Kamu Sektöründe İmzalayanlar için İstemci Alanı: Pratik Rehber

Kamu kurum ve kuruluşlarında idari prosedürlerin demateryalizasyonu hızlanmaktadır. "Kamu İşleri 2022" planının yürürlüğe girmesi ve eIDAS yönetmeliğinden kaynaklanan yükümlülükler, kamu kuruluşlarının akıcı, güvenli ve kesin sayılı dijital süreçler sunmasını gerektirmektedir. Bu önlemin merkezinde: imzalayanlar için istemci alanı, her bir kullanıcı veya ortağın resmi belgeleri çevrimiçi olarak almasına, görüntülemesine, imzalamasına ve arşivlemesine olanak sağlayan özel bir portalı. Bu makale, kamu sektöründe böyle bir alan oluşturmak için somut adımları, uyulması gereken düzenleyici gereklilikleri ve sahadan çıkan iyi uygulamaları ayrıntılı olarak açıklamaktadır.

İmzalayanlar için İstemci Alanı Neden Kamu Sektörü İçin Stratejik Hale Geldi

Düzenleyici Bağlam ve Kullanıcı Beklentileri

Fransa'da 6 Kasım 2014 tarihli 2014-1330 sayılı Kararname, vatandaşların elektronik yoldan idarelerle iletişim kurma hakkına ilişkin öncü temeller atmıştır. O zamandan beri ESSOC Yasası (2018), 3DS Yasası (2022) ve ardışık hükümetler arası dönerler bu dinamiği güçlendirmiştir. DINUM tarafından 2025 yılında yayınlanan demateryalizasyon barometresine göre, birinci seviye idari işlemlerin %87'sinden fazlası artık çevrimiçi olarak sunulmaktadır, ancak yalnızca %54'ü yasal olarak geçerli bir elektronik imza mekanizması içermektedir.

Kullanıcılar da artık kağıt gidiş-geliş işlemlerine katlanmamaktadırlar. 2024 yılında OpinionWay tarafından yapılan bir araştırmaya göre, Fransız vatandaşlarının %72'si, cihazın basit ve güvenilir olması şartıyla, bir idari belgeyi çevrimiçi imzalamayı yerinde imzalamaya tercih etmektedir. İmzalayanlar için istemci alanı, demateryalize edilmiş tüm işlemler için benzersiz, güvenli ve izlenebilir bir erişim noktası sunarak bu beklentiyi tam olarak karşılamaktadır.

Özel Sektörle Farklar

Kamu kuruluşları, özel sektör kuruluşlarından farklı olarak ek kısıtlamalara tabidir: Kamu Sözleşmeleri Kanunu tarafından düzenlenen kamu ihaleleri, prefektürlerin yasal denetiminden tabi kararlar, Medeni Kanun tarafından düzenlenen sicil işlemleri. Gerekli elektronik imza seviyesi, belgenin niteliğine göre değişir: basit bir ortaklık sözleşmesi geliştirilmiş elektronik imza (SEA) ile yetinebilirken, bir noterlik belgesi veya belediye meclisi kararı bazı durumlarda eIDAS yönetmeliğinin 26. maddede tanımlandığı gibi nitelikli imza (SEQ) gerektirmektedir.

Her işlem türü için uygun seviyeyi iyi seçmek için, eIDAS'ın üç seviyesini ve bunların kamu alanında kullanım koşullarını ayrıntılandıran elektronik imza tam rehberine başvurun.

Yerel Yönetim veya Kamu İdaresinde İmzalayanlar için İstemci Alanı Oluşturmak için Adımlar

Adım 1 — Belge Akışlarını ve Paydaşları Haritalandırın

Herhangi bir araç dağıtmadan önce, bir akış haritalaması gerçekleştirmek zorunludur. Bu aşama şunları tanımlamaktan oluşur:

• İlgili belge türleri (kararlar, kamu ihaleleri, sözleşmeler, şehircilik izinleri, İK işlemleri vb.);
• İç imzalayanlar (seçilmiş yöneticiler, genel müdürler, hizmet şefler) ve harici (hizmet sağlayıcılar, dernekler, vatandaşlar, diğer kamu kuruluşlarının çalışanları);
• Yıllık hacimler ve ilişkili sözleşmesel veya düzenleyici zaman limitleri;
• Mevcut bilgi sistemleri (SEDIT, CIVIL NET, CIRIL, Berger-Levrault benzeri sektörel yazılımlar) ve istemci alanının arabirim kurması gereken sistemler.

Bu haritalama, platformun işlevsel kapsamını tanımlamaya ve halihazırda yerinde olan araçlarla çoğalmayı önlemeye izin verir. Ayrıca, her kullanıcı kategorisi için gerekli güvenlik ve kimlik doğrulama seviyesini belirler.

Adım 2 — Kamu Sektörünün Gereksinimlerine Uygun Teknik Çözüm Seçin

Kamu sektörü için elektronik imza çözümü seçimi, özel sektörün her zaman aynı titizlikle empoze etmediği belirli kriterler için geçerlidir:

1. Egemen barındırma: kamu kuruluşunun verileri Fransa'da veya Avrupa Birliği'nde, HDS sertifikalı (sağlık verisi varsa) veya SecNumCloud sertifikalı (hassas veriler varsa) altyapılarda barındırılmalıdır. ANSSI'nin SecNumCloud nitelemesi, 5 Temmuz 2021 tarihli Başbakan sirküleri uyarınca ayırt edici bir kriter haline gelmiştir.
2. Birlikte çalışabilirlik: çözüm, RGI (Genel Birlikte Çalışabilirlik Referansı) ve RGS (Genel Güvenlik Referansı) referanslariyle uyumlu belgelenmiş REST API'lerini sunmalıdır.
3. RGAA Erişilebilirliği: 11 Şubat 2005 tarih ve sayılı Kanun ile uygulama kararnameleri uyarınca, vatandaşlara açık kamu portalları Genel Erişilebilirlik İyileştirme Referansı (RGAA 4.1) en az AA seviyesinde uymalıdır.
4. eIDAS Uyumluluğu: imza sertifikaları, Avrupa Komisyonu tarafından yayınlanan Avrupa güven listesinde (Trusted List) yer alan nitelikli bir Güven Hizmetleri Sağlayıcısı (TSP) tarafından verilmelidir.

Piyasada mevcut çözümleri bu kriterler uyarınca karşılaştırmak için, kamu alıcıları için uyarlanmış bir değerlendirme ızgarası sunan elektronik imza çözümleri karşılaştırması hakkında bilgi edinin.

Adım 3 — İmzalayanlar için İstemci Alanını Yapılandırın: Kimlik Doğrulama ve Kullanıcı Yolculuğu

İmzalayanlar için istemci alanının yapılandırılması üç teknik sütuna dayanır:

İmzalayanların kimlik doğrulanması: kamu sektörü DINUM tarafından yönetilen ulusal dijital kimlik cihazı FranceConnect+ ile yapısal bir avantaja sahiptir. FranceConnect+, eIDAS anlamında önemli veya yüksek kimlik doğrulama sağlayıp, imzalanan işlemleri hiçbir belirsizlik olmaksızın kesin kılmaktadır. Harici hizmet sağlayıcılar (şirketler, dernekler) için, e-posta aracılığıyla güçlendirilmiş kimlik doğrulama (OTP) belgesel kimlik kontrolü ile birleştirilmiş, orta düzey işlemler için yeterli olabilir.

İmza süreci en az direnci sağlamak üzere tasarlanmalıdır: e-posta veya SMS bildirimi, belgeye adanmış alandan doğrudan erişim, imzalamadan önce içeriği görüntüleme, gerekli seviyeye göre bir veya iki tıklama ile imzayı uygulama ve zaman damgalı sertifika tarafından onay. Nitelikli zaman damgalaması (RFC 3161), belgenin bütünlüğünü ve imza tarihini garantiler ve anlaşmazlık durumunda esas unsurlar.

Delegasyon ve doğrulama devrelerinin yönetimi: bir yerel yönetimde, bir işlem genellikle tek bir son imza taşır, ancak öncesinde iç inceleme devreleri vardır. İmzalayanlar için istemci alanı, kuruluşun imza delegasyonu kararnamesi ile uyumlu delegasyon kuralları ile multi-aşamalı iş akışlarını (elektronik muhaseba) yapılandırmaya izin vermelidir.

Adım 4 — Tutulan ve İspat Arşivini Güvence Altına Alın

İmzalayanlar için istemci alanı imzalamakla sınırlı değildir: belgeler zaman içinde ispat değerini garantilemesi gerekir. Miras Kanunu (211-1 ve devamı maddeler) belgenin niteliğine göre belirli koruma süreleri empoze eder (kamu ihaleleri için 10 yıl, kararlar için sınırsız süre vb.).

NF Z 42-020 standardı, ispat değerine sahip bir elektronik arşivleme sistemi (SAE) gerekliliklerini tanımlar. İmzalayanlar için istemci alanı, kuruluşun SAE sistemi ile arabirim kurmalı veya uyumlu bir dijital kasa uyarlanmış olarak sunmalıdır. Nitelikli bir üçüncü taraf arşivleyiciye başvurmak, bu yükümlülüğü harici olarak dışarı aktarırken CNIL ve idari mahkemeler tarafından gerekli izlenebilirliği korumaktadır.

Düşünün ki imzalanan belgeler, her imzalayan tarafından kişisel alanından RGPD tarafından öngörülen erişim hakları ve CADA yasası uyarınca erişilebilir kalır.

Kamu Sektöründe Yönetişim, Eğitim ve Değişim Yönetimi

Projenin Yönetişimini Yapılandırın

İmzalayanlar için istemci alanının dağıtılması, teknik kadar örgütsel dönüşüm projesi dir. Yönetişim aşağıdakileri içermelidir:

• Genel müdürlük (DGS/DGA), siyasi taşıyıcılık ve ilgili işlemlerin doğrulanması için;
• Bilgi Sistemleri Müdürlüğü (DSI), teknik entegrasyon ve güvenlik için;
• Veri Koruma Sorumlusu (DPD), RGPD'nin 37. maddesi uyarınca kamu kuruluşlarında zorunlu, etki analizi (AIPD) doğrulanması için;
• Hukuk müşaviri, demateryalize edilen her işlem kategorisinin yasal değerini risk düzeyi ve doğrulama için.

Bir üç aylık yönetim komitesi, bu taraflarca oluşturulan dağıtım ayarlamaya ve demateryalize edilecek akışları gözlemlenen operasyonel faydalar uyarınca önceliklendirilmesine izin verir.

Ajanları ve Harici İmzalayanları Eğitin

İmzalayanlar için istemci alanının benimsenmesi, büyük oranda değişim yönetiminin kalitesine dayanır. Kağıt işlemleri veya heterojen araçlara alışkın kamu çalışanları, kısa ama hedefli eğitime ihtiyaç duymaktadır: elektronik imzanın yasal değerini anlamak, sahte belgeyi tanımlamayı bilmek, kendi kapsamlarının imza devresini ustalaşmak.

Harici imzalayanlar (hizmet veren şirketler, sübvansiyonlu dernekler) için, istemci alanının kendisinden erişilebilir basit bir kullanım rehberi desteği önemli ölçüde azaltır. Modern platformlar artık bağlamsal rehberler ve dinamik SSS'yi doğrudan imza süreci içinde entegre etmektedir. Certyneo yardım merkezi örneğin, dahili iletişiminize uyarlanabilir eğitim kaynakları sunmaktadır.

Faydaları Ölçün ve Veriler Tarafından Pilotu Yapın

İmzalayanlar için istemci alanının kamu sektöründe yatırım getirisini birkaç boyutta ölçülür:

• Ortalama imza süresi: demateryalizasyon, öncü yerel yönetimlerin deneyimlerine göre, imza döngüsünü ortalama 7 ila 14 günden 48 saatten azına azaltmaktadır;
• Kayıp veya kötü arşivlenen belgelerin oranı: arabirim kurulu bir SAE ile eğilim sıfırdır;
• Doğrudan maliyetler: baskılar, posta ücreti, kuryeler, uyumsuz belgelerin yeniden işlenmesi;
• Harici imzalayanların memnuniyeti: imza süreci sonunda entegre NPS aracılığıyla ölçülebilir.

Bu göstergeler yönetim komitesinin kontrol panelini besler ve demateryalize edilmiş kapsamın kademeli genişlemesini haklı çıkarır. Kuruluşunuz için potansiyel kazançları kesin olarak tahmin etmek için, elektronik imza ROI hesaplayıcısı 5 dakikadan az şahsileştirilmiş bir projeksiyon sağlamaktadır.

