyneo gerir til dæmis kleift að flytja út með einni smellingu staðlaða ZIP-skrá sem inniheldur alla þessa þætti fyrir hvern aðgerð markaðarins. Til að skilja muninn á markaðslausnum skaltu skoða okkar samanburð á undirskriftarrafrænum lausnum.

Staðfesttu heilleika hlaðna skjalsins

Áður en geymsla er framkvæmd er ekki aðeins mikilvægt að staðfesta gildi undirskriftar á hlaðna skjalinu. Þessi staðfesting er hægt að framkvæma:

• Með Adobe Acrobat Reader (undirskriftargluggi);
• Með því að nota netverkið LTANS eða Framkvæmdastjórn Evrópu (trausttslisti TSL);
• Með API villuleitarvirkni undirskriftarfyrirtækis þíns.

Gilt skjal mun sýna undirskriftarstöðu „Gilt" með heilum traustsgjarðum til hæfs þjónustuaðila trausts (QSTP) sem er skráð á evrópskan traustslistann.

Skipuleggja nafngift skjala

Samþykktu kerfisbundna nafngiftarsamning til að endurheimta skjöl þín fljótt:

``` [AAAA-MM-DD]_[N°Markaði]_[Tegund-Skjals]_[Undirritað].[ending] Dæmi: 2026-05-26_2026-MP-042_Aðgreining-Aðila_Undirritað.pdf ```

Þessi strangreynd auðveldar endurskoðun og leit í GED þinni (Rafræn Skjalastjórnun).

---

Þrep 2 — Geymsla undirritaðra skjala í samræmi við staðla

Veldu milli geymslunnar í tryggðu GED eða viðurkennu SAE

Það eru tvær meginleiðir til geymslu undirritaðra skjala í samhengi opinberra innkaupasamninga:

Tryggt GED: hentugt fyrir samninga með litla þýðingu og fyrir stofnanir með traustan IT-innviði. Það tryggir heilleika skráa með kjörgóðu en veitir ekki alltaf lögbundna forsendu viðurkenndra SAE.

Kerfi rafrænnar geymslu (SAE) NF Z 42-013 / ISO 14641: viðmiðunarstaðall fyrir þrautgóða geymslu í Frakklandi. Viðurkennt SAE tryggir óbreytanleika arkívs, rakningu aðgangs og flutningu sniða yfir langan tíma. Þetta er ætlað lausnin fyrir mikilvæga opinbera innkaupasamninga.

Innan opinbera geirans geta rekstraraðilar byggt á Vitam-áætluninni (frjálsum hugbúnaði fyrir geymslu sem frönsk ráðuneyti þróuðu) eða á þriðju aðila arkívþjónustuaðilum sem heimilað er.

Tryggðu endingu undirskrifta yfir tíma: endurhorodatun

Ein af þeim áhættu sem oft er horfa fram hjá er lok gildistíðar undirskriftarvottana. Hæf undirskriftarvottun hefur almennt takmarkaðan líftíma frá 1 til 3 árum. Hins vegar verður markaðurinn varðveitt í 10 ár.

Tæknilega lausnin er reglubundin endurhorodun (einnig kölluð „arkív tímastimpil" í CAdES/PAdES-LTA staðlinum, skilgreint af ETSI EN 319 122). Þessari aðgerð felst í að setja nýjan hæfan tímastimpil á arkívið áður en fyrri gengur út og heldur þannig dulmálsgjarðinum við traust.

SAE þinn eða undirskriftarfyrirtæki þitt ætti að gera þessa aðgerð sjálfvirka. Certyneo samþættir þennan kerfi nativelega fyrir arkív undirritaðra skjala, í samræmi við PAdES LTA stafla (Long-Term Archival).

Stjórna aðgangsrétti og rakningu skoðana

Í samræmi við GDPR nr. 2016/679 (15. grein) og bestu starfsháttum öryggi upplýsingakerfa ætti aðgangi að arkívum undirritaðra skjala að vera stýrðir og rakið:

• Sterkri auðkenning (MFA) fyrir viðurkennda notendur;
• Aðgangsatvikabók sem skrá hverja skoðun, niðurhal eða breytingu;
• Dulritun í hvíld og á flugi (TLS 1.3, AES-256);
• Öryggisafritunaaðlögun sem fylgir 3-2-1 reglunni (3 afrit, 2 mismunandi gagnageymir, 1 utanlands).

Fyrir opinbera kaupendur sem meðhöndla mikinn fjölda samninga er gott að skoða rafræna undirskriftaraðgerðir fyrirtækis sem samþætta þessar kröfur nativelega.

---

Þrep 3 — Skipuleggðu verkflæði eftir undirskrift fyrir vörukaup

Samþættu geymslu í innkaup- og birgðaferlinu þínu

Stjórnun opinberra innkaupasamninga um vörukaup felur oft í sér nokkra eftirfylgjandi aðgerðir eftir undirritun upphaflegrar aðgreiningar: innkaupapantanir, viðbætur, móttökuskýrslur, samþykktar reikninga. Hvert og eitt af þessum skjölum getur verið samningsgögn eða sönnunargögn.

Mælt er með að skipuleggðu arkívgerð þína eftir markaði, síðan eftir tegund skjals:

