Sannreyna áreiðanleika undirritaðs skjals: DUER

Einstaki áhættumatsskjalið (DUER) er hornsteinn fylgni við heilsu og öryggi á vinnustað í Frönskri. Sett var með tilskipun nr. 2001-1016 frá 5. nóvember 2001 og er áskilin fyrir öll fyrirtæki með að minnsta kosti einn starfsmann. Réttargildi þess vegna eftirlits vinnueftirlitsins, slysa eða deilna byggir að miklu leyti á framboði hans og áreiðanleika undirskrifta sem staðfesta hann. Hvernig er hægt að ganga úr skugga um að stafrænt undirritað DUER hefur ekki verið breytt eftir undirskrift? Hvaða verkfæri og aðferðir gera kleift að sannreyna þennan áreiðanleika? Þessi grein leiðbeinir þér skref fyrir skref, frá tæknilegum grundvallaratriðum til bestu framkvæmdar á skipulagsstigi.

Hvers vegna er áreiðanleiki undirskriftar DUER mikilvægur

Réttarleg og eftirlits áhætta

DUER er ekki venjulegt stjórnunarskjal. Ef slyss á vinnustað, starfsmannaaðförvandi sjúkdómur eða dómsmál um launakjör á sér stað, getur það verið framlagað sem sönnun um fyrirbyggjandi stefnu vinnuveitanda. Vinnulög (greinum L.4121-1 og áfram) kveða á um að vinnuveitandi ber ábyrgð á öryggi með endanlegri niðurstöðu, og DUER er formleg endurspeglun á hans mati.

Stafrænni undirskrift sem ekki er hægt að sannreyna eða hefur verið breytt getur leitt til:

• Ógildingar skjalsins sem sönnunargagn fyrir dómstóli ;
• Stjórnsýsluviðurlaga sem geta náð allt að 3.750 € sektum á hvern starfsmann sem ekki er tryggður ;
• Refsilegrar ábyrgðar framkvæmdarstjóra ef alvarlegt slys verður.

Frá lögum nr. 2021-1018 frá 2. ágúst 2021 (lög um heilsu á vinnustað) verður að uppfæra DUER oftar hjá fyrirtækjum með 11 starfsmenn og fleiri, og varðveisla hans er nú framlenguð í 40 ár. Þessi lönga tímabil styrkir þurftina á sterkri og áreiðanlegri stafrænt undirskrift sem hægt er að sannreyna með tímanum.

Munurinn á skönnuðum undirskriftum og hæfum stafrænum undirskriftum

Margir HR- eða HSE-stjórnendur halda að það sé nóg að setja sölukssönnun á PDF. Það er ekki raunin. Undirskrift myndar (staf) tryggir ekki heilindi skjalsins: skrárinn getur verið breytt síðar án þess að skilja eftir greinanlega rakin.

Stafræn undirskrift sem uppfyllir reglugerð eIDAS byggir hins vegar á dulmálskerfum sem bindu óafturkræft auðkenni undirritara við innihald skjalsins á ákveðnum tíma. Allar síðari breytingar, jafnvel ómarktækar — bil bætt við, tala breytt — ógilda undirskriftina og kalla fram viðvörun við sannprófun.

Orðabók stafrænnar undirskriftar aðgreinir þrjú þrep sem eIDAS viðurkennir: einföld stafræn undirskrift (SES), há undirskrift (SEA) og hæf (SEQ). Fyrir skjal eins viðkvæmt og DUER er æskilegt að minnsta kosti háar undirskriftstær, með hæfum stigi fyrir fyrirtæki sem fá tíðar eftirlit.

Konkrét aðferðir til að sannreyna áreiðanleika undirritaðs DUER

Sannprófun með innföddum PDF-lesanda

Aðgengilegasta aðferðin er að opna skjalið í Adobe Acrobat Reader (ókeypis útgáfu) eða samhæfðum PDF-lesanda. Þegar samhæf stafræn undirskrift er til staðar birtist undirskriftarsvæði sjálfkrafa. Það sýnir:

1. Auðkenni undirritara: nafn, fornafn, stofnun og notuð skírteini;
2. Dagsetning og tím undirskriftar, stimplaðir með dulmálskerfum tímasteinum;
3. Heildarstaða: "Undirskriftin er gild" eða "Skjalið var breytt eftir undirskrift";
4. Traustkeðja skírteinis: staðfest af viðurkenndri vottunaraðstöðu.

Þessi sannprófun er tafarlaus og krefst engar áskriftar. Hún er þó takmörkuð: ef skírteini vottunaraðstöðunnar er ekki á lista yfir trausts verkfærilegri forritinu (eins og EUTL-listinn — Evrópsk sambandsandi), getur undirskriftin birst sem "ekki sannprófuð" jafnvel þó að hún sé tæknilega gild.

