Pārbaudīt parakstītā dokumenta autentiskumu: DUER

Vienīgais Riska Novērtēšanas Dokuments (DUER) ir pamatdokuments darbinieku drošības un veselības atbilstībai Francijā. To noteica dekrets Nr. 2001-1016 no 2001. gada 5. novembra, un tas ir obligāts jebkuram uzņēmumam, kurā ir vismaz viens darbinieks. Tomēr tā juridiskā vērtība darba inspekcijas pārbaudēs, nelaimes gadījuma gadījumā vai strīdos lielā mērā balstās uz tā izsekojamību un parakstu autentiskumu, kas to apstiprina. Kā pārliecināties, ka cipariski parakstīts DUER nav mainīts pēc parakstīšanas? Kādi rīki un metodes ļauj pārbaudīt šo autentiskumu? Šis raksts jūs vada soli pa solim, sākot no tehnisko pamatu līdz organizatoriskajām labajām praksēm.

Kāpēc DUER paraksta autentiskums ir kritisks

Juridiskās un normatīvās darbības

DUER nav parasts administratīvs dokuments. Darba nelaimes gadījuma, profesionālas slimības vai tirdzniecības strīda gadījumā tas var tikt iesniegts pierādījumam par darba devēja profilakses politiku. Darba likumkodekss (raksti L.4121-1 un turpmāk) nosaka darba devējam drošības garantijas pienākumu, un DUER ir formāls viņa novērtēšanas pierādījums.

Nepārbaudāma vai mainīta elektroniska paraksta dēļ var rasties:

• Dokumenta nullitāte kā pierādījums tiesā;
• Administratīvas sankcijas, kas var sasniegt 3 750 € naudassodu uz darbinieku;
• Uzņēmuma vadības penālas atbildības iespējamība nozīmīgas negadības gadījumā.

Kopš 2021. gada 2. augusta likuma Nr. 2021-1018 (Darba Veselības likums), DUER atjauninājumu biežums pieauga uzņēmumos ar 11 un vairāk darbiniekiem, un tā saglabāšana tagad ir pagarināta uz 40 gadiem. Šis garais termiņš pastiprina vigoroza un pārbaudāma elektroniska paraksta nepieciešamību.

Atšķirība starp skenētu parakstu un kvalificētu elektronisku parakstu

Daudzi HR vai HSE pārvaldnieki domā, ka rokraksta paraksta pievienošana skenētam PDF ir pietiekama. Tas nav pareizi. Paraksta attēls (skenējums) negarantē dokumenta integritāti: failu var mainīt vēlāk bez detektējama izsekošanas.

Elektronisks paraksts, kas atbilst eIDAS regulācijai, turpretī balstās uz kriptogrāfisku mehānismu, kas neatgriezeniski saista parakstītāja identitāti ar dokumenta saturu noteiktā brīdī. Jebkura vēlāka maiņa, pat minimāla — pievienotā vieta vai mainīts skaitlis — anulē parakstu un izraisa brīdinājumu pārbaudīšanas laikā.

Elektroniskā paraksta glosārs nosaka trīs eIDAS atzītos līmeņus: vienkāršo elektronisku parakstu (SES), papildinātais (SEA) un kvalificēto (SEQ). Tādam jūtīgam dokumentam kā DUER, ir ieteicams vismaz papildināto līmeni, vēlamo — kvalificēto līmeni uzņēmumiem, kas pakļauti bieži pārbaudēm.

Konkrētās metodes DUER autentiskuma pārbaudei

Pārbaudīšana, izmantojot iedzīvotāju PDF lasītāju

Visvieglākā metode ir atvērt dokumentu Adobe Acrobat Reader (bezmaksas versija) vai saderīgā PDF lasītājā. Ja klātesošs atbilstošs elektronisks paraksts, automātiski tiek parādīts paraksta panelis. Tas norāda:

1. Parakstītāja identitāti: vārds, uzvārds, organizācija un izmantots sertifikāts;
2. Parakstīšanas datumu un laiku, kas apstiprināts ar kriptoogrāfisku laikspiedolu;
3. Integritātes statusu: "Paraksts ir derīgs" vai "Dokuments tika mainīts pēc parakstīšanas";
4. Sertifikāta pauveriblīguma ķēdi: apstiprinātu ar atzītu sertifikātu iestādi.

Šī pārbaudīšana ir tūlītēja un neprasa jebkādu abonementu. Tomēr tā ir ierobežota: ja sertifikātu emitentas iestādes sertifikāts nav programmatūras uzticamības sarakstā (piemēram, EUTL sarakstā — Eiropas Savienības uzticamo sarakstu), paraksts var parādīties kā "nepārbaudīts", pat ja tas ir tehniski derīgs.

Pārbaudīšana, izmantojot tiešsaistes validācijas pakalpojumus

Eiropas Komisija liek pieejamam DSS Demo Tools pakalpojumam (pieejams ec.europa.eu), kas ļauj augšupielādēt parakstītu dokumentu un iegūt validācijas atskaiti, kas atbilst ETSI EN 319 102 standartam. Šis pakalpojums:

• Pārbauda XAdES, CAdES, PAdES un JAdES formātu atbilstību;
• Kontrolē sertifikāta derīgumu parakstīšanas brīdī, izmantojot OCSP vai CRL protokolus;
• Ģenerē JSON vai PDF atskaiti, kas detalizē katru validācijas soli.

Ir arī privāti pakalpojumi, ko piedāvā kvalificēti paustlapstības pakalpojumu sniedzēji (QTSP), kas norādīti nacionālajos uzticamības sarakstos. Francijā ANSSI publicē akreditēto QTSP sarakstu. Vēršanās pie viena no šiem pakalpojumiem DUER validācijai strīdā nodrošina daudz lielāku pierādījumu spēku.

Pārbaudīšana, izmantojot sākotnējās parakstīšanas platformu

Ja DUER tika parakstīts, izmantojot SaaS risinājumu, piemēram, Certyneo, pārbaudīšana ir vēl tiešāka. Katrs parakstīts dokuments ģenerē paraksta sertifikātu (saukts arī par audita pārskatu vai paraksta pēdu), kas arhivē:

• Parakstītāja IP adresi un sesijas identifikatoru;
• Dokumenta oriģināla kriptoogrāfisko hash SHA-256;
• Kvalificēto RFC 3161 laikspiedolu;
• Identitātes pierādījumus (e-pasts, SMS OTP, pat stipru eIDAS autentifikāciju).

Šis pārskats pats ir elektronisks parakstīts ar pakalpojuma sniedzēju, kas to padara nepārvērstamu un tieši izmantojamu kā pierādījumu tiesā. Elektroniska paraksta risinājums uzņēmumiem Certyneo integhiera šo mehānismu iedzimti visiem dokumentiem, ieskaitant DUER.

Labās prakses DUER parakstīšanas un saglabāšanas drošumam

Pareizā parakstīšanas līmeņa izvēle atbilstoši riska profilam

Parakstīšanas līmeņa izvēle nedrīkst tikt atstāta gadījumam. DUER parakstam šeit ir ieteiktā loģika:

| Konteksts | Ieteiktais līmenis | Pamatojums | |---|---|---| | TPE < 10 darbinieki, mazs riska līmenis | Papildinātais paraksts (SEA) | Līdzsvars izmaksu un pierādījumu spēkam | | MG, rūpnieciskais vai celtniecības nozares sektors | Papildinātais paraksts ar QSCD sertifikātu | Augsts eIDAS atbilstības līmenis | | Liels uzņēmums, veselības vai ķīmijas sektors | Kvalificēts paraksts (SEQ) | Vērtība ekvivalenta rokraksta parakstam |

Uzņēmumiem veselības nozarē, elektroniskais paraksts veselības aprūpē atbilst papildu normatīvajiem ierobežojumiem (HDS, mediciniskais GDPR), kas sistemātiski pamatojo kvalificēta paraksta lietošanu.

Laikspiedols un ilgtermiņa arhivēšana

Darba Veselības likuma pienākums saglabāt DUER 40 gadus rada jautājumu par parakstu dzīves ilgumu. Paraksta sertifikātam ir ierobežota derīguma perioda (parasti 1-3 gadus). Pēc šī laika pauveriblīguma ķēde var tikt salauzta.

Risinājums ir pakalpojums arhivēšanai ar pierādīšanas vērtību (elektroniskā arhivēšanas pakalpojums vai SAE), apvienots ar ilgtermiņa laikspiedolu saskaņā ar ETSI EN 319 122 standartu. Šis mehānisms, dažkārt saukts par LTV (Long Term Validation), periodiski relaiuzhorodā dokumentu, pievienojot papildu integritātes pierādījumus, garantējot tā pārbaudāmību visu likumisko termiņu.

Nejauciet arhivēšanu un glabāšanu: vienkāršs failu serveris vai mākoņa diskā neuzbūvē arhivēšanu ar pierādīšanas vērtību. Tikai sistēma, kas garantē integritāti, nolasāmību un piekļuves izsekošanu, atbilst juridiskajām prasībām.

