İmzalı bir belgenin özgünlüğünü doğrulama: DUER

Risklerin Benzersiz Değerlendirmesi Belgesi (DUER), Fransa'da iş sağlığı ve güvenliği uyumluluğunun temel parçasıdır. 5 Kasım 2001 tarihli 2001-1016 sayılı dekretle kurulan bu belge, ilk çalışandan itibaren her işletme için zorunludur. Ancak, İş Müfettişliği kontrolü, iş kazası veya anlaşmazlık durumunda hukuki değeri, büyük ölçüde izlenebilirliğine ve onu onaylayan imzaların özgünlüğüne dayanır. Dijital olarak imzalanmış bir DUER'in imzadan sonra değiştirilmediğinden nasıl emin olunabilir? Bu özgünlüğü doğrulamak için hangi araçlar ve yöntemler kullanılabilir? Bu makale sizi adım adım, teknik temellerdeki iyi uygulamalara kadar rehberlik eder.

DUER imzasının özgünlüğü neden kritiktir?

Hukuki ve düzenleyici riskleri

DUER sıradan bir idari belge değildir. İş kazası, meslek hastalığı veya çalışma mahkemesi uyuşmazlığı durumunda, işverenin önleme politikasının kanıtı olarak mahkemeye sunulabilir. İş Kanunu (Madde L.4121-1 ve sonrası) işverene sonuç açısından bir güvenlik yükümlülüğü dayatır ve DUER, değerlendirmesinin resmi kaydıdır.

Doğrulanamayan veya değiştirilen elektronik imza şu sonuçlara yol açabilir:

• Belgenin mahkemede delil olarak iptal edilmesi;
• İdari yaptırımlar her korumasız çalışan başına 3.750 € para cezasına kadar;
• Ciddi kaza durumunda şirket müdürünün cezai sorumluluğunun sorglanması.

2 Ağustos 2021 tarihli 2021-1018 sayılı yasa (İş Sağlığı Yasası) ile 11 ve daha fazla çalışanı olan işletmelerde DUER'in güncellenmesi daha sık olmalı ve koruması artık 40 yıla genişletilmiştir. Bu uzun süre, sağlam ve zaman içinde doğrulanabilir elektronik imzanın gerekliliğini güçlendirir.

Taranmış imza ile nitelikli elektronik imza arasındaki fark

Birçok İK veya HSE yöneticisi, bir PDF'ye taranmış el imzası koymak yeterli olduğunu düşünür. Durum böyle değildir. İmza görüntüsü (tarama), belgenin bütünlüğünü hiçbir şekilde garantilemez: dosya daha sonra algılanabilir bir iz bırakmaksızın değiştirilebilir.

Diğer taraftan, eIDAS yönetmeliğine uygun elektronik imza, imzalayanın kimliğini belgenin içeriğine belirli bir anda geri döndürülemez şekilde bağlayan bir şifreleme mekanizmasına dayanır. Daha sonraki herhangi bir değişiklik, hatta küçük bir değişiklik bile — eklenen bir boşluk, değiştirilen bir rakam — imzayı geçersiz kılar ve doğrulama sırasında bir uyarı tetikler.

Elektronik imza sözlüğü eIDAS tarafından tanınan üç seviyeyi ayırt eder: basit elektronik imza (SES), geliştiş (SEA) ve nitelikli (SEQ). DUER kadar hassas bir belge için, minimum olarak geliştiş seviye tavsiye edilir, nitelikli seviye sık kontrollere tabi olan işletmeler için tercihlidir.

İmzalı bir DUER'in özgünlüğünü doğrulamak için somut yöntemler

Yerel PDF okuyucu aracılığıyla doğrulama

En erişilebilir yöntem, belgeyi Adobe Acrobat Reader (ücretsiz sürüm) veya uyumlu bir PDF okuyucuda açmaktır. Uyumlu bir elektronik imza mevcut olduğunda, imza paneli otomatik olarak görüntülenir. Aşağıdakileri gösterir:

1. İmzalayanın kimliği: ad, soyadı, kuruluş ve kullanılan sertifika;
2. İmzanın tarihi ve saati, şifreleme horozu tarafından kaydedilen;
3. Bütünlük durumu: "İmza geçerlidir" veya "Belge imzadan sonra değiştirildi";
4. Sertifika güven zinciri: tanınan bir sertifika yetkilisi tarafından doğrulanan.

Bu doğrulama anlıktır ve hiçbir abonelik gerektirmez. Bununla birlikte sınırlıdır: eğer veren yetkili sertifikasyon yönetmemizinin listeleri (EUTL gibi) yazılımın güven listesinde yoksa, imza teknik olarak geçerli olsa da "doğrulanmamış" olarak görünebilir.

