Proverite autentičnost potpisanog dokumenta: DUER

Jedinstveni dokument za procenu rizika (DUER) je ključni element usklađenosti u oblasti zdravlja i bezbednosti na radu u Francuskoj. Uspostavljen uredbom br. 2001-1016 od 5. novembra 2001, obavezna je za svako preduzeće sa bar jednim zaposlenikom. Međutim, njegova pravna vrednost u slučaju kontrole Inspektorata rada, nezgode ili spora u velikoj meri zavisi od njegove pratljivosti i autentičnosti potpisa koji ga potvrđuju. Kako osigurati da digitalno potpisana DUER nije izmenjena nakon potpisivanja? Koji alati i metode omogućavaju proveru ove autentičnosti? Ovaj članak vas vodi korak po korak, od tehničkih osnova do dobrih organizacionih praksi.

Zašto je autentičnost potpisa DUER-a kritična

Pravne i regulatorne implikacije

DUER nije obični administrativni dokument. U slučaju nezgode na radu, profesionalne bolesti ili radnog spora, može biti uključen kao dokaz politike sprečavanja nesreća poslodavca. Zakonik rada (članci L.4121-1 i dalje) nameće poslodavcu obavezu bezbednosti sa rezultatima, a DUER je formalni trag njegove procene.

Neproverljiv ili izmenjen elektronski potpis može dovesti do:

• Ništavosti dokumenta kao sredstva dokaza pred sudom;
• Upravnih sankcija koje mogu dostignu 3.750 € kazne po nezaštićenom zaposlenom;
• Izvršenja krivične odgovornosti rukovodioca preduzeća u slučaju teške nezgode.

Od zakona br. 2021-1018 od 2. avgusta 2021 (zakon o zdravlju na radu), ažuriranje DUER-a mora biti češće u preduzećima sa 11 i više zaposlenih, a njegova čuvanja je sada proširena na 40 godina. Ova duga dužina pojačava imperativ robusnog i proverljivog elektronskog potpisa tokom vremena.

Razlika između skeniranog potpisa i kvalifikovanog elektronskog potpisa

Mnogi rukovodioci HR ili HSE smatraju da je dovoljno priložiti skeniran ručno napisan potpis na PDF. To nije slučaj. Slika potpisa (sken) ne garantuje nikakvu integritet dokumenta: fajl može biti izmenjen kasnije bez vidnog traga.

Elektronski potpis u skladu sa uredbom eIDAS, s druge strane, zasniva se na kriptografskom mehanizmu koji neprekidno povezuje identitet potpisnika sa sadržajem dokumenta u određenom trenutku. Svaka kasnije izmena, čak i minimalna — dodati razmak, promenjen broj — invalidira potpis i aktivira upozorenje tokom provere.

Rečnik elektronskog potpisa razlikuje tri nivoa koje prepoznaje eIDAS: jednostavni elektronski potpis (SES), napredni (SEA) i kvalifikovani (SEQ). Za tako osetljiv dokument kao što je DUER, napredni nivo se preporučuje kao minimum, a kvalifikovani nivo je poželjniji za preduzeća koja su predmet čestih kontrola.

Konkretne metode za proveru autentičnosti potpisane DUER-e

Provera preko nativnog PDF čitača

Najjednostavnija metoda je otvaranje dokumenta u Adobe Acrobat Reader (besplatna verzija) ili kompatibilnom PDF čitaču. Kada je prisutan kvalifikovan elektronski potpis, panel za potpis se automatski prikazuje. Pokazuje:

1. Identitet potpisnika: ime, prezime, organizacija i korišćeni sertifikat;
2. Datum i vreme potpisa, vremenski označen kriptografskim vremenskim žigom;
3. Status integriteta: "Potpis je validan" ili "Dokument je izmenjen nakon potpisivanja";
4. Lanac poverenja sertifikata: potvrđen od strane priznate certifikacionog autoritiveta.

Ova provera je trenutna i ne zahteva nikakvu pretplatu. Međutim, ograničena je: ako sertifikat izdavajućeg autoriteta nije na listi poverenja softvera (kao što je EUTL — Evropska lista poverenih), potpis može biti prikazan kao "neproveran" čak i ako je tehnički validan.

