Preveriti pristnost podpisanega dokumenta: DUER

Edinstveni dokument za oceno tveganja (DUER) je ključna komponenta skladnosti v zdravstvu in varnosti pri delu v Franciji. Ustanovljen z dekretom št. 2001-1016 z dne 5. novembra 2001 je obvezen za vsako podjetje od prvega zaposlenega naprej. Vendar pa njegova pravna vrednost v primeru nadzora Inšpektorata za delo, nezgode ali spora v veliki meri temelji na njegovi sledljivosti in pristnosti podpisov, ki ga potrjujejo. Kako se prepričati, da digitalno podpisan DUER ni bil spremenjen po podpisu? Katera orodja in metode omogočajo preverjanje te pristnosti? Ta članek vas vodi po korakih, od tehnoloških osnov do dobrih organizacijskih praks.

Zakaj je pristnost podpisa DUER kritična

Pravna in regulativna tveganja

DUER ni navaden upravni dokument. V primeru nesreče pri delu, poklicne bolezni ali delavskega spora ga je mogoče predstaviti kot dokaz o politiki preprečevanja delodajalca. Zakon o delu (členi L.4121-1 in naslednji) vsem delodajalcem nalaga obveznost varnosti kot rezultat, DUER pa je uraden dokaz njihove ocene.

Nepreverljiv ali spremenjen elektronski podpis lahko pripelje do:

• Neveljavnosti dokumenta kot dokaznega sredstva pred sodiščem;
• Upravnih sankcij, ki lahko dosežejo 3.750 € kazni za vsakega zaposlenega, ki ni zavarovan;
• Izpostavljanja kazensko odgovornosti direktorja podjetja v primeru hude nesreče.

Od zakona št. 2021-1018 z dne 2. avgusta 2021 (zakon o zdravju pri delu) je treba DUER redno posodabljati v podjetjih z 11 ali več zaposlenimi, njegova hramba pa je sedaj podaljšana na 40 let. Ta dolga trajnost krepči imperativ robustnega in preverljivega elektronskega podpisa skozi čas.

Razlika med skeniranim podpisom in kvalificiranim elektronskim podpisom

Številni vodje kadrovskih in varnostnih služb mislijo, da je dovolj prilepiti skenirani ročni podpis na PDF. To ni res. Slikovni podpis (skenirani) ne zagotavlja nobene celovitosti dokumenta: datoteka se lahko kasneje spremeni brez vidnih sledi.

Elektronski podpis v skladu z uredbro eIDAS temelji na kriptografskem mehanizmu, ki nepovratno povezuje identiteto podpisnika s vsebino dokumenta v natančnem trenutku. Kakršnakoli kasnejša sprememba, tudi najmanjša — dodani presledek, spremenjena številka — razveljavi podpis in sproži opozorilo pri preverjanju.

Slovarček elektronskega podpisa loči tri ravni, ki jih priznava eIDAS: preprosti elektronski podpis (SES), napredni (SEA) in kvalificirani (SEQ). Za tako občutljiv dokument kot DUER je napredna raven priporočena kot minimum, kvalificirana raven pa je zaželena za podjetja, ki so pogosto pregledovana.

Praktične metode za preverjanje pristnosti podpisanega DUER

Preverjanje prek domačega bralnika PDF

Najbolj dostopna metoda je odpiranje dokumenta v Adobe Acrobat Reader (brezplačna različica) ali kompatibilnem bralniku PDF. Ko je prisoten ustrezno podpisan elektronski podpis, se samodejno prikaže plošča s podpisom. Prikazuje:

1. Identiteto podpisnika: ime, priimek, organizacijo in uporabljeni certifikat;
2. Datum in uro podpisa, prilepljene s kriptografsko žigosanjem;
3. Status celovitosti: »Podpis je veljaven« ali »Dokument je bil spremenjen po podpisu«;
4. Veriga zaupanja certifikata: potrjena s strani priznanega organa za certifikacijo.

To preverjanje je trenutno in ne zahteva nobenega naročništvine. Vendar je omejeno: če certifikata ogana za izdajo ni v seznamu zaupanja programske opreme (kot je seznam EUTL — Evropski register zaupanja), se podpis lahko pojavi kot »nepreverjen«, čeprav je tehnično veljaven.

Preverjanje prek spletnih storitev za potrditev

Evropska komisija daje na voljo storitev DSS Demo Tools (dostopna na ec.europa.eu), ki omogoča nalaganje podpisanega dokumenta in pridobitev poročila o preverjanju v skladu s standardom ETSI EN 319 102. Ta storitev:

• Preverja skladnost z oblikami XAdES, CAdES, PAdES in JAdES;
• Nadzoruje veljavo certifikata v trenutku podpisa preko protokolov OCSP ali CRL;
• Ustvari podrobno poročilo JSON ali PDF.

Obstajajo tudi zasebne storitve, ki jih nudijo kvalificirani ponudniki storitev zaupanja (QTSP), navedeni na nacionalnih seznamih zaupanja. V Franciji ANSSI objavlja seznam akreditiranih QTSP-jev. Obrnitev na enega od teh ponudnikov za preverjanje spornega DUER-ja pri sporu zagotavlja bistveno boljšo dokazno moč.

Preverjanje prek prvotne platforme za podpisovanje

Če je bil DUER podpisan prek rešitve SaaS, kot je Certyneo, je preverjanje še bolj neposredno. Vsak podpisani dokument ustvari certifikat podpisa (imenovan tudi revizijsko poročilo ali sled podpisa), ki shranjuje:

• IP naslov in identifikator seje podpisnika;
• kriptografski heš SHA-256 izvirnega dokumenta;
• kvalificiranu žigosanjem RFC 3161;
• dokaze o identiteti (e-pošta, SMS OTP ali celo močno avtentifikacijo eIDAS).

To poročilo je samo po sebi elektronsko podpisano s strani ponudnika, kar ga naredi nespremenljivega in neposredno uporabnega kot dokaznega sredstvo v sodstvu. Rešitev za elektronski podpis v podjetjih Certyneo ima ta mehanizem vgrajen prvotno za vse dokumente, vključno z DUER-ji.

Dobre prakse za zaščito podpisovanja in hrambe DUER-ja

Izbira pravne ravni podpisa glede na profil tveganja

Izbor ravni podpisa ne sme biti prepuščen naključju. Za DUER je priporočljivo naslednjo logiko:

| Okoliščina | Priporočena raven | Utemeljitev | |---|---|---| | Mikro podjetja < 10 zaposlenih, nizka tveganja | Napredni podpis (SEA) | Ravnotežje med stroški in dokazno močjo | | Mala in srednja podjetja, industrijski sektor ali gradbeništvo | Napredni podpis s certifikatom QSCD | Skladnost eIDAS na visoki ravni | | Velika podjetja, zdravstvo ali kemična industrija | Kvalificirani podpis (SEQ) | Vrednost enaka ročnemu podpisu |

Za podjetja v zdravstveni industriji elektronski podpis v zdravstvu ustreza dodatnim regulativnim zahtevam (HDS, RGPD medicinski), ki sistematično opravičujejo relavnost kvalificiranega podpisa.

Žigosanje in dolgoročna hramboa

Zakon o zdravju pri delu, ki zahteva hrambo DUER-ja 40 let, konkretno postavlja vprašanje trajanja podpisov. Certifikat podpisa ima omejeno veljavnost (običajno 1 do 3 let). Po tej dobi se veriga zaupanja lahko prekine.

Rešitev je storitev dolgoročne hramba z dokazno vrednostjo (storitev elektronske hrabe ali SAE), kombinirana s kvalificiranim dolgoročnim žigosanjem v skladu s standardom ETSI EN 319 122. Ta mehanizem, ki se včasih imenuje LTV (Long Term Validation), periodično ponovno žigosa dokument z dodatnimi dokazi celovitosti, kar zagotavlja njegovo preverljivost skozi celoten pravno predpisan čas.

Ne zmešajte hrabe z skladiščenjem: preprost strežnik datotek ali oblačni pogon ne predstavljata hrabe z dokazno vrednostjo. Samo sistem, ki zagotavlja celovitost, berljivost in sledljivost dostopov, izpolnjuje pravne zahteve.

Postopek preverjanja pri posodobitvah

DUER mora biti posodobljen najmanj enkrat letno in pri vsaki značilni spremembi delovnih pogojev. Vsaka nova različica mora biti razločena od prejšnje in je predmet novega podpisa. Strog postopek vključuje:

1. Jasno različiciranje: številka različice, datum veljavnosti, seznam spremenj;
2. Podpisovanje nove različice s strani vodje varnosti in, glede na primer, s strani predstavnika osebja (CSE);
3. Hrambo vseh predhodnih različic v SAE, dostopnih samo za branje;
4. Sistematično preverjanje celovitosti trenutne različice pred kakršnimkoli deljenjem z Inšpektoratom za delo ali službami za zdravje pri delu.

Avtomatizacija teh korakov prek platforme, kot je Certyneo, bistveno zmanjša tveganje človeške napake in zagotavlja neprekinjeno skladnost postopka. Za merjenje dohodka od naložbe v tako rešitev kalkulator ROI elektronskega podpisa omogoča ocenjevanje koristi glede na velikost vaše organizacije.

Pravni okvir, primeren na podpisovanje in preverjanje DUER-ja

Temeljni pravni akti v delovnem pravu

Obveznost izdelave Edinstvene dokumentacije za oceno poklicnih tveganj (DUERP) izhaja iz člena L.4121-1 Zakona o delu, ki delodajalcu nalaga prepis in redno posodabljanje rezultatov ocene tveganja. Dekret št. 2001-1016 z dne 5. novembra 2001 je to obveznost formalno uvedel. Zakon št. 2021-1018 z dne 2. avgusta 2021 za krepitev preprečevanja v zdravstvu pri delu je razširil obveznosti hrabe na 40 let in uvedel zahteve za elektronski vložek pri službah za zdravje pri delu za podjetja z najmanj 150 zaposlenimi.

Pravna vrednost elektronskega podpisa

Člena 1366 Civilnega zakonika postavlja načelo: »Elektronski zapis ima enako dokazno moč kot zapis na papirju, pod pogojem, da je mogoče na ustrezen način identificirati osebo, od katere izvira, in da je uspostavljen in ohranjen v pogojih, ki zagotavljajo njegovo celovitost.« Članek 1367 pojasnjuje, da je elektronski podpis »uporaba zanesljivega postopka za identifikacijo, ki zagotavlja njegovo povezanost z dejanjem, h kateremu se veže«.

Uredba eIDAS št. 910/2014 Evropskega parlamenta in Sveta vzpostavlja evropski okvir zaupanja za elektronske transakcije. Opredelja tri ravni podpisov (preprosti, napredni, kvalificirani) in vzpostavlja enakovrednost med kvalificiranim elektronskim podpisom in ročnim podpisom v členu 25 odstavek 2. Napredni podpis brez te zakonske prezumpcije ostaja sprejemljiv kot način dokazovanja v skladu z načelom brez diskriminacije člena 25 odstavek 1.

Tehnični standardi za referenco

Oblike elektronskih podpisov, ki se priznavajo za dokumente PDF, so opredeljene v standardih ETSI EN 319 132 (XAdES), ETSI EN 319 122 (CAdES) in ETSI EN 319 142 (PAdES). Za dolgoročno potrditev standard ETSI EN 319 102 določa postopke algoritmov za preverjanje skladnosti z eIDAS.

Kvalificirano elektronsko žigosanje je urejeno s členom 41 Uredbe eIDAS in standardom RFC 3161 IETF, ki zagotavlja gotov datum, ki je nasprotujoč tretjim osebam.

Zaščita osebnih podatkov

DUER vsebuje osebne podatke (identitete zaposlenih, informacije o njihovem zdravju in varnosti). Njegov obdelovanje je predmet Uredbe RGPD št. 2016/679. Elektronski podpis sam po sebi pomeni obdelovanje podatkov o identiteti podpisnikov. Delodajalec kot odgovoren za obdelavo mora zagotoviti, da je ponudnik podpisovanja podizvajalec, ki je skladen z RGPD in ima DPA (Dogovor o obdelavi podatkov), ki je skladna s členom 28 RGPD.

Tveganja v primeru neskladnosti

Odsotnost DUER-ja ali DUER s podpisom, ki ga ni mogoče nasprotovati, izpostavlja delodajalca denarnemu kaznu 3.750 € (peta kategorija prekrška) za vsako ugotovljeno kršitev. V primeru hude delovne nezgode neizpolnjevanje DUER-ja lahko vodi do priznavanja hude neodgovornosti delodajalca, kar povzroči povečane odškodnine žrtvi in povratno zahtevo za povračilo CPAM-u.

Konkretni scenariji uporabe

Industrijski izvajalec pred nadzorom Inšpektorata za delo

Malo in srednje veliko podjetje z 85 zaposlenimi, ki deluje v proizvodnji kovinskih delov, je predmet nepozavljenega obiska Inšpektorata za delo, ki je sledil nesreči na stroju. Inšpektorica prosi, da si ogleda DUER v veljavi ob času nesreče. Vodja varnosti predstavi datoteko PDF s podpisom elektronsko prek platforme za podpisovanje podjetja.

Zahvaljujoč revizijskemu certifikatu, priloženemu k dokumentu, lahko inšpektorica v realnem času preveri: datum in uro podpisa (pred nesrečo), identiteto podpisnika (pooblaščeni direktor proizvodnje), celovitost dokumenta (intakten heš SHA-256) in skladnost ravni podpisa (napredna s kvalificiranim certifikatom). Podjetje je sposobno dokazati, da je bilo tveganje identificirano in da so bili planirani korektivni ukrepi. Ta datoteka izogne kvalifikaciji hude neodgovornosti. Glede na podatke letnega poročila CNAM o škodi podjetja z robusten sledljivost dokumentacije zmanjšajo tveganje povratnih zahtevkov za povračilo za 30 do 45 %.

Kabinetna kadrovska konzultantka, ki upravlja DUER-je za več strank

Kabinetna konzultanta za človeške vire z 18 sodelavci spremlja približno 40 mikro in malih ter srednje velikih podjetij strank pri redakciji in letni posodobitvi njihovih DUER-jev. Do takrat so bili dokumenti poslani prek e-pošte kot nepodpisani PDF-ji, nato pa ročno podpisani in ponovno poslani kot skenirani.

Po migraciji na rešitev SaaS za elektronski podpis je vsak DUER podpisan na spletu s strani direktorja stranke v manj kot 3 minutah. Kabinet ima osrednjo nadzorno ploščo, ki omogoča preverjanje statusa vsakega dokumenta: podpisan, ročno žigosan, arhiviran. V primeru vprašanja stranke o veljavnosti starejše različice preverjanje pristnosti traja manj kot 30 sekund. Čas, porabljen za opominjanja in upravljanje papirnih dokumentov, se je zmanjšal za približno 60 %, glede na primerljive referenčne vrednosti objavljene z associacijami konzultativnih kadrov.

Skupek zdravstvenih ustanov, ki upravlja večletne DUER-je

Zasebna bolniška skupka z približno 600 posteljami, ki vključuje več zdravstvenih ustanov in domov za starejše, mora upravljati specifične DUER-je za vsaka mesta, vključno s kemičnimi, biološkimi in psihosocialnimi tveganji. Dolga zakonska trajnost hrabe 40 let in množica podpisnikov (direktorji mest, delovni zdravniki, predstavniki CSE) naredita sledenje izjemno zapleteno.

Skupek razpakira rešitev za kvalificirani elektronski podpis s hrambo z dokazno vrednostjo in dolgoročnim žigosanjem. Vsaka različica DUER-ja je zatisnjena kriptografsko in samodejno ponovno žigosana vsakih 3 let, da se vzdrži veriga zaupanja. V primeru reda ARS ali spora je mogoče katerakoli zgodovinsko različico izvoziti s popolnim poročilom o preverjanju. Ta organizacija je omogočila zmanjšanje za blizu 70 % časa, potrebnega za pripravo datotek pri zunanjih pregledih, v primerjavi s starim hibridnim sistemom papir-digitalno hrambo.

Zaključek

Preverjanje pristnosti podpisanega dokumenta za Edinstveni dokument za oceno tveganja ni izbirna formalnost: je pravna in organizacijska nujnost. Med obveznostmi, ki izhajajo iz Zakona o delu, dolgo trajnostjo hrabe 40 let, ki je bila uvedena od leta 2021 naprej, in tveganji odgovornosti v primeru nesreče, le robustni elektronski podpis — v spremljavi zanesljivih orodij za preverjanje — zagotavlja polno dokazno vrednost vašega DUER-ja.

Bodisi da greste prek bralnika PDF, evropske storitve za potrditev ali neposredno prek vaše platforme za podpisovanje, je bistveno vključiti to preverjanje v dokumentirane in ponovljive postopke.

Certyneo vam omogoča podpisovanje, preverjanje in arhiviranje vaših DUER-jev v polni skladnosti eIDAS, s popolno revizijsko sledjo in integrirano hrambo z dokazno vrednostjo. Brezplačno ustvarite račun na Certyneo in danes zavarujte pravno vrednost vaših dokumentov za preprečevanje.