Patikrinti pasirašyto dokumento autentiškumą: DUER

Unikalus Rizikos Vertinimo Dokumentas (DUER) yra svarbiausias patikimas šaltinis sveikatos ir saugumo darbe atitiktims Prancūzijoje. Jis buvo nustatytas dekretu Nr. 2001-1016, priimtu 2001 m. lapkričio 5 d., ir yra privalomas kiekvienai įmonei nuo pirmo darbuotojo. Tačiau jo teisinė vertė, jei atlikus Darbo inspekto tikrinimą, įvykus nelaimei ar iškilus ginčui, daugiausia priklauso nuo jo sekimo ir parašus patvirtinančių parašų autentiškumo. Kaip įsitikinti, kad skaitmeniniu būdu pasirašytas DUER nebuvo pakeistas po pasirašymo? Kokie įrankiai ir metodai leidžia patikrinti šį autentiškumą? Šis straipsnis jus vadovaus žingsnis po žingsnio, nuo techninių pagrindų iki geriausių organizacinių praktikų.

Kodėl DUER pasirašo autentiškumas yra toks kritiškas

Teisiniai ir reguliaciniai tikslai

DUER nėra paprastas administracinis dokumentas. Nelaimės darbe, profesinės ligos ar darbo ginčo atveju jis gali būti pateiktas byloje kaip darbdavio prevencijos politikos įrodymas. Darbo kodeksas (1 ir sekantys straipsniai L.4121-1) nustato darbdaviui saugumo garantijų įsigijimo pareigą, o DUER yra formalus jo vertinimo įrodymas.

Negreitina elektroninio parašo ar pakeisto parašo gali sukelti:

• Dokumento negaliojimą kaip įrodymą teisme;
• Administracinės sankcijos, kurios gali siekti 3 750 € baudos už kiekvieną neapdengtą darbuotoją;
• Verslo vadovo baudžiamosios atsakomybės rizika nelaimės atveju.

Nuo 2021 m. rugpjūčio 2 d. priimto Nr. 2021-1018 įstatymo (Sveikatos darbe įstatymas), DUER atnaujinimas turi būti dažnesnis įmonėse su 11 ir daugiau darbuotojų, o jo saugojimas dabar pratęstas iki 40 metų. Šis ilgas laikotarpis sustiprina elektroninio parašo, kuris yra patikimas ir patikrinamas keliose žmonių kartose, reikalavimą.

Skirtumas tarp nuskaitytojo parašo ir kvalifikuoto elektroninio parašo

Daugelis HR ar HSE vadybininkų mano, kad nuskaitytą rankraštinį parašą ant PDF pakankamai. To nėra. Parašo vaizdas (nuskaitymas) negarantuoja dokumentų integralumo: failas gali būti pakeistas vėliau be aptinkamos žymės.

Elektroninis parašas, atitinkantis eIDAS reglamentą, priešingai, remiasi kriptografijos mechanizmu, kuris neatšaukiamai susieja pasirašytojo tapatybę su dokumento turiniu tam tikru momentu. Bet koks vėlesnis pakeitimas, net ir nežymus — pridėtas tarpas, pakeistas skaitmuo — panaikina parašą ir suaktyvina perspėjimą patikrinimo metu.

Elektroninio parašo žodynas skiria tris lygius, kuriuos pripažįsta eIDAS: paprastasis elektroninis parašas (SES), išplėstinis (SEA) ir kvalifikuotas (SEQ). Tokiam jautriam dokumentui kaip DUER, minimalus yra išplėstinis lygis, o kvalifikuotas lygis būtų geriau tinkamas įmonėms, kurias dažnai tikrina.

Konkretūs metodai, kaip patikrinti DUER pasirašo autentiškumą

Patikrinimas per natyviųjį PDF skaitytuvą

Prieiniamiausias metodas yra atidariti dokumentą naudojant Adobe Acrobat Reader (nemokamą versiją) arba suderimą PDF skaitytuvą. Kai yra atitinkamas elektroninis parašas, automatiškai atsiranda parašo skydelis. Jame nurodoma:

1. Pasirašytojo tapatybė: vardas, pavardė, organizacija ir naudojamas sertifikatas;
2. Parašo data ir laikas, išlaistyta per kriptografinį laiko žymę;
3. Integralumo būsena: „Parašas yra galiojantis" arba „Dokumentas buvo pakeistas po parašo";
4. Sertifikato pasitikėjimo grandinė: patikrinta atitinkamos sertifikatų įstaigos.

Šis patikrinimas yra momentinis ir nereikalauja jokios prenumeratos. Tačiau jis turi ribotumų: jei sertifikato išdavimo įstaigos sertifikatas nėra programinės įrangos pasitikėjimo sąraše (pvz., EUTL sąrašas), parašas gali pasirodyti kaip „nepatikrintas", net jei jis techniškai galiojantis.

Patikrinimas per internetinius patvirtinimo paslaugas

Europos Komisija suteikia DSS Demo Tools paslaugą (pasiekiamą adrese ec.europa.eu), leidžiančią įkelti pasirašytą dokumentą ir gauti patvirtinimo ataskaitą, atitinkančią ETSI EN 319 102 standartą. Ši paslauga:

• Patikrina atitiktį XAdES, CAdES, PAdES ir JAdES formatams;
• Kontroliuoja sertifikato galiojimą parašo metu naudojant OCSP ar CRL protokolus;
• Sukuria JSON arba PDF ataskaitą, detaliai aprašydama kiekvieną patvirtinimo etapą.

Taip pat yra privačios paslaugos, kurias siūlo kvalifikuoti pasikliautini paslaugų teikėjai (QTSP), įtraukti į nacionalinių pasikliautimų sąrašus. Prancūzijoje ANSSI skelbia akredituotų QTSP sąrašą. Vieno iš šių paslaugų pasinaudojimas DUER patikrinimui ginče suteikia žymiai didesnę įrodinimo jėgą.

Patikrinimas per originalios pasirašymo platformą

Jei DUER buvo pasirašytas naudojant SaaS sprendimą, tokį kaip Certyneo, patikrinimas yra dar tiesioginis. Kiekvienas pasirašytas dokumentas sukuria parašo sertifikatą (dar vadinamą audito ataskaita ar parašo šaltiniu), kuriame archyvuojama:

• Pasirašytojo IP adresas ir sesijos identifikatorius;
• Originalaus dokumento kriptografinis heš SHA-256;
• Kvalifikuotas RFC 3161 laiko žymė;
• Naudota tapatybės patikra (el. paštas, SMS OTP, ar net stipri eIDAS autentifikacija).

Ši ataskaita yra pati elektroniškai pasirašyta paslaugos teikėjo, o tai ją padaro nefalsifikuojamą ir tiesiogiai panaudojamą kaip teisminį įrodymą. Certyneo elektroninio pasirašymo sprendimas įmonėms integruoja šį mechanizmą iš esmės visiems dokumentams, įskaitant DUER.

Geriausia praktika, kaip saugoti DUER parašą ir laikymą

Tinkamo parašo lygio pasirinkimas pagal rizikos profilį

Parašo lygio pasirinkimas neturėtų būti paliktas atsitiktinumui. DUER atveju čia yra rekomenduojamas samprotavimas:

| Kontekstas | Rekomenduojamas lygis | Pagrindimas | |---|---|---| | TVP < 10 darbuotojų, mažai rizikinga veikla | Išplėstinis parašas (SEA) | Balanso kaštai/įrodinimo vertė | | KMO, pramonės ar statybos sektorius | Išplėstinis parašas su QSCD sertifikatu | Aukšta eIDAS atitiktis | | Didelė įmonė, sveikatos ar chemijos sektorius | Kvalifikuotas parašas (SEQ) | Vertė ekvivalentiška rankraštiniam parašui |

Sveikatos sektoriaus įmonėms, elektroninis parašas sveikatos sistemoje atitinka papildomus reguliacinius reikalavimus (HDS, medicininė GDPR), kurie sistematiškai pateisina kvalifikuoto parašo naudojimą.

Laiko žymė ir ilgalaikis archyvavimas

Kadangi Sveikatos darbe įstatymas reikalauja DUER saugoti 40 metų, parašų galiojimo laiko klausimas iškyla praktiškai. Parašo sertifikatas turi ribotą galiojimo laikotarpį (paprastai 1-3 metai). Po šio laikotarpio pasitikėjimo grandinė gali būti sulaužyta.

Sprendimas yra archyvavimo paslauga su įrodimu (elektroninio archyvavimo paslauga ar SAE), susieta su ilgalaikiu laiko žymu pagal ETSI EN 319 122 standartą. Šis mechanizmas, kartais vadinamas LTV (Long Term Validation), periodiškai perdaruoja dokumentą, pridėdamas papildomus integralumo įrodymus, garantuojant jo patikrinimą visą teisinį laikotarpį.

Nepainiokite archyvavimo ir saugojimo: paprastas failų serveris ar debesų pogrupis nesudaro įrodinimo vertės archyvavimo. Tik sistema, garantuojanti vientisumą, skaitomumą ir prieigos sekimą, atitinka teisinius reikalavimus.

Patikrinimo procesas atnaujinant versijas

DUER turi būti atnaujintas bent kartą per metus, ir kiekvieną kartą, kai iš esmės pasikeičia darbo sąlygos. Kiekviena nauja versija turi skirtis nuo ankstesnės ir turėti naują parašą. Rigorous procesas apima:

1. Aiškų versijų žymėjimą: versijos numerį, įsigaliojimo datą, atliktų pakeitimų sąrašą;
2. Naujos versijos pasirašymą HSE vadybininko ir, kai reikalinga, personalo atstovo (CSE);
3. Visų ankstesnių versijų saugojimą SAE, prieinamame tik skaityti;
4. Sistematinį dabartinės versijos integralumo patikrinimą prieš ją bendrinant su Darbo inspekcija ar sveikatos paslaugomis.

Šių žingsnių automatizavimas per Certyneo tokią platformą dešimtį sumažina žmogaus klaidos riziką ir garantuoja tęstinę proceso atitiktį. Siekiant nustatyti elektroninio parašo investicijos grąžą, elektroninio parašo ROI skaičiuotuvas leidžia įvertinti pelną pagal jūsų organizacijos dydį.

Teisinė sistema, taikoma DUER parašui ir patikrinimui

Pagrindžiantys tekstai darbo teisėje

Pareiga nustatyti Unikalų Profesinės Rizikos Vertinimo Dokumentą (DUERP) kyla iš Darbo kodekso 1 straipsnio L.4121-1, kuris nustato darbdaviui pareigą perrašyti ir atnaujinti rizikos vertinimo rezultatus. Dekretas Nr. 2001-1016 iš 2001 m. lapkričio 5 d. nustatė šią formalią pareigą. 2021 m. rugpjūčio 2 d. priimtas 2021-1018 įstatymas, skelbęs keisti sveikatos darbo prevencijos taisykles, pratęsė saugojimo pareigas iki 40 metų ir pristatė dematerializuoto DUER pateikimo reikalavimus sveikatos darbo paslaugoms įmonėms su mažiausiai 150 darbuotojų.

Elektroninio parašo teisinė vertė

Pilietinio kodekso 1366 straipsnis nustato principą: „Elektroninis raštas turi tokią pat įrodinimo galią kaip raštas popierinėje laikmenoje, jei tik gali būti tinkamai identifikuota asmenybė, iš kurios jis kilęs, ir jis buvo sudarytas bei saugomas tokiomis sąlygomis, kurios garantuoja jo vientisumą." 1367 straipsnis paaiškina, kad elektroninis parašas „tai asmeninio identifikavimo būdo naudojimas, kuris garantuoja jo ryšį su aktu, prie kurio jis prisegtas."

EIDASREG No 910/2014 Europos Parlamento ir Tarybos nustato pasitikėjimo elektroninėmis operacijomis Europoje pamatą. Jis nurodo tris parašų lygius (paprastasis, išplėstinis, kvalifikuotas) ir nustato ekvivalentiškumą tarp išplėstinio elektroninio parašo ir rankraštinio parašo 25 straipsnio 2 dalyje. Išplėstinis parašas, nė neatkariausi šios teisinės prielaidos, lieka priimtinas kaip įrodinimo priemonė pagal 25 straipsnio 1 dalies nediskriminavimo principą.

Teminės nurodytos normos

PDF dokumentų elektroninio parašo formatai yra nustatyti ETSI EN 319 132 (XAdES), ETSI EN 319 122 (CAdES) ir ETSI EN 319 142 (PAdES) normomis. Ilgalaikiam patvirtinimui ETSI EN 319 102 norma nustato algoritmo patikrinimo procedūras, atitinkančias EIDAS.

Kvalifikuota elektroninė laiko žyma yra apibrėžta EIDAS Reglamento 41 straipsnio ir IETF RFC 3161 normos, garantuojančios šešėlinga datą, priešinamą trečiosioms šalims.

Asmeninių duomenų apsauga

DUER apima asmeninius duomenis (darbuotojų tapatybę, informaciją apie jų sveikatą ir saugumą). Jo apdorojimas taikomas GDPR reglamentui Nr. 2016/679. Elektroninis parašas pats reikalauja asmeninės identifikavimo duomenų apdorojimo. Darbdavys kaip atsakingas duomenis tvarkantis subjektas turi užtikrinti, kad parašo teikėjas yra GDPR suderintas duomenų tvarkytojo turėtojas su DPA (duomenų tvarkymosi sutartimi), atitinkančia GDPR 28 straipsnį.

Risikos, jei neatitinka reikalavimų

Nesant DUER ar DUER, kurio parašas nėra priešinamas, darbdavys patiria 3 750 € baudą (5-oji nusikaltimų klasė) už kiekvieną aptiktą pažeidimą. Nelaimės darbe atveju, jei DUER neatitinka, gali būti pripažinta darbdavio nemažai kaltė, dėl kurios padidintos kompensacijos aukai ir CPAM grąžinimo ieškiniai.

Praktiniai naudojimo scenarijai

Gamybos paslaugų teikėjas, susiduriąs su Darbo inspekto tikrinimais

Gamybos įmonė su 85 darbuotojais, gaminama metalines dalis, yra nenumatytai tikrinama Darbo inspekto metalu nelaimės atveju. Inspektorė prašo pamatyti DUER, galiojusi nelaimės atveju. HSE vadybininkas pateikia elektroniškai pasirašytą PDF failą per įmonės parašo platformą.

Dėka prie dokumento pritvirtinto audito sertifikato inspektorė gali realiame laike patikrinti: parašo datą ir laiką (ankstesnę nei nelaimę), pasirašytojo tapatybę (įgaliotą gamybos direktorių), dokumento vientisumą (nepakitęs SHA-256 heš) ir parašo lygio atitiktį (išplėstinis su kvalifikuotu sertifikatu). Įmonė gali įrodyti, kad rizika buvo identifikuota ir dalytos koreguojamosios priemonės. Šis dossier išvengia nemažos kaltės klasifikacijos. Pagal CNAM metinės sinistiškų ataskaitą duomenis, įmonės, turinčios tvirtas dokumentų sekimo sistemas, sumažina savo grąžinimo ieškinių riziką 30-45 proc.

HR konsultavimo kabinetas, valdantis daugybės klientų DUER

18 bendradarbių turinčias HR konsultavimo kabinetą padeda keturiasdešimt TPE ir KMO klientų rašyti ir kasmet atnaujinti savo DUER. Iki šiol dokumentai buvo siunčiami el. paštu kaip nepasirašyti PDF, tada buvo rankiniu būdu pasirašyti ir grąžinti nuskaitytus.

Persikėlus į SaaS elektroninio parašo sprendimą, kiekvienas DUER yra internetais pasirašytas kliento vadovo mažiau nei 3 minutomis. Kabinetas turi centrinę kontrolės lentelę, leidžiančią bet kuriuo metu patikrinti kiekvieno dokumento būklę: pasirašytas, laiko žyma, archyvuotas. Jei klienatas klausti apie ankstesnės versijos galiojimą, autentiškumo patikrinimas trunka mažiau nei 30 sekundžių. Laikas, skirtas priminimams ir dokumentų popieriaus valdymui, sumažėjo apie 60 proc., pasak palyginamiems sektoriaus žengiamiems šaltiniams, publikuotiems HR konsultavimo asociacijų.

Ligonių sąrašo grupiavimas, valdantis daugelę metų DUER

Privati ligoninių grupė su apie 600 lovomis, kurioje yra keletas medicinos paslaugų ir APSK-ų įstaigų, turi valdyti tam tikrus DUER kiekvienai savo vietai, apimančius cheminius, biologinius ir psichosocialinius rizikus. 40 metų teisinės saugojimo trukmės ir daugybės pasirašytojų (vietų direktoriai, darbo sveikatos gydytojai, CSE atstovai) reikalavimas daro sekimą ypač sudėtingą.

Grupiavimas diegja kvalifikuoto elektroninio parašo sprendimą su įrodytu archyvavimu ir ilgalaikiu laiko žymu. Kiekviena DUER versija yra kriptografiškai užrakinta ir perdaryta automatiškai kas 3 metus, kad būtų išlaikyta pasikliautimų grandinė. ARS audito ar ginčo atveju bet kuri istoriniu versija gali būti ištraukta su jos visą patikrinimo ataskaita. Ši organizacija leido beveik 70 proc. sumažinti laiką paruošiant dokumentus išorinių inspektų metu, lyginant su senu popieriaus-skaitmeninio hibridinio archyvavimo sistemos.

Išvada

DUER pasirašo autentiškumo patikrinimas nėra neprivaloma formalybė: tai yra teisinė ir organizacinė būtinybė. Pagal Darbo kodeksą kylančius reikalavimus, 40 metų saugojimo trukmę, nuo 2021 m. nustatytą, ir atsakomybės rizikas nelaimės atveju, tik tvirtas elektroninis parašas — kartu su patikimais patikrinimo įrankiais — garantuoja pilną jūsų DUER įrodinimo galią.

Nesvarbu, ar naudojate PDF skaitytuvą, Europos patvirtinimo paslaugą, ar tiesiai iš savo parašo platformos, svarbu yra integruoti šį patikrinimą į dokumentuotą ir iš naujo pasikartojamą procesą.

Certyneo jums leidžia pasirašyti, patikrinti ir archyvuoti DUER jūsų EIDASREG atitiktimi, su visapuse audito šaltiniu ir įrodyta archyvavimo integravimu. Nemokamai sukurkite sąskaitą „Certyneo" ir šiandien saugokite jūsų prevencijos dokumentų teisinę vertę.