Kamu Sektöründe İmzalayanlar için İstemci Alanına Uygulanabilecek Yasal Çerçeve

Fransa'daki bir yerel yönetim veya kamu idaresinde imzalayanlar için istemci alanının kurulması, birden çok seviyede yapılandırılmış yoğun bir yasal normlar bütünü içindedir.

eIDAS Yönetmeliği No 910/2014 Avrupa Parlamentosu ve Konseyi, Avrupa tabanını oluşturur. Elektronik imzanın üç seviyesini (basit, geliştirilmiş, nitelikli) ayırt etmekte ve yalnızca nitelikli imzanın tüm Üye Devletlerde el yazısı imzaya eşdeğer güvenilirliğin varsayımından yararlanmasını empoze etmektedir. Hassas kamu işlemleri için, Avrupa Güven Listesine kayıtlı bir Güven Hizmetleri Sağlayıcısı (TSP) tarafından verilen nitelikli sertifika başvurusu zorunludur. eIDAS 2.0 Yönetmeliği (Yönetmelik UE 2024/1183), Mayıs 2024'ten itibaren yürürlükte, Avrupa Dijital Kimlik Cüzdan (EUDIW) ile getirilip, kamu portallarına entegrasyonu Komisyon tarafından belirlenen takvim uyarınca 2026-2027'ye kadar işlevsel olmalıdır.

Medeni Kanun, 1366 ve 1367 maddeleri, elektronik yazılı belgeler için geçerlilik koşullarını düzenler: yazarın güvenilir kimliği ve belge bütünlüğü garantisi. Bu koşullar, geliştirilmiş ve nitelikli imzaların kriptografik mekanizmalarıyla karşılanır.

GDPR No 2016/679 (imzalayanların adı, e-postası, FranceConnect kimliği gibi kişisel verileri işleyen) her kuruluşa, istemci alanının dağıtımı öncesinde Veri Koruma Etkisi Analizi (AIPD) gerçekleştirmeyi empoze eder, Yönetmeliğin 35. maddesi uyarınca. Bu yükümlülük, kamu kuruluşları için güçlendirilmiştir. DPD (37. madde) atanması, tüm kamu makamları için zorunludur.

Genel Güvenlik Referansı (RGS v2.0), ANSSI tarafından yayınlanmış, Devlet ve yerel yönetimlerin e-hizmetleri için gerekli güvenlik seviyelerini belirler. Bu bağlamda dağıtılan imza platformları, denetlenmeleri gerekir ve veri hassasiyetine göre ANSSI tarafından nitelikli veya sertifikalı olabilir.

ETSI Normları imza formatlarını teknik olarak yönetir: ETSI EN 319 132 (XAdES), ETSI EN 319 122 (CAdES) ve ETSI EN 319 162 (PDF'ler için PAdES). PAdES biçimi, standart PDF görüntüleyicilerinde yerel okunabilirliği nedeniyle kamu belgeleri için önerilir.

NIS2 Direktifi (UE 2022/2555), Fransa hukukuna 21 Mayıs 2024 tarihli No 2024-449 Yasası ile çevrilmiş, sibersecurity yükümlülüklerini temel ve önemli kuruluşlara genişletir; bunların arasında pek çok kamu kuruluşu yer alır (30.000'den fazla nüfuslu şehirler, departmanlar, bölgeler, sağlık kuruluşları). İmza platformları, kuruluşun bilgi sistemleri güvenlik politikası (PSSI) içinde yer almalı ve ihlalin durumunda ANSSI'ye olay bildirimi yapılmalıdır.

Son olarak, Kamu Sözleşmeleri Kanunu (R. 2132-1 vd. maddeleri), 40.000 € KDV üzeri kamu ihalelerinin demateryalizasyonunu empoze eder ve taahhüt işlemlerinin elektronik imzasını talep eder. Bu yükümlülüğe uymaması, kuruluşu işlemlerin geçersizlik riski ve tercihli yasal kontrolde cezalara maruz bırakır.

Kullanım Senaryoları: İmzalayanlar için İstemci Alanı Kamu Sektöründe Çalışıyor

Senaryo 1 — Bir Aglomerasyon Topluluğu Ortaklık Sözleşmelerini Demateryalize Eder

Yirmi belediyeden oluşan bir aglomerasyon topluluğu, yerel dernekler, eğitim kuruluşları ve özel hizmet sağlayıcılarla yılda 350 ortaklık sözleşmesinden fazlasını yönetir. İmzalayanlar için istemci alanının kurulmasından önce, her sözleşme iç doğrulama ve iki tarafın imzası arasında ortalama 18 gün gerektiriyordu; belge kaybı oranı %4 olarak tahmin edilen (yanlış arşivlenen veya hatalı kaydedilmiş imzasız belgeler) belgeler.

İmzalayanlar için istemci alanının mevcut bilgi sistemlerine entegre edilmiş dağıtımından sonra, ortalama imza süresi 3,5 güne düşmüştür. Ortak dernekler FranceConnect aracılığıyla alanlarına erişir, bir belge imzalanmaya hazır olur olmaz e-posta bildirimi alırlar ve tüm sözleşmelerini kişisel alanlarında arşivlemiş bulurlar. Dağıtımdan bu yana belge kaybı oranı sıfırdır. Baskı, posta ücreti ve idari yeniden işleme maliyetlerinde yıllık tasarruf 15.000 €'yu aşmaktadır; agent zaman kazancı hariç.

Senaryo 2 — Bir Departman Kamu Sözleşmesi Emri Işlemlerini Demateryalize Eder

Yılda 1.200'den fazla kamu sözleşmesini yöneten bir genel konsey (tüm eşikler dahil), operasyonel yönetim kısıtlamalarıyla uyumsuz imza gecikmeleriyle karşı karşıya idi. Kağıt devri, imzalı belgeler hizmet sağlayıcıya gönderilmeden önce yedi iç müdahale (uygulamalar, hukuk tavsiyesi, finansal tavsiye, başkan veya vekaleted başkan yardımcısı imzası) gerekti.

İmzalayanlar için istemci alanında entegre edilen elektronik parapheur oluşturulması, yokluğun durumunda otomatik delegasyonlarla multi-aşamalı iş akışları yapılandırmaya izin vermiştir. İç devrenin ortalama süresi 11 günden 2,8 güne düşmüştür. Genel konsey ayrıca, hizmetlere imza ilerlemesini bilmek için yapılan telefon takiplerinde %60 azalma gözlemlenmiştir. Harici hizmet sağlayıcılara sunulan istemci alanı, taahhüt işlemlerini doğrudan arabiriminden imzalamalarına izin verip, otomatik olarak genel konseyin SAE'sinde zaman damgalı imza sertifikasını arşivler.

Senaryo 3 — Bir Kamu Sağlık Kuruluşu Pratisyenlerin İK İşlemlerini Güvenli Hale Getirir

Yaklaşık 1.200 ajanı (180 pratisyen dahil) bulunan bir hastane grubu, taahhüt sözleşmeleri, değiştirilmiş metinler ve geçici işe alım işlemlerini posta veya zorunlu fiziksel varlık yoluyla yönetmekteydi; bu da acil işe alım ihtiyaçlarıyla uyumsuz gecikmeler yaratıyordu (bekçi değişimleri, tıbbi geçici).

İnsan kaynakları için dağıtılan imzalayanlar için istemci alanı, artık her pratisyen veya ajanın sözleşmesini almasına, görmesine ve güvenli bir portaldaki imzalamasına izin verir; her terminalden erişilebilir. Kimlik doğrulama, kadrolu ajanlar için FranceConnect+ ve kadrolu dışı çalışanlar için belgesel kimlik doğrulaması yapısına dayanır. Sözleşmeli anlaşma ile istihdam arasındaki ortalama süre, kağıt dosya işlem süresi (8 gün) 24 saatten azına düşmüştür. Kuruluş ayrıca, imza sürecinde entegre edilen yol gösterici formlar sayesinde, İK dosya tamlık hatalarında %40 azalma kaydetti; sağlık hizmetleri işlevinin önerileri uyarınca.

Sonuç

Kamu sektöründe imzalayanlar için istemci alanı oluşturmak artık seçenek değildir: aşamalı bir düzenleyici yükümlülük ve kullanıcılar ile kurumsal ortakların artan beklentisidir. Yaklaşım dört ayrılmaz sütunu içerir — akış haritalaması, egemen ve eIDAS uyumlu bir çözüm seçimi, akıcı bir kullanıcı yolculuğunun yapılandırılması ve ispat arşivlemesi — sağlam bir yönetişim ve titiz bir değişim desteği tarafından desteklenir.

Bu adımı atlayan yerel yönetim ve kamu idareleri ölçülebilir kazanımlar gözlemlemektedir: imza gecikmeleri ortalama beş kat kısaltılmış, idari maliyetler azaltılmış ve arşiv kalitesi kusursuzdur. Certyneo, kamu kuruluşlarını bu projenin her adımında, ilk denetimden operasyonel dağıtıma kadar eşlik etmektedir.

Adım atmaya hazır mısınız? Belge akışlarınızın ücretsiz denetimi ve kamu sektörünün kısıtlamalarına uyarlanmış kişileştirilmiş bir sunum için Certyneo uzmanlarımızla iletişim kurun.