Verifiera autenticiteten för ett undertecknat dokument: DUER

Dokumentet Unique d'Évaluation des Risques (DUER) är en hörnsten i regelefterlevnaden för arbetsmiljö och säkerhet i Frankrike. Det infördes genom dekret nr 2001-1016 från 5 november 2001 och är obligatoriskt för alla företag från första anställde. Dess juridiska värde vid kontroll av Arbetsinspektionen, olycka eller rättstvister beror dock till stor del på spårbarhet och autenticiteten för de signaturer som validerar det. Hur kan man säkerställa att en digitalt undertecknad DUER inte har ändrats efter signering? Vilka verktyg och metoder gör det möjligt att verifiera denna autenticitet? Denna artikel guidar dig steg för steg, från tekniska grunder till organisatoriska bästa praktiker.

Varför är autenticiteten för DUER-signaturen kritisk

De juridiska och regulatoriska konsekvenserna

DUER är inte ett vanligt administrativa dokument. Vid en arbetsplatsölycksa, yrkessjukdom eller arbetsrättslig tvist kan det läggas fram som bevis på arbetsgivarens skyddspolicy. Arbetslagen (artiklarna L.4121-1 och följande) ålägger arbetsgivaren en säkerhetsresultatplikt, och DUER är det formella spåret av denna bedömning.

En oveifierbar eller förändrad elektronisk signatur kan leda till:

• Dokumentets ogiltighet som bevis inför en domstol;
• Administrativa sanktioner som kan uppgå till 3 750 € i böter per anställd som inte omfattas;
• Påverkan på den straffrättsliga ansvaret för företagsledaren i fall av allvarlig olycka.

Sedan lag nr 2021-1018 från 2 augusti 2021 (arbetsmiljölagen) måste DUER uppdateras oftare i företag med 11 eller fler anställda, och dess bevarande är nu förlängd till 40 år. Denna långa varaktighet förstärker kravet på en robust och verifierbar elektronisk signatur över tiden.

Skillnaden mellan skannerad signatur och kvalificerad elektronisk signatur

Många HR- eller HSE-ansvariga tror att det räcker att placera en skannerad handskriven signatur på en PDF. Det stämmer inte. En signatur som bild (skanning) garanterar ingen integritet för dokumentet: filen kan ändras efteråt utan att lämna något spårbart spår.

En elektronisk signatur som är förenlig med eIDAS-förordningen baseras däremot på en kryptografisk mekanism som på ett oåterkallelig sätt binder signerarens identitet till dokumentets innehål vid en specifik tidpunkt. Varje senare ändring, även minimal — ett tillagt mellanslag, en förändrad siffra — invaliderar signaturen och utlöser en varning vid verifiering.

Ordlistan för elektronisk signatur skiljer mellan tre nivåer som är erkända av eIDAS: enkel elektronisk signatur (SES), avancerad (SEA) och kvalificerad (SEQ). För ett dokument som är lika känsligt som DUER rekommenderas den avancerade nivån som minimum, och den kvalificerade nivån är att föredra för företag som är föremål för frekventa kontroller.

Konkreta metoder för att verifiera autenticiteten för en undertecknad DUER

Verifiering via den ursprungliga PDF-läsaren

Den mest tillgängliga metoden är att öppna dokumentet i Adobe Acrobat Reader (gratis version) eller en kompatibel PDF-läsare. När en förenlig elektronisk signatur är närvarande visas automatiskt en signaturpanel. Den anger:

1. Signerarens identitet: namn, efternamn, organisation och använt certifikat;
2. Signaturens datum och tid, tidsstämplade av en kryptografisk tidsstämpling;
3. Integritetsstatusen: "Signaturen är giltig" eller "Dokumentet har ändrats efter signering";
4. Certifikatets förtroendekedja: validerad av en erkänd certifieringsmyndighet.

Denna verifiering är omedelbar och kräver ingen prenumeration. Den är dock begränsad: om certifikatet från den utfärdande myndigheten inte finns i programmets förtroendelist (såsom listan EUTL — European Union Trusted Lists) kan signaturen verka "overifierad" även om den är tekniskt giltig.

Verifiering via onlinevalideringstjänster

Europeiska kommissionen tillhandahåller tjänsten DSS Demo Tools (tillgänglig på ec.europa.eu), som gör det möjligt att ladda upp ett undertecknat dokument och få en valideringsrapport som är förenlig med standarden ETSI EN 319 102. Denna tjänst:

• Verifierar överensstämmelse med formaten XAdES, CAdES, PAdES och JAdES;
• Kontrollerar certifikatets giltighet vid tidpunkten för signering via protokollen OCSP eller CRL;
• Genererar en JSON- eller PDF-rapport som anger varje steg i valideringen.

Det finns också privata tjänster som erbjuds av leverantörer av kvalificerade förtroende-tjänster (QTSP) som är refererade på nationella förtroendelistor. I Frankrike publicerar ANSSI listan över ackrediterade QTSP. Att använda en av dessa tjänster för att validera en bestridd DUER i en tvist ger en avsevärt högre bevisvärde.

Verifiering via den ursprungliga signeringsplattformen

Om DUER undertecknades via en SaaS-lösning som Certyneo är verifieringen ännu mer direkt. Varje undertecknat dokument genererar ett signatursertifikat (även kallat granskning-rapport eller signaturspår) som arkiverar:

• IP-adress och sessionsidentifierare för signeraren;
• SHA-256 kryptografisk hash för det ursprungliga dokumentet;
• Kvalificerad tidsstämpel RFC 3161;
• Identitetsbevis som används (e-post, SMS OTP, eller till och med stark eIDAS-autentisering).

Denna rapport är själv elektroniskt undertecknad av leverantören, vilket gör den oförfalskabar och direkt använd bar som bevis i domstol. Certyneo-lösningen för elektronisk signatur för företag integrerar denna mekanism naturligt för alla dokument, inklusive DUER.

Bästa praktiker för att säkra signeringen och bevarandet av DUER

Välja rätt signatureringsnivå enligt riskprofil

Valet av signatureringsnivå bör inte lämnas till slumpen. För en DUER är här den rekomenderade resonemangen:

| Sammanhang | Rekommenderad nivå | Motivering | |---|---|---| | Mycket små företag < 10 anställda, låg riskaktivitet | Avancerad signatur (SEA) | Balans mellan kostnad och bevisvärde | | SMF, industriell sektor eller byggnation | Avancerad signatur med QSCD-certifikat | Högt eIDAS-konformitetsnivå | | Stort företag, hälso- eller kemisk sektor | Kvalificerad signatur (SEQ) | Värde motsvarande handskriven signatur |

För företag i hälsosektorn gäller elektronisk signatur inom hälsovård ytterligare regulatoriska begränsningar (HDS, medicinsk GDPR) som systematiskt motiverar användningen av kvalificerad signatur.

Tidsstämpel och långtidsarkivering

Eftersom arbetsmiljölagen föreskriver ett bevarande av DUER under 40 år, ställs frågan om signaturernas livslängd konkret. Ett signaturcertifikat har en begränsad giltighetsperiod (vanligtvis 1 till 3 år). Efter denna tid kan förtroendekedjan brytas.

Lösningen är arkiveringstjänsten med bevisvärde (elektronisk arkiveringstjänst eller SAE), kombinerad med långtidstidsstämpel enligt standarden ETSI EN 319 122. Denna mekanism, ibland kallad LTV (Long Term Validation), retidsstämplar periodiskt dokumentet genom att lägga till ytterligare integritetsbevis, vilket garanterar dess verifierbarhet under hela den juridiska perioden.

Förväxla inte arkivering och lagring: en enkel filserver eller molnstation utgör inte arkivering med bevisvärde. Endast ett system som garanterar integritet, läsbarhet och spårning av åtkomst uppfyller de juridiska kraven.

Verifieringsprocess vid uppdateringar

DUER måste uppdateras minst en gång per år och vid varje betydande ändring av arbetsförhållandena. Varje ny version måste särskiljas från tidigare versioner och göras till föremål för en ny signatur. En rigorös process omfattar:

1. Explicit versionnering: versionsnummer, ikraftträdandedatum, lista över ändringar;
2. Signering av den nya versionen av HSE-ansvarig och, i relevanta fall, av personalrepresentanten (CSE);
3. Bevarande av alla tidigare versioner i SAE, tillgängliga skrivskyddad;
4. Systematisk verifiering av integriteten för den aktuella versionen före något delande med arbetsinspektionen eller arbetshälsotjänsten.

Automatisering av dessa steg via en plattform som Certyneo minskar betydligt risken för mänskligt fel och garanterar kontinuerlig processöverensstämmelse. För att mäta avkastningen på investeringen för en sådan lösning tillåter ROI-räknaren för elektronisk signatur att uppskatta vinster enligt din organisations storlek.

Tillämpligt juridiskt ramverk för signering och verifiering av DUER

Grundläggande texter inom arbetsr rätten

Skyldigheten att fastställa ett Document Unique d'Évaluation des Risques Professionnels (DUERP) härrör från artikel L.4121-1 i arbetskodexen, som ålägger arbetsgivaren att transkribera och uppdatera resultaten av riskbedömningen. Dekret nr 2001-1016 från 5 november 2001 införde denna formella skyldighet. Lag nr 2021-1018 från 2 augusti 2021 för att stärka förebyggande arbetslagsstödet utökade bevarandeskyldigheterna till 40 år och införde krav på digital inlämning till arbetshälsotjänster för företag med minst 150 anställda.

Juridisk värde för elektronisk signatur

Artikel 1366 i den franska civilkodexen lägger grunden: "En elektronisk handling har samma bevisvärde som en handling på pappersunderlag, förutsatt att personen från vilken den härstammar kan identifieras på behörigt sätt och att den upprättas och bevaras under sådana förhållanden som garanterar dess integritet." Artikel 1367 klargör att elektronisk signatur "består i användningen av ett tillförlitligt identifikationsförfarande som garanterar dess koppling till den handling som den är kopplad till".

EIDASs förordning nr 910/2014 från Europaparlamentet och Rådet fastställer den europeiska ramverken för förtroende för elektroniska transaktioner. Den definierar tre nivåer av signaturer (enkel, avancerad, kvalificerad) och slår fast likvärde mellan kvalificerad elektronisk signatur och handskriven signatur i artikel 25§2. Den avancerade signaturen, utan att åtnjuta denna juridiska presumtion, förblir mottaglig som bevisläge enligt principen om icke-diskriminering i artikel 25§1.

Tekniska referensstandarder

De erkända elektroniska signaturformaten för PDF-dokument definieras av standarderna ETSI EN 319 132 (XAdES), ETSI EN 319 122 (CAdES) och ETSI EN 319 142 (PAdES). För långtidsvalidering definierar standarden ETSI EN 319 102 valideringsalgoritmen i enlighet med eIDAS.

Kvalificerad elektronisk tidsstämpel omfattas av artikel 41 i eIDAS-förordningen och standarden RFC 3161 från IETF, vilket garanterar ett säkert datum mot tredje part.

Skydd av personuppgifter

DUER innehåller personuppgifter (anställdas identiteter, information om deras hälsa och säkerhet). Dess behandling omfattas av GDPR-förordningen nr 2016/679. Elektronisk signatur innebär i sig behandling av signerarnas identitetsdata. Arbetsgivaren, som registeransvarig, måste säkerställa att signaturleverantören är en GDPR-kompatibel databehandlare med ett DPA (Data Processing Agreement) enligt artikel 28 i GDPR.

Risker vid bristande efterlevnad

Avsaknaden av DUER eller en DUER vars signatur inte är motexekverbar utsätter arbetsgivaren för en böter på 3 750 € (5:e klass av överträdelse) per konstaterad överträdelse. Vid en allvarlig arbetsplatsölycksa kan icke-motsägbarhet för DUER leda till erkännande av arbetsgivarens inexcusabla fel, vilket resulterar i en utökning av ersättningen till offret och en motåtgärd från CPAM.

Konkreta användningsscenarier

En industriell underleverantör inför arbetsinspektionens kontroll

En SMF-industri med 85 anställda, som verkar inom tillverkning av metalldelar, genomgår ett oanmält besök av arbetsinspektionen efter en maskinölycksa. Inspektören ber att få se DUER som gäller på tidpunkten för olyckan. HSE-ansvarig presenterar en PDF-fil undertecknad elektroniskt via företagets signeringsplattform.

Tack vare den granskningsrapport som är kopplad till dokumentet kan inspektören i realtid verifiera: signeringsdatum och -tid (innan olyckan), signerarens identitet (den behörig direktör för produktion), dokumentets integritet (SHA-256-hash intakt) och signaturens konformitetsnivå (avancerad med kvalificerat certifikat). Företaget kan visa att risken identifierades och att korrigerande åtgärder hade planerats. Detta ärende undviker kvalificering som inexcusabel fel. Enligt uppgifter från CNAM:s årsrapport om skador minskar företag med robust dokumentär spårbarhet sitt exponering för motåtgärder från CPAM med 30 till 45 %.

En HR-konsultbyrå som hanterar DUER för flera klienter

En konsultbyrå för personalresurser med 18 medarbetare assisterar ett fyrtiotal små och medelstora klientföretag vid utarbetandet och årlig uppdatering av deras DUER. Hittills skickades dokument per e-post som osignerade PDF-filer, som sedan undertecknades manuellt och returnerades skannude.

Efter migrering till en SaaS-signeringslösning undertecknas varje DUER online av klientens ledare på mindre än 3 minuter. Byrån har en centraliserad kontrollpanel som gör det möjligt att verifiera statusen för varje dokument när som helst: undertecknad, tidsstämlad, arkiverad. Om en klient frågar om giltigheten för en tidigare version tar autenticitetsverifikationen mindre än 30 sekunder. Tiden för påminnelser och dokumenthantering har minskat med cirka 60 % enligt jämförbara sektorbenchmarks publicerade av HR-rådgivningsföreningar.

En sjukvårdsgruppering som hanterar flervecials DUER

En privat sjukhusgrupp med cirka 600 bäddar, som omfattar flera vårdinstitutioner och äldreboende, måste hantera specifika DUER för var och en av dess platser, inklusive kemiska, biologiska och psykosociala risker. Den juridiska bevarandeperioden på 40 år och mångfalden av undertecknare (webbplatschefer, arbetsläkare, CSE-representanter) gör uppföljningen särskilt komplex.

Gruppen distribuerar en kvalificerad elektronisk signeringslösning med arkivering med bevisvärde och långtidstidsstämpel. Varje version av DUER försluts kryptografiskt och retidsstämplas automatiskt var tredje år för att upprätthålla förtroendekedjan. I fall av ARS-revision eller rättstvister kan vilken historisk version som helst extraheras med sin fullständiga valideringsrapport. Denna organisation minskade tiden för förberedelse av dossier vid externa inspektioner med närmare 70 % jämfört med det gamla hybrid papper-digitala arkiveringssystemet.

Slutsats

Att verifiera autenticiteten för ett undertecknat dokument för ett Document Unique d'Évaluation des Risques är inte valfritt: det är en juridisk och organisatorisk nödvändighet. Mellan skyldigheter från arbetskodexen, den 40-åriga bevarandeperiod som infördes 2021 och ansvarsfrågor vid olycka är det endast en robust elektronisk signatur — åtföljd av tillförlitliga verifieringsverktyg — som garanterar ditt DUER:s fulla bevisvärde.

Oavsett om du använder en PDF-läsare, en europeisk valideringstjänst eller direkt via din signeringsplattform är det väsentliga att integrera denna verifiering i en dokumenterad och reproducerbar process.

Certyneo gör det möjligt att underteckna, verifiera och arkivera dina DUER i fullständig eIDAS-överensstämmelse, med ett komplett granskningsspår och integrerad arkivering med bevisvärde. Skapa ditt gratis konto på Certyneo och säkra från idag det juridiska värdet på dina förebyggande dokument.