Provera kroz onlajn validacione usluge

Evropska komisija čini dostupnom uslugu DSS Demo Tools (dostupna na ec.europa.eu), koja omogućava otpremanje potpisanog dokumenta i dobijanje izveštaja o validaciji u skladu sa standardom ETSI EN 319 102. Ova usluga:

• Proverava usklađenost sa formatima XAdES, CAdES, PAdES i JAdES;
• Kontrolira validnost sertifikata u vreme potpisivanja putem OCSP ili CRL protokola;
• Generiše JSON ili PDF izveštaj koji detaljira svaki korak validacije.

Postoje i privatne usluge koje nudi kvalifikovani pružalac usluga poverenja (QTSP) navedeni na nacionalnim listama poverenja. U Francuskoj, ANSSI objavljuje listu akreditovanih QTSP. Pozivanje na jedan od ovih servisa za validaciju osporene DUER-e u sporu pruža značajno veću snagu dokaza.

Provera preko originalne platforme za potpisivanje

Ako je DUER potpisana preko SaaS rešenja kao što je Certyneo, provera je još direktnija. Svaki potpisani dokument generiše certifikat potpisa (poznat i kao izveštaj o auditu ili trail potpisa) koji arhivira:

• IP adresu i identifikator sesije potpisnika;
• SHA-256 kriptografski heš originalnog dokumenta;
• Kvalifikovani vremenski žig RFC 3161;
• Dokaze identifikacije korišćene (email, SMS OTP, čak i jaču eIDAS autentifikaciju).

Ovaj izveštaj je sam potpisana elektronski od strane pružaoca, što ga čini nefalsifikabilnim i direktno upotrebljivim kao dokaz pred sudom. Rešenje za elektronski potpis za preduzeća Certyneo integriše ovaj mehanizam nativno za sve dokumente, uključujući DUER-e.

Dobre prakse za osiguranje potpisa i čuvanja DUER-e

Izbor pravog nivoa potpisa prema profilu rizika

Izbor nivoa potpisa ne sme biti ostavljen slučaju. Za DUER, evo preporučene logike:

| Kontekst | Preporučeni nivo | Obrazloženje | |---|---|---| | Mali preduzeća < 10 zaposlenih, niska rizična aktivnost | Napredni potpis (SEA) | Balans između cene i snage dokaza | | SME, industrijski ili građevinski sektor | Napredni potpis sa QSCD sertifikatom | Visoka eIDAS usklađenost | | Velika preduzeća, zdravstveni ili hemijski sektor | Kvalifikovani potpis (SEQ) | Vrednost ekvivalentna ručnom potpisu |

Za preduzeća u zdravstvenom sektoru, elektronski potpis u zdravstvu odgovara dodatnim regulatornim ograničenjima (HDS, medicinski RGPD) koja sistematski opravdavaju pribyegavanje kvalifikovanom potpisu.

Vremenski žig i dugoročna arhivacija

Zakon o zdravlju na radu koji nalaže čuvanje DUER-e tokom 40 godina, pitanje trajanja žitka potpisa se konkretno javlja. Sertifikat potpisa ima ograničenu validnost (obično 1 do 3 godine). Nakon ovog perioda, lanac poverenja može biti prekinut.

Rešenje je usluga arhivacije sa dokaznom vrednošću (usluga elektronske arhivacije ili SAE), kombinovana sa dugoročnim vremenskim žigom prema standardu ETSI EN 319 122. Ovaj mehanizam, ponekad nazvan LTV (Long Term Validation), periodično vremenski žigosati dokument dodajući mu dodatne dokaze integriteta, garantujući njegovu provljivost tokom celog zakonskog perioda.

Nemojte brkati arhivaciju i skladištenje: obična server datoteka ili cloud pogon ne čini arhivaciju sa dokaznom vrednošću. Samo sistem koji garantuje integritet, čitljivost i pratljivost pristupa zadovoljava zakonske zahteve.

Proces provere pri ažuriranjima

DUER mora biti ažuriran najmanje jednom godišnje i pri svakoj značajnoj promeni uslova rada. Svaka nova verzija mora biti razlikovana od prethodne i biti predmet novog potpisa. Rigorozan proces uključuje:

1. Eksplicitan kontrolni verzionisanje: broj verzije, datum važenja, lista primenjena promena;
2. Potpisivanje nove verzije od strane HSE odgovornog i, prema slučaju, od predstavnika zaposlenih (CSE);
3. Čuvanje svih prethodnih verzija u SAE, dostupnih samo za čitanje;
4. Sistematsku proveru integriteta trenutne verzije pre bilo kakve podele sa Inspektoratom rada ili zdravstvenim službama.

Automatizacija ovih koraka preko platforme kao što je Certyneo značajno smanjuje rizik ljudske greške i garantuje kontinuiranu usklađenost procesa. Da biste merili povratak na investiciju ovakvog rešenja, kalkulator ROI elektronskog potpisa omogućava procenu dobitaka prema veličini vaše organizacije.

Primenjivi pravni okvir za potpis i proveru DUER-e

Osnovni tekstovi u radnom pravu

Obaveza uspostavljanja Jedinstvenog dokumenta za procenu rizika profesionalnih (DUERP) proizilazi iz članka L.4121-1 Zakonika rada, koji nameće poslodavcu da prepišu i ažurira rezultate procene rizika. Uredba br. 2001-1016 od 5. novembra 2001 je uspostavila ovu formalnu obavezu. Zakon br. 2021-1018 od 2. avgusta 2021 za jačanje sprečavanja u zdravlju na radu proširio je obaveze čuvanja na 40 godina i uveo zahteve za dematerijalizovanu depozitnu pozaju sa zdravstvenim službama za preduzeća sa najmanje 150 zaposlenih.

Pravna vrednost elektronskog potpisa

Članak 1366 Građanskog zakonika postavlja princip: "Elektronski zapis ima istu dokaznu snagu kao pisani zapis na papiru, pod uslovom da se osoba od koje dolazi može pravilno identifikovati i da je uspostavljena i čuvana na način koji garantuje njenu integritet." Članak 1367 pojašnjava da se "elektronski potpis sastoji od korišćenja pouzdanog postupka identifikacije koji garantuje njegovu vezu sa činom kojem je priložen".

Uredba eIDAS br. 910/2014 Evropskog parlamenta i Saveta postavlja evropski okvir poverenja za elektronske transakcije. On definiše tri nivoa potpisa (jednostavni, napredni, kvalifikovani) i postavlja ekvivalenciju između kvalifikovanog elektronskog potpisa i ručnog potpisa u članu 25§2. Napredni potpis, bez korišćenja ove zakonske pretpostavke, ostaje prihvatljiv kao sredstvo dokaza prema principu nediskriminacije člana 25§1.

Tehnički referentni standardi

Prepoznati formati elektronskog potpisa za PDF dokumente definiše ETSI EN 319 132 (XAdES), ETSI EN 319 122 (CAdES) i ETSI EN 319 142 (PAdES). Za dugoročnu validaciju, ETSI EN 319 102 definiše procedure algoritma validacije u skladu sa eIDAS.

Kvalifikovani elektronski vremenski žig je regulisan članom 41 Uredbe eIDAS i RFC 3161 IETF standarda, garantujući pouzdanu datumu protivnu trećim licima.

Zaštita ličnih podataka

DUER sadrži ličnih podatke (identitete zaposlenih, informacije o njihovom zdravlju i bezbednosti). Njegova obrada je predmet Uredbe RGPD br. 2016/679. Elektronski potpis sam po sebi uključuje obradu podataka identiteta potpisnika. Poslodavac, kao odgovoran za obradu, mora osigurati da je pružalac usluga potpisa RGPD-kompatibilan podprocesador sa DPA (Ugovorom o obradi podataka) u skladu sa članom 28 RGPD.

Rizici u slučaju neuslađenosti

Odsustvo DUER-e ili DUER-e čiji potpis nije protivljiv izlaže poslodavca kazni od 3.750 € (5. razred prekršaja) po svakom konstatovanom prekršaju. U slučaju teške nezgode na radu, neopozivnost DUER-e može dovesti do priznanja bezuslovna krive poslodavca, što dovodi do povećanja naknada isplaćene žrtvi i povratnog delovanja CPAM.

Konkretni scenariji upotrebe

Industrijski pružalac suočen sa kontrolom Inspektorata rada

Mala industrijska preduzeća od 85 zaposlenih, koja posluje u proizvodnji metalnih delova, podleva neizbegnoj poseti Inspektorata rada nakon nezgode sa mašinom. Inspektorka traži da se upozna sa DUER-om u važi na dan nezgode. Odgovorna osoba za HSE predlaže PDF datoteku potpisanu elektronski preko platforme za potpis preduzeća.

Zahvaljujući priloženom sertifikatu revizije, inspektorka može da proveri u realnom vremenu: datum i vreme potpisa (pre nezgode), identitet potpisnika (ovlašćeni direktor proizvodnje), integritet dokumenta (SHA-256 heš je netaknut) i usklađenost nivoa potpisa (napredni sa kvalifikovanim sertifikatom). Preduzeće je u mogućnosti da dokaže da je rizik identifikovan i da su mere korekcije bile planirane. Ovaj dosije izbegava kvalifikaciju bezuslova krive. Prema podacima iz godišnjeg izveštaja CNAM o akcidenatalnosti, preduzeća sa robusnom dokumentarnom pratljivošću smanjuju svoju izloženost povratnim akcijama CNAM za 30 do 45%.

Kabinet za HR savete upravljajući DUER-ima za više klijenata

Kabinet za savete iz ljudskih resursa od 18 saradnika prati četrdeset i nekoliko malih i srednjih preduzeća u pisanju i godišnjem ažuriranju njihovih DUER-a. Do sada su dokumenti bili slati emailom kao nepotpisani PDF, zatim potpisani ručno i vratirani kao skenovi.

Nakon migracije na SaaS rešenje za elektronski potpis, svaka DUER se potpisuje onlajn od strane klijenta direktora za manje od 3 minuta. Kabinet ima centralizovanu kontrolnu tablu koja dozvoljava da proveri u bilo kom trenutku status svakog dokumenta: potpisana, vremenski označena, arhivirana. U slučaju pitanja klijenta o validnosti starije verzije, provera autentičnosti traje manje od 30 sekundi. Vrijeme posvećeno praćenju i upravljanju papirnatim dokumentima smanjilo se za približno 60%, prema slično dostižnim benchmark-ima sektora publikovano od strane udruženja savetodavca.

Grupisanje zdravstvenih ustanova upravljajući DUER-ima za više godina

Privatna bolnička grupa od oko 600 kreveta, grupisanje nekoliko ustanova zdravstvene zaštite i EHPAD, mora upravljati specifičnim DUER-ima za svako od svojih mesta, uključujući hemijske, biološke i psihosocijalne rizike. Dužina zakonskog čuvanja od 40 godina i množestvo potpisnika (direktora mesta, radnih lekara, predstavnika CSE) čine praćenje posebno kompleksnim.

Grupa prima rešenje elektronskog potpisa kvalifikovan sa arhivacijom sa dokaznom vrednošću i dugoročnim vremenskim žigom. Svaka verzija DUER-e je sa sigurnosnim ključem kriptografski zapečaćena i automatski vremenski označena svakih 3 godine da ostane lanac poverenja. U slučaju ARS audita ili spora, bilo koja istoriska verzija može biti izvučena sa njenim kompletnim izveštajem validacije. Ova organizacija omogućila je redukciju od skoro 70% vremena potrebnog za pripremu dosijea tokom spoljnih inspekcija, u poređenju sa starim hibridnim papir-numeričkim sistemom arhivacije.

Zaključak

Provera autentičnosti potpisanog dokumenta za Jedinstveni dokument za procenu rizika nije izborna formalnost: to je pravna i organizaciona neophodnost. Između obaveza koje proizilaze iz Zakonika rada, dužine čuvanja od 40 godina nametnutu od 2021. i rizika od odgovornosti u slučaju nezgode, samo robustan elektronski potpis — praćen pouzdanim alatima za proveru — garantuje punu dokaznu vrednost vaše DUER-e.

Bilo da prođete kroz PDF čitač, evropsku validacionu uslugu ili direktno preko vaše platforme za potpis, suština je integracija ove provere u dokumentovan i reproducibilan proces.

Certyneo vam omogućava da potpišete, proverite i arhivirate vaše DUER-e u punoj eIDAS usklađenosti, sa kompletnim audit trail-om i integrisanom arhivacijom sa dokaznom vrednošću. Kreirajte besplatan nalog na Certyneo i osigurajte već danas pravnu vrednost vaših dokumenata sprečavanja.