Sannprófun í gegnum netþjónustu

Framkvæmdastjórn Evrópusambandsins gefur aðgang að DSS Demo Tools (aðgengilegt á ec.europa.eu), sem gerir kleift að hlaða upp undirritaðu skjali og fá staðfestingarskýrslu sem fylgir staðli ETSI EN 319 102. Þessi þjónusta:

• Sannprófar samræmi við snið XAdES, CAdES, PAdES og JAdES;
• Kannar réttmæti skírteinis á undirskriftartíma með OCSP eða CRL samskiptaskilum;
• Myndar skýrslu JSON eða PDF sem lýsir hverju skrefi staðfestingarinnar.

Það eru einnig einkaþjónustur frá þjónustuaðilum sem um getur (QTSP) sem eru skráðir á traustslistum landanna. Í Frönskri gefur ANSSI út lista yfir viðurkennda QTSP. Að leita til einnar þessara þjónusta til að staðfesta umdeilt DUER í deilumálum veitir mun meiri sönnunargetu.

Sannprófun á upphaflegri undirskriftarkerfi

Ef DUER var undirritað með SaaS-lausn eins og Certyneo er sannprófun ennþá beinari. Hvert undirritað skjal myndar undirskriftarskírteini (einnig kallað endurskoðunarskýrsla eða undirskriftarslóð) sem skjalfestir:

• IP-tölu og setu-auðkenni undirritara;
• Dulmálskerfum hash SHA-256 upphaflegs skjals;
• Hæft RFC 3161 tímasteinn;
• Auðkennisprófanir sem notaðar voru (tölvupóstur, SMS OTP, jafnvel sterkt eIDAS auðkenningu).

Þessi skýrsla er sjálf undirritað stafrænt af þjónustuaðilanum, sem gerir hana ófalska og beint nothæfa sem sönnun fyrir dómi. Stafræn undirskriftarlausn fyrir fyrirtæki Certyneo inniheldur þennan kerfi frá tilurð fyrir öll skjöl, þar með talið DUER.

Bestu aðferðir til að tryggja undirskrift og varðveislu DUER

Velja rétta undirskriftastig eftir áhættusnið

Val á undirskriftastigi ætti ekki að vera skilið eftir tilviljun. Fyrir DUER, hér er ráðlögð rök:

| Samhengi | Ábendið stig | Rökstuðningur | |---|---|---| | TPE < 10 starfsmenn, lítil áhætta starfsemi | Há undirskrift (SEA) | Jafnvægi kostnaðar/sönnunargetu | | SME, iðnaðar- eða byggingarsvið | Há undirskrift með QSCD skírteini | Samræmi eIDAS háum stigi | | Stór fyrirtæki, heilsu- eða efnageira | Hæf undirskrift (SEQ) | Gildi sem jafngildir handskrifuðu undirskrift |

Fyrir fyrirtæki heilbrigðisgeirans svarar stafræn undirskrift í heilbrigðismálum viðbótarreglum (HDS, læknalegir GDPR) sem réttlæta kerfisbundið aðgang að hæfri undirskrift.

Tímaseteinn og langtímageymslun

Þar sem lög um heilsu á vinnustað kveða á um 40 ára varðveislu DUER kemur spurning um endingu undirskriftaundirrit fram. Undirskriftarskírteini hefur takmarkaðan gildistíma (venjulega 1 til 3 ár). Eftir þennan tíma gæti traustkjöðinn verið brjótinn.

Lausnin er þjónusta til geymslu með sönnunargildi (þjónusta til varðveislu rafeindagagna eða SAE), sem tengd er langtíma tímasteini samkvæmt staðli ETSI EN 319 122. Þessi kerfi, stundum kallað LTV (Long Term Validation), endurstímasetur skjalið með reglulegu millibili með því að bæta viðbótarhugsanaleikum um heilleika, sem tryggt áreiðanleika þess á meðan lög tímabil.

Ekki rugla saman geymslum og geymslu: einföld skráarþjónn eða skýjadreifing mynda ekki geymslu með sönnunargildi. Aðeins kerfi sem tryggir heilleika, lesanleika og framboð á aðgengi uppfyllir lagaleg skil.