``` /Opinberir-Innkaupir/ └── 2026-MP-042-Vörukaup-Tölvubúnaðar/ ├── 01_Aðgerð/ ├── 02_Samningsgögn/ │ ├── Aðgreining-Aðila_Undirritað.pdf │ ├── Almennar-Samningskjör_Undirritað.pdf │ └── Tæknileg-Samningskjör_Undirritað.pdf ├── 03_Framkvæmd/ │ ├── BDC-001_Undirritað.pdf │ └── PV-Móttaka-001_Undirritað.pdf └── 04_Reikningar/ ```

Sjálfvirku endurminningum um lok og eyðingu

Setjið sjálfvirkar viðvaranir í GED eða SAE þinn fyrir:

• Endurminning um endurhorodun 6 mánuðum áður en síðasti tímastimpil rennur út;
• Eyðingarendurminning við lok löglegrar geymslutíma (með mannlegri staðfestingu fyrir eyðingu);
• Heilleika-viðvörun ef reynt er að breyta varðvöruðu arkívi.

Þessar sjálfvirkir aðgerðir minnka verulega stjórnsýsluálag og hættu á gleymi, sérstaklega fyrir stofnanir sem fara með tugi samninga samtímis. Til að meta hugsanlegan framleiðni í skipulaginu þínu geturðu notað okkar ROI reiknivél fyrir rafræna undirskrift.

Skjalfestðu geymslastefnu þína í PAQ eða innri verklagsreglum

Fyrir kaupendur sem fara reglulega yfir endurskoðun (sveitarfélög, sjúkrahús, opinber stofnanir) er mjög mælt með því að formfesta stefnu um geymslu og varðveislu (PAC) sem skjalfestir:

• Tegundir skjala sem eru háð arkívun;
• Geymslutímar eftir flokkum;
• Ábyrgðarmenn geymslustjórnunar;
• Tæki og þjónustuaðilar sem notaðir eru;
• Verklagsreglur fyrir reglubundna heilleika-athugun.

Þessi skjalfesting myndar sönnun um skyldumennsku ef deila verður og auðveldar yfirvofun nýrra samstarfsmanna. Certyneo aðstoðarmiðstöðin gefur út sniðmát verklagsreglna sem hentu opinberum innkaupum.

Löglegur rammi sem beitt er á geymslu skjala opinberra innkaupasamninga sem undirritað eru rafrænt

Borgaralegur réttur og sönnunargaldi

Borgaralögregla Frakklands leggur grunninn að sönnunargaldi rafrænna skjala. 16. og 67. grein segir að „rafrænt skjal hefur sama sönnunargildi og pappírsskjal, með skilyrði um að auðkenna megi á fullgiljum hátt þann sem gaf því tilurð og að það sé komið saman og geymt á þeim hætti sem tryggir heilleika þess". 67. grein skilgreinir rafræna undirskrift sem „notkun áreiðanlegrar auðkenningaraðferðar sem tryggi tengsl hennar við skjalið sem hún tengist".