Pārbaudīšanas process atjauninājumu laikā

DUER ir jāatjaunina vismaz reizi gadā, un katra nozīmīga darba apstākļu izmaiņa. Katra jauna versija ir jāatšķir no iepriekšējās un ir jāparaksta no jauna. Stingra procesa ietvaros ietilpst:

1. Skaidra versiju apzīmēšana: versijas numurs, stāšanās spēka datums, veikto izmaiņu saraksts;
2. Jaunās versijas parakstīšana ar HSE vadītāju un, ja nepieciešams, ar personāla pārstāvnieku (CSE);
3. Visu iepriekšējo versiju saglabāšana SAE, pieejamas tikai lasīšanai;
4. Sistemātiska pārbaudīšana par pašreizējās versijas integritāti pirms jebkāda koplietošanas ar Darba inspekciju vai darba veselības pakalpojumiem.

Šo procesu automatizācija, izmantojot platformu kā Certyneo, būtiski samazina cilvēka kļūdas risku un garantē nepārtrauktu procesa atbilstību. Lai novērtētu šāda risinājuma ROI, elektroniskā paraksta ROI kalkulators ļauj aprēķināt ieguvumus atbilstoši jūsu organizācijas lielumam.

Piemērojamais juridiskais rāmis parakstīšanai un DUER pārbaudīšanai

Darbaspēka likuma pamatdokumenti

Pienākums izveido Vienīgo Profesionālo Riska Novērtēšanas Dokumentu (DUERP) izriet no Darbaspēka kodeksa raksta L.4121-1, kas nosaka darba devējam pienākumu pierakstīt un atjaunināt riska novērtēšanas rezultātus. Dekrets Nr. 2001-1016 no 2001. gada 5. novembra noteica šo formālo pienākumu. Likums Nr. 2021-1018 no 2021. gada 2. augusta par profilaksi darba veselībā ir paplašinājis saglabāšanas pienākumus uz 40 gadiem un ieviesis demateriālas nodošanas prasības pakalpojumiem ar vismaz 150 darbinieku uzņēmumiem.

Elektroniskā paraksta juridiskā vērtība

Civilo kodeksu 1366. raksts nosaka principu: "Elektroniskajam rakstam ir tāda pati pierādīšanas spēks kā parastam rakstam uz papīra, ar nosacījumu, ka var pamatoti identificēt personu, no kuras tas izriet, un tas ir izdarīts un saglabāts apstākļos, kas garantē tā integritāti." Raksts 1367 precizē, ka elektroniskais paraksts "sastāv no uzticama identifikācijas procesa izmantošanas, kas garantē tā saistību ar dokumentu".

eIDAS Regula Nr. 910/2014 Eiropas Parlamenta un Padomes nosaka Eiropas pauveriblības rāmi elektroniskajām transakcijām. Tas nosaka trīs parakstu līmeņus (vienkāršu, papildinātu, kvalificētu) un nosaka ekvivalenci starp kvalificēto elektronisko parakstu un rokraksta parakstu 25. panta 2. punktā. Papildinātais paraksts, neieguvis šo juridisku presumpciju, joprojām ir pieņemams kā pierādījuma veids saskaņā ar 25. panta 1. punkta nediskriminācijas principu.

Tehniskā normatīvā atsauce

Elektroniski parakstītu PDF dokumentu formāti ir definēti ar ETSI EN 319 132 (XAdES), ETSI EN 319 122 (CAdES) un ETSI EN 319 142 (PAdES) standartiem. Ilgtermiņa validācijai, ETSI EN 319 102 norma nosaka validācijas algoritma procedūras atbilstoši eIDAS.

Kvalificētais elektroniskais laikspiedols ir regulēts eIDAS Regulas 41. panta un IETF RFC 3161 normas, garantējot noteiktu datumu, kas pretrunā ar trešajām personām.

Personisko datu aizsardzība

DUER satur personiskos datus (darbinieku identitātes, informācija par viņu veselību un drošību). Tā apstrāde pakļauta GDPR regulācijai Nr. 2016/679. Elektroniskais paraksts pats par sevi ietver personaskara datu apstrādi. Darba devējs, kā atbildīgais par apstrādi, ir jāpārliecinās, ka parakstīšanas pakalpojuma sniedzējs ir GDPR-saderīgs pārapstrādātājs ar DPA (Datu apstrādes nolīgums), kas atbilst GDPR 28. pantam.

Riska gadījumā, ja nepildās

DUER neesamība vai DUER, kura paraksts nav pieņemams, izstāj darba devēju naudassodai 3 750 € (5. klase pārkāpuma) par katru konstatēto pārkāpumu. Nozīmīga nelaimes gadījuma gadījumā, ja DUER nav pieņemams, var tikt atzīta darba devēja neatvainojama kļūda, kas izraisa kompensācijas paaugstināšanu upurim un CPAM regresa darbību.

Konkrēti lietošanas scenāriji

Rūpniecības pakalpojuma sniedzējs Darba inspekcijas pārbaudē

MG rūpniecības uzņēmums ar 85 darbiniekiem, kas operē metāla detaļu ražošanā, nonāk Darba inspekcijas neieredzinātā vizītes objektā pēc mašīnas nelaimes gadījuma. Inspektore lūdz aplūkot DUER, kas bijis spēkā nelaimes gadījuma datumā. HSE vadītājs parāda PDF failu, kas parakstīts elektronisks, izmantojot uzņēmuma parakstīšanas platformu.