Staðfestingarferli við uppfærslur

DUER verður að vera uppfærð að minnsta kosti einu sinni á ári og við hverja marktæka breytingu á vinnuskilyrðum. Hver ný útgáfa ætti að vera aðgreind frá fyrri útgáfu og ætti að vera undirritað aftur. Strangt ferli felur í sér:

1. Skýr útgáfunumerun: útgáfunúmer, gildistími, listi yfir breytingar sem gerðar voru;
2. Undirskrift á nýrri útgáfu af HSE ábyrgðarmanni og, eftir tilfellum, af fulltrúa starfsmanna (CSE);
3. Varðveisla allra eldri útgáfu í SAE, aðgengileg í lesaðeins hætti;
4. Kerfisbundinn staðfesting á heilleika núverandi útgáfu áður en hún er deilt með vinnueftirlitinu eða heilsugæslustofnunum.

Sjálfvirkni þessara skrefa með vettvangi eins og Certyneo dregur verulega úr áhættu mannalegra mistaka og tryggir stöðuga fylgni við ferlið. Til að meta arðsemi slíkrar lausnar gerir ROI reiknivél stafrænnar undirskriftar kleift að meta hagnað eftir stærð skipulagsmálanna.

Lagalegur rammi sem átt er við undirskrift og staðfestingu DUER

Grundvallarflokkar vinnuréttar

Skylda til að koma á skjali um mat á starfslæknissemi (DUERP) kemur frá grein L.4121-1 vinnulaga, sem skuldbindur vinnuveitandann til að skrá og uppfæra niðurstöður áhættumatsbilanna. Tilskipun nr. 2001-1016 frá 5. nóvember 2001 setti upp þessa formlegu skyldu. Lög nr. 2021-1018 frá 2. ágúst 2021 til að styrkja forvarnir í heilsu á vinnustað hefur lengt varðveisluskyldu til 40 ára og kynnti kröfur um rafræna innörtun hjá heilsugæslustofnunum fyrir fyrirtæki með að minnsta kosti 150 starfsmenn.

Réttargildi stafrænnar undirskriftar

Grein 1366 borgaralegra laga setur fram meginregluna: „Rafeindaskjal hefur sömu sönnunargetu og skjal á pappírsúrræðum, með fyrirvara um að auðkennt sé hægt á þann sem það stafar frá og að það sé komið og varðveitt með aðstæðum sem trygga heilleika þess." Grein 1367 skýrir að stafræn undirskrift „samanstendur af notkun áreiðanlegrar kynnis auðkenningaraðferðar sem tryggir tengsl sitt við athöfnina sem hún tengist".

Reglugerð eIDAS nr. 910/2014 Evrópuþingsins og ráðsins setur upp evrópska traustramma fyrir rafræn viðskipti. Það skilgreinir þrjú þrep undirskrifta (einföld, há, hæf) og setur jafngildi milli hæfrar stafrænnar undirskriftar og handskrifuðu undirskriftar á grein 25§2. Há undirskrift, án þess að njóta þessarar réttarfrumgöngu, er ennþá viðtæk sem sönnunarmáti samkvæmt óaðgreiningu meginreglu gre 25§1.

Tæknilegir viðmiðunarskilir

Snið stafrænnar undirskriftar sem viðurkennd eru fyrir PDF-skjöl eru skilgreind með stöðlum ETSI EN 319 132 (XAdES), ETSI EN 319 122 (CAdES) og ETSI EN 319 142 (PAdES). Til að staðfesta á löngu tímabili skilgreinir staðall ETSI EN 319 102 staðfestingaralgoritmaaðferðir sem samræmast eIDAS.

Hæf rafeindatímasteinn er stjórnað af grein 41 reglugerðar eIDAS og staðli RFC 3161 frá IETF, sem tryggir dagsetningaörugga andráttu óvissum aðilum.

Vernd persónuupplýsinga

DUER inniheldur persónuupplýsingar (auðkenni starfsmanna, upplýsingar um heilsu þeirra og öryggi). Meðhöndlun hans er háð reglugerð GDPR nr. 2016/679. Stafræn undirskrift felur sjálf í sér meðhöndlun auðkennisgagna undirritara. Vinnuveitandi, sem ábyrgðarmaður meðhöndlunar, verður að tryggja að þjónustuaðili undirskriftar sé GDPR-samhæf gagnavinnsluaðili sem hefur DPA (Data Processing Agreement) sem uppfyllir grein 28 GDPR.

Áhætta við ósamræmi

Skortur á DUER eða DUER þar sem undirskrift er ekki andráttugerð útsetur vinnuveitandann fyrir 3.750 € sektum (5. flokkun ósamhverfu) fyrir hvert athugað brot. Í tilfelli alvarlegs slys á vinnustað getur óandrátt DUER leitt til viðurkenningar á óheilbrigði vinnuveitanda, sem veldur hækkun á bótum sem greiddar eru fórnarlambinu og endurgreiðslum frá CPAM.