Þessar tvær greinar staðfesta að geymsla með skilyrðum sem tryggja heilleika er ekki valkostur heldur forsenda sönnungargilda arkífsins.

Reglugerð eIDAS nr. 910/2014 og framkvæmdarskjöl hennar

Reglugerð eIDAS nr. 910/2014 (og þróun hennar eIDAS 2.0 sem um er fjallað í umbreytingu) myndar evrópska reglugerðargrunninn. 25. grein hennar stofnar forsenduna um áreiðanleika hæfrar rafrænnar undirskriftar, en 41. og 42. greinir skilgreina kröfur sem beita á hæf þjónustuflokka, sérstaklega þjónustuaðila fyrir hæfa rafrænna tímastimpla.

ETSI EN 319 132 (XAdES), ETSI EN 319 122 (CAdES) og ETSI EN 319 162 (PAdES) staðlarnir skilgreina tæknilega sniðmát fyrir ítarlega og hæfa rafræna undirskrift sem varðveita sönnunargaldi til lengri tíma. PAdES-LTA stiginn (Long-Term Archival) er sá sem mælt er með fyrir arkív opinberra innkaupasamninga.

Opinber innkaupakóði og arkívfyrirmæli

Tilskipun nr. 2018-1074 um opinberan innkaupakóða og tilskipun nr. 2016-360 um opinbera innkaupasamninga setja ramma fyrir stafræna umbrot. Fyrirmæli DAF/DPACI/RES/2009/018 frönsku arkívstofnunarinnar ákveður geymslutíma sem eiga við um skjöl opinberra innkaupasamninga: 10 ár eftir lok samningsins fyrir samninga, 5 ár fyrir tengd bókhaldsgögn.

GDPR nr. 2016/679

Almenni gagnaverulegur reglugerð (GDPR) á við þegar arkívuðu skjöl innihalda persónuupplýsingar (nafn undirritara, samskiptaupplýsingar osfrv.). 5. málsgrein 1. liðar skyldar takmarkaðri geymslutíma: ekki er heimilt að geyma gögn umfram þann tíma sem er nauðsynlegur fyrir tilgang sem þau voru unnin fyrir. Skrá yfir verkþætti úrvinnslu (grein 30) verður að skjalfesta arkívun samningsgagna. Við lok löglegra tímabils verður að framkvæma eyðingu eða nafnleysingarverk.

Lagaleg áhætta ef engin samræmi

Bilun á arkívun sem er í samræmi myndi stofna til margra stórra áhættu: óviðtekið sönnunargögn fyrir stjórnsýslu- eða borgaralegum dómstólum, höfnun fyrir réttlætingu við endurskoðun Reikningsins eða svæðisbundinna reikningsdeildar, CNIL sektir sem geta farið allt til 4% af árlegum heildarveltum í starfsemi um heiminn ef GDPR er brotið, og lagaleg ábyrgð einstaklinga sem hafa umsjá með varðveislu opinberra arkíva.

Sérkennir nokkrar fyrir arkívun opinberra innkaupasamninga um vörukaup

Aðstæður 1 — Sveitarfélag sem fer með tuttugu vöruinnkaupasamninga á ári

Meðalstór sveitarfélag (um 50 000 íbúar) gengur um 20 opinbera vöruinnkaupasamninga á ári: tölvubúnaður, skrifstofuhúsbúnaður, skólafæri fyrir stofnanir sínar, hreinsivörur. Áður en stafræning var framkvæmd var pappírsgögn samningsins geymd í skápum sem voru arkívuð efnislega, með raunverulegri áhættu á tapi eða skemmdum.

Með því að dreifa rafrænu undirskriftalausn sem er hæf, ásamt viðurkennu SAE með NF Z 42-013 staðli, hladdar sveitarfélagið sjálfkrafa hverju undirritaðu skjali á PAdES-LTA sniði og samþættir það í stafræni geymsluskrá sinni. Heilleika-athugunir eru sjálfvirkar ársfjórðunglega. Niðurstaða: að um 70% fækkun á tíma sem helgaðum skjöl-umsjón eftir undirskrift (mat sem er í samræmi við endurkomur reynslunnar sem birtar eru af DINUM í stafræningum barómeterum 2025) og engin óaðgengileg skjöl við síðustu tvær endurskoðun svæðisbundinnar reikningsdeildar.

Aðstæður 2 — Sjúkrahússamtök sem gera samninga um læknisfræðilegar vörur

Sjúkrahússamtök sem samanstanda af mörgum heilbrigðisstofnunum (um 1 200 rúm samtals) miðstýra innkaupum sínum á læknisfræðilegum vörum og ósteríl læknisfræðilegum tækjum í gegnum innkaupasamninga. Hver samningur felur í sér margar undirritara: samhæfingarmaður sambandsins, innkaupastjóri og stundum fulltrúi heilbrigðisyfirvalda.

Áskorunin um arkívun er hér stærknuð vegna sértækra skyldna sem skipa heilbrigðisgeiranum (rakningar læknistækja, skoðun heilbrigðisstofnana) og vegna fjölgunar samstarfsstofnana. Með því að nota undirskriftarvettvang sem hefur innbyggðan arkívmodúl með mismunandi aðgangsheimildum eftir stofnun, tryggir samtökin að hver sjúkrahús sem er aðili getur nálgast sín eigin skjöl á meðan heildararkíf er varðveitt með öryggi. Tími stjórnsýsluleysingar eftir úthlutun minnkar um 3 dagar niður í innan 4 klst. fyrir dreifingu og arkívun samningsgagna.

Aðstæður 3 — Meðalstór iðnaðarfyrirtæki sem vinnur opinbera vöruinnkaupasamninga

Meðalstór iðnaðarfyrirtæki (um 400 starfsmenn, 80 M€ árleg sala) vinnur reglulega opinbera vöruinnkaupasamninga fyrir marga opinbera kaupendur. Sem eigandi samningsins verður hún að varðveita aðgreiningu aðila, innkaupapantanir og móttökuskýrslur sem eru undirritaðar, sérstaklega til að rétlæta kröfur hennar við innheimtu reikninga og verja sig fyrir öllum deilum um framkvæmd samningsins.

Með því að samþætta undirskriftarlausnina í ERP hennar með API, gera fyrirtækið sjálfkrafa niðurhal og flokka undirritað skjöl í innri GED síns um leið og undirskrift er lokið. Árleg fjárhagsendurkoyning njóta skjótrar aðgangs að öllum samningssönnunargögnum, minnkað tíma undirbúnings endurskoðunar um 40 til 50% samkvæmt iðnaðarviðmiðum sem birtir eru af stjórnsýslustofnunum á stafrænni umbreytingu.

Niðurstöður

Að hlaða niður og geyma undirritað skjöl fyrir opinberan innkaupasamninga um vörukaup er ekki einfaldlega stjórnsýslumál: það er lögbundin skylda með hugsanlegum alvarlegar afleiðingum ef henni er ekki standa við. Frá PAdES-LTA sniðinu til tíu ára varðveislu sem fer yfir endurhorodun sem á tímabili milli, krefst hvert skref tæknilegrar strangreynd og lagalegrar vaktsins. ReglugerðIN eIDAS, borgaralegir löggildi og opinberar arkívfyrirmæli mynda takmarkandi en samkvæma ramma sem nútímaskip fyrir rafræna undirskrift leyfa að hlíta án núnings.

Certyneo fylgir opinberum kaupendum og eigendum samninga við samræmi við undirskrift og arkívferla sína, með innbyggðum eiginleikum fyrir sönnunargilda varðveislu og staðlað útflutning. Finndu hvernig á að einfalda stjórnun þinna á skjölum í dag með því að búa til Certyneo reikning eða með því að skoða okkar verðlagningu.