Pateicoties pievienotajam audita sertifikātam, inspektore var pārbaudīt reāllaikā: parakstīšanas datumu un laiku (pirms nelaimes gadījuma), parakstītāja identitāti (autorizēts ražošanas vadītājs), dokumenta integritāti (SHA-256 hash intakts) un parakstīšanas līmeņa atbilstību (papildinātais ar kvalificētu sertifikātu). Uzņēmums spēj pierādīt, ka risks tika identificēts un izlabošanas pasākumi tika plānoti. Šis fails novēra neatvainojamas kļūdas kvalifikāciju. Saskaņā ar CNAM gada pārskata datiem par nelaimes gadījumiem, uzņēmumi ar cietu dokumentālo izsekošanu samazina savu ekspozīciju regresa darbībām par 30 līdz 45 procenti.

HR konsultāciju birojs, kas pārvalda vairāku klientu DUER

HR konsultāciju birojs ar 18 darbinieku palīdz aptuveni četrdesmit MG un PMG klientiem ar DUER redakciju un gada atjauninājumiem. Līdz šim dokumenti tika sūtīti pa e-pastu kā neparakstīti PDF, pēc tam manuāli parakstīti un nosūtīti atpakaļ skenēti.

Pēc migrācijas uz SaaS elektroniskā paraksta risinājumu, katrs DUER tiek parakstīts tiešsaistē ar klienta vadītāju mazāk nekā 3 minūtēs. Birojs var izmantot centralizētu vadības paneli, lai jebkurā laikā pārbaudītu katra dokumenta statusu: parakstīts, horodots, arhivēts. Ja klients jautā par iepriekšējās versijas derīgumu, autentiskuma pārbaudīšana ilgst mazāk nekā 30 sekundes. Laiks, kas veltīts uzsaukumiem un papīrdokumentu pārvaldībai, ir samazinājies par aptuveni 60 procentiem, saskaņā ar salīdzinošiem spēka rādītājiem HR konsultāciju nozarē.

Veselības aprūpes iestāžu grupojums, kas pārvalda pluriennial DUER

Privāta slimnīcu grupa ar apmēram 600 gultņiem, kas apvieno vairākus ārstniecības iestādes un PPLP, ir jāpārvalda DUER atsevišķi katrai vietai, ieskaitant ķīmiskus, biologiskus un psihosociālus riskus. 40 gadu likumiskā saglabāšanas ilgums un daudz parakstītāju (vietas vadītāji, darba veselības ārsti, CSE pārstāvji) padara sekošanu īpaši sarežģītu.

Grupa uzsāk elektroniskā paraksta risinājuma ar kvalificētu arhivēšanu un ilgtermiņa horodošanu. Katrs DUER versija tiek noslēgta kriptoogrāfiki un automātiski relaiuzhorodīta ik pēc 3 gadiem, lai saglabātu pauveriblības ķēdi. ARS audita vai strīda gadījumā var tikt izņemta jebkura vēsturiskā versija ar pilnu validācijas pārskatu. Šī organizācija ļāva samazināt aptuveni 70 procentus laika, kas nepieciešams dossier sagatavošanai ārējās inspekcijas laikā, salīdzinājumā ar vecākas papīra-ciparu hibridās arhivēšanas sistēmu.

Secinājums

Pārbaudīt parakstītā dokumenta autentiskumu Vienīgajam Riska Novērtēšanas Dokumentam nav neobligāta formalitāte: tā ir juridiska un organizatoriska nepieciešamība. Starp Darbaspēka kodeksa saistībām, 40 gadu saglabāšanas ilgumu, kas noteikts kopš 2021. gada, un atbildības riskiem nelaimes gadījuma gadījumā, tikai robusta elektroniska paraksts — apvienots ar uzticamiem pārbaudīšanas rīkiem — garantē jūsu DUER pilno pierādījumu vērtību.

Neatkarīgi no tā, vai izmantojat PDF lasītāju, Eiropas validācijas pakalpojumu vai tieši savu parakstīšanas platformu, svarīgākais ir integrēt šo pārbaudīšanu dokumentētā un atkārtojamā procesā.

Certyneo ļauj parakstīt, pārbaudīt un arhivēt jūsu DUER ar pilnu eIDAS atbilstību, pilnīgu audita pēdu un integrētu arhivēšanu ar pierādīšanas vērtību. Bezmaksas izveidojiet savu kontu Certyneo un jau šodien nodrošiniet jūsu profilakses dokumentu juridisko vērtību.