Konkrét notkunartilvik

Iðnaðarverktaki frammi fyrir eftirlit vinnueftirlitsins

Lítil og meðalstærk iðnaðarfyrirtæki með 85 starfsmenn, sem starfrækt framleiðslu málm hluta, tekur á sig óvænt heimsóknir vinnueftirlitsins eftir slys á vél. Eftirlitskonan biður um að sjá DUER á gildum tíma slyssins. Ábyrgðarmaður HSE kynnir PDF-skrá sem var undirritað stafrænt með undirskriftarkerfi fyrirtækisins.

Takmarðar á endurskoðunarskírteini sem fylgir skjalinu getur eftirlitskonan sannprófað í rauntíma: dagsetning og tím undirskriftar (fyrir slyssið), auðkenni undirritara (þar sem framkvæmdastjóri leyfilegur), heilleika skjalsins (hash SHA-256 óbrotinn), og samræmi undirskriftastigs (há með hæfu skírteini). Fyrirtækið er fær um að sýna fram á að áhættan væri auðkennd og að úrræði til bóta væru áætluð. Þessi mappa forðast hæfu ábyrgðarinnar. Samkvæmt gögnum ársskýrslu CNAM um slysatöl draga fyrirtæki með kraftmikla skjalavörslu draga úr útsetningu sinni fyrir endurgreiðsluaðgerðum CNAM um 30 til 45 prósent.

HR ráðgjafarskrifstofa sem stýrir margra viðskiptamanna DUER

HR-ráðgjöf með 18 starfsmönnum aðstoðar 40 TPE og SME viðskiptavinum við ritun og árleg uppfærslu á DUER. Fram til þessa voru skjöl send með tölvupósti sem óskönnuð PDF, síðan undirritaðir handvirkt og endurkynnt sem skönnuðu.

Eftir flutning til SaaS stafræns undirskriftarlausnar er hvert DUER undirritað á netinu af yfirmanninum viðskiptavinar á innan við 3 mínútum. Skrifstofa hefur miðstýrðan stjórnborð sem gerir kleift að sannreyna á hvaða tíma stöðu hvers skjals: undirritað, tímasett, geymt. Ef viðskiptamaður spyrst um gildi eldri útgáfu getur sannprófun áreiðanleika tekið innan við 30 sekúndur. Tíminn sem ætlaður er til beiðna og skjalastjórnunar hefur minnkað um um 60 prósent, samkvæmt sambærilegum viðmiðum sem birt eru af HR-ráðgjafarsamtökum.

Hópur heilbrigðisstofnana sem stýra fjölári DUER

Einkaspítali með um 600 rúm sem samanstendur af nokkrum heilbrigðisstofnunum og öldrunarheimilum verður að stýra sértækri DUER fyrir hverja sínu stað, þar með talið efna-, lífvísindi og geðheilbrigðiáhættu. 40 ára löglegt varðveislutímabil og margskopalegi undirritarar (stjórnendur staða, vinnulæknar, fulltrúar CSE) gera eftirlit sérstaklega flókið.

Hópurinn notar hæf stafræn undirskriftarlausn með varðveislu með sönnunargildi og langtíma tímasteinum. Hver útgáfa DUER er dulmálskerfum sifóð og endurstímasett sjálfkrafa á 3ja ára fresti til að halda traustkjöðunni. Ef úttektarfélag eða deilumál á sér stað getur hvaða söguleg útgáfa sem er dregin út með fullri staðfestingarskýrslu. Þessi fyrirkomulag hefur gert kleift að draga úr um 70 prósent tíma undirbúnings gagna við ytri athuganir, miðað við gamla blönd pappír-stafrænna geymslukerfis.

Niðurstöður

Sannprófun á áreiðanleika undirritaðs skjals fyrir einstak áhættumatsskjal er ekki valraunargangskref: það er réttarlegasta og skipulagsleg nauðsyn. Milli skyldna sem stafar af vinnulögum, 40 ára varðveislutímabil sem áskilin var frá 2021 og áhættuatriði ábyrgðar ef slys verður, aðeins traust stafræn undirskrift — ásamt áreiðanlegum sannprófunarverkfærum — tryggir fulla sönnunargetu DUER.

Hvort sem þú farir í gegnum PDF-lesanda, evrópska staðfestingarþjónustu eða beint í gegnum undirskriftarkerfi þitt er aðalatriðið að samþætta þessa staðfestingu í skjalfestum og endurtekjanlegum ferli.

Certyneo gerir þér kleift að undirrita, sannreyna og geyma DUER í fullri eIDAS samræmi, með fullri endurskoðunarslóð og innbyggðri geymslum með sönnunargildi. Búðu til ókeypis reikning á Certyneo og tryggðu þekkingu réttargildis forvarnargagna þinna í dag.