Çevrimiçi doğrulama hizmetleri aracılığıyla doğrulama

Avrupa Komisyonu, DSS Demo Tools hizmetini (ec.europa.eu üzerinden erişilebilir) sunar; bu, imzalı bir belgeyi yüklemek ve ETSI EN 319 102 standardına uygun bir doğrulama raporu elde etmek için izin verir. Bu hizmet:

• XAdES, CAdES, PAdES ve JAdES formatlarıyla uyumluluğu doğrular;
• OCSP veya CRL protokolleri aracılığıyla imza sırasında sertifika geçerliliğini kontrol eder;
• Doğrulama adımının her ayrıntısını içeren JSON veya PDF raporu oluşturur.

Güven listelerinde referans edilen nitelikli güven hizmet sağlayıcıları (QTSP) tarafından sunulan özel hizmetler de mevcuttur. Fransa'da, ANSSI akredite QTSP listesini yayınlar. Uyuşmazlıkta koşuluşan bir DUER'i doğrulamak için bu hizmetlerden birine başvurmak, açık arası çok daha yüksek kanıt gücü sağlar.

Orijinal imza platformu aracılığıyla doğrulama

DUER, Certyneo gibi bir SaaS çözümü aracılığıyla imzalandıysa, doğrulama daha da doğrudan olur. İmzalanan her belge, imzalayanın aşağıdakileri arşivleyen bir imza sertifikası (ayrıca denetim raporu veya imza kaydı olarak adlandırılır) oluşturur:

• İmzalayanın IP adresi ve oturum tanımlayıcısı;
• Orijinal belgenin SHA-256 şifreleme özü;
• RFC 3161 nitelikli horozu;
• Kullanılan kimlik kanıtları (e-posta, SMS OTP, hatta eIDAS güçlü kimlik doğrulama).

Bu rapor kendisi hizmet sağlayıcı tarafından elektronik olarak imzalanır, bu onu değiştirilemez ve doğrudan mahkemede delil olarak kullanılabilir kılar. İşletmeler için elektronik imza çözümü Certyneo, DUER dahil olmak üzere tüm belgeler için bu mekanizmayı yerel olarak entegre eder.

DUER imzası ve korumasını güvence altına almak için iyi uygulamalar

Risk profiline göre doğru imza seviyesini seçmek

İmza seviyesinin seçimi tesadüfe bırakılmamalıdır. DUER için, önerilen akıl yürütme aşağıdaki gibidir:

| Bağlam | Önerilen seviye | Gerekçe | |---|---|---| | TPE < 10 çalışan, düşük riskli faaliyet | Geliştiş imza (SEA) | Maliyet/kanıt gücü dengesi | | KOBİ, endüstriyel veya inşaat sektörü | Nitelikli sertifika ile geliştiş imza | Yüksek eIDAS uyumluluğu | | Büyük işletme, sağlık veya kimya sektörü | Nitelikli imza (SEQ) | El imzasına eşdeğer değer |

Sağlık sektörü işletmeleri için, Sağlıkta elektronik imza ek düzenleyici kısıtlama (HDS, tıbbi RGPD) karşılamak için sistematik olarak nitelikli imza kullanımını haklı kılar.

Horolama ve uzun vadeli arşivleme

Sağlık Yasası'nın DUER'in 40 yıl boyunca korunmasını zorunlu kılması, imza ömrü sorusu pratik olarak ortaya çıkar. İmza sertifikasının geçerlilik süresi sınırlıdır (genellikle 1 ila 3 yıl). Bu dönem geçtikten sonra, güven zinciri kesintiye uğrayabilir.

Çözüm, kanıt değeri olan arşivleme hizmeti (elektronik arşivleme hizmeti veya SAE), ETSI EN 319 122 standardına uygun uzun vadeli horolama ile ilişkilidir. LTV (Uzun Vadeli Doğrulama) olarak da adlandırılan bu mekanizma, belgeyi düzenli aralıklarla belgeye ek bütünlük kanıtları ekleyerek yeniden horolamakla, tüm yasal süre boyunca doğrulanabilirliğini garanti eder.

Arşivleme ile depolamayı karıştırmayın: basit bir dosya sunucusu veya bulut sürücüsü, kanıt değeri olan arşivleme oluşturmaz. Yalnızca bütünlüğü, okunabilirliği ve erişim izlenebilirliğini garantileyen bir sistem yasal gereksinimleri karşılar.

Güncelleme sırasında doğrulama süreci

DUER minimum bir yıl içinde güncellenmelidir ve çalışma koşullarında önemli bir değişiklik meydana geldiğinde. Her yeni sürüm, önceki sürümden ayrılmalı ve yeni bir imza almalıdır. Sıkı bir süreç şunları içerir:

1. Açık sürümü oluşturma: sürüm numarası, yürürlük tarihi, yapılan değişikliklerin listesi;
2. Yeni sürümün imzalanması HSE sorumlusu ve duruma göre personel temsilcisi (CSE) tarafından;
3. Tüm önceki sürümlerin korunması SAE'de salt okunur erişimle;
4. Mevcut sürümün bütünlüğünün sistematik doğrulanması İş Müfettişliği veya işçi sağlığı hizmetleriyle herhangi bir paylaşımdan önce.

Bu adımların Certyneo gibi bir platform aracılığıyla otomatikleştirilmesi, insan hatasının riskini önemli ölçüde azaltır ve sürecin sürekli uyumluluğunu garantir. Bu tür bir çözümün yatırım getirisi ölçmek için, elektronik imza ROI hesaplayıcısı kuruluşunuzun boyutuna göre kazançları tahmin etmenizi sağlar.

DUER imzası ve doğrulaması için geçerli yasal çerçeve

İş hukuku temel metin

Profesyonel Risklerin Benzersiz Değerlendirmesi Belgesi (DUERP) oluşturma yükümlülüğü, işverene risklerin değerlendirmesinin sonuçlarını yazıp güncellemek için yükümlülük dayatan İş Kanunu Madde L.4121-1'den kaynaklanır. 5 Kasım 2001 tarihli 2001-1016 sayılı kararname bu resmi yükümlülüğü kurmamıştır. 2 Ağustos 2021 tarihli iş sağlığı önleme yetkinleştirme yasası (2021-1018 sayılı) koruma yükümlülüklerini 40 yıla uzatmış ve en az 150 çalışanı olan işletmeler için işçi sağlığı hizmetlerine elektronik dosya bağlama gerektirmektedir.

Elektronik imzanın hukuki değeri

Medeni Kanun Madde 1366 ilkeyi ortaya koymaktadır: "Elektronik yazı, yazılı yazıyla aynı kanıt gücüne sahiptir, kaynağından kimliği düzgün bir şekilde doğrulanabilir ve içeriğinin bütünlüğünü garanti edecek koşullarda kurulmuş ve saklanması şartıyla." Madde 1367 açıklamaktadır ki "elektronik imza, elektronik imza kendisine bağlı işlemle bağlantısını garanti eden güvenilir bir kimlik belirleme yöntemi kullanımından oluşur."

eIDAS Yönetmeliği n°910/2014 Avrupa Parlamentosu ve Konseyi tarafından elektronik işlemler için AB güven çerçevesini kurmaktadır. Üç imza seviyesini (basit, geliştiş, nitelikli) tanımlar ve Madde 25§2'de nitelikli elektronik imza ile el imzasının denkliğini koyar. Geliştiş imza, bu yasal varsayımdan yararlanmamakla birlikte, Madde 25§1 non-discriminasyon ilkesine göre kanıt yöntemi olarak alınabilir.

Teknik referans standartları

PDF belgeleri için tanınan elektronik imza formatları ETSI EN 319 132 (XAdES), ETSI EN 319 122 (CAdES) ve ETSI EN 319 142 (PAdES) standartları tarafından tanımlanır. Uzun vadeli doğrulama için, ETSI EN 319 102 standartı eIDAS uyumlu doğrulama algoritmasının prosedürlerini tanımlar.

Nitelikli elektronik horolama eIDAS Yönetmeliği Madde 41 ve IETF RFC 3161 standardı tarafından düzenlenir ve tarihî üçüncü taraflara karşı belirlidir.

Kişisel verilerin korunması

DUER kişisel verileri içerir (çalışan kimlikleri, sağlık ve güvenliğine ilişkin bilgiler). İşlenmesi GDPR Yönetmeliği n°2016/679 tabi tutulur. Elektronik imzanın kendisi imzalayanların kimliği verilerinin işlenmesini içerir. İşveren, işlem sorumlusu olarak, imza sağlayıcısının GDPR uyumlu alt işlemci olduğundan ve GDPR Madde 28'e uygun bir DPA (Veri İşleme Anlaşması) sahip olduğundan emin olmalıdır.

Uyumsuzluk halinde riskler

DUER olmaması veya imzası karşılastırılabilir olmayan bir DUER, işvereni 3.750 € para cezasına (5. ceza sınıfı) her algılanan ihlal başına maruz bırakır. Ciddi iş kazası durumunda, DUER'in karşı koyulmaması, işverenin mazur görülmez kusurluluğunun tanınmasına, kurbanın aldığı tazminat miktarında artışa ve sosyal sigorta kurumunun geri dönüş işlemesi yol açabilir.

Somut kullanım senaryoları

Müfettişlik kontrolüne karşı karşı bir endüstri hizmet sağlayıcısı

85 çalışanı olan bir KOBİ endüstri, metal parça imalatında faaliyet gösterir ve makinede meydana gelen bir kaza nedeniyle İş Müfettişliğinin planlanmamış ziyareti ile karşı karşıya kalır. Müfettiş, kazanın meydana geldiği tarih itibariyle yürürlükte olan DUER'i görmek ister. HSE sorumlusu, şirketin imza platforması aracılığıyla elektronik olarak imzalanmış bir PDF dosyası sunar.

İliştirilmiş denetim sertifikası sayesinde, müfettiş gerçek zamanda doğrulayabilir: imzanın tarihi ve saati (kazadan önce), imzalayanın kimliği (yetkili üretim müdürü), belgenin bütünlüğü (SHA-256 özü sağlam) ve imza seviyesinin uyumluluğu (nitelikli sertifika ile geliştiş). İşletme, riskin tanımlandığını ve düzeltici önlemlerin planlandığını gösterebilir. Bu dosya mazur görülmez kusurluluğun nitelendirilmesini engeller. CNAM'ın sinistrellik hakkındaki yıllık raporunun verileri, sağlam belgesel izlenebilirliğe sahip işletmelerin geri dönüş işlemlerine maruz kalma riskini %30 ila %45 azalttığını gösterir.

Çok müşterili DUER'i yöneten bir İK danışmanlık firması

18 çalışanı olan İK danışmanlık firması, kırk civarında KOBİ ve TPE müşterisini DUER'in yazılması ve yıllık güncellenmesinde eşlik eder. Şimdiye kadar, belgeler imzasız PDF olarak e-posta ile gönderilir, ardından manuel olarak imzalanır ve taranarak geri gönderilir.

SaaS elektronik imza çözümüne geçişten sonra, her DUER müşteri müdürü tarafından 3 dakikadan az sürede çevrimiçi imzalanır. Danışmanlık firması, her belgenin durumunu kontrol etmek için merkezi bir pano sahibidir: imzalanmış, horolanmış, arşivlenmiş. Müşterinin eski bir sürümün geçerliliği hakkında sorusu olması durumunda, özgünlük doğrulaması 30 saniyeden az sürer. Kağıt belgelerin izlenmesi ve yönetimi ile ilgili belgelerin izlenmesi ve yönetimi için kullanılan zaman, danışman RH dernekleri tarafından yayınlanan karşılaştırılabilir sektörel karşılaştırmalar veya benchmarklara göre yaklaşık %60 azalmıştır.

Çok yıllık DUER'i yöneten bir sağlık işletmeleri gruplaşması

Yaklaşık 600 yatağı olan ve birkaç sağlık hizmeti işletmesi ve yaşlı bakım evini gruplandıran bir özel hastane gruplaşması, kimyasal, biyolojik ve psikososyal riskleri dahil her birinin siteleri için belirli DUER'i yönetmek zorundadır. 40 yıl yasal koruma süresi ve çok sayıda imzalayanlar (site müdürleri, iş hekimleri, CSE temsilcileri) izlenebilirliği özellikle karmaşık hale getirir.

Grup, nitelikli elektronik imza çözümü ile birlikte kanıt değeri olan arşivleme ve uzun vadeli horolama işlemi yaymaktadır. DUER'in her sürümü şifreleme açısından kapatılır ve güven zincirini korumak için otomatik olarak her 3 yılda bir yeniden horola tutulur. ARS denetimi veya uyuşmazlık durumunda, tam doğrulama raporuyla çıkılan herhangi bir tarihsel sürüm seçilebilir. Bu organizasyon, eski kağıt-dijital hibrit arşivleme sistemine kıyasla denetim hazırlığı sürelerini yaklaşık %70 azalttı.

Sonuç

İmzalı bir Risklerin Benzersiz Değerlendirmesi Belgesi için özgünlüğü doğrulamak isteğe bağlı bir formalite değildir: hukuki ve örgütsel bir gerekliliktir. İş Kanunu'ndan kaynaklanan yükümlülükler, 2021'den bu yana dayatılan 40 yıllık saklama süresi ve kaza durumunda sorumluluk riskleri arasında, yalnızca sağlam elektronik imza — güvenilir doğrulama araçlarıyla eşlik edilen — DUER'in tam kanıt gücünü garantiler.

PDF okuyucusu, Avrupa doğrulama hizmeti veya doğrudan imza platformunuz aracılığıyla geçerli olsun, önemli olan bu doğrulamayı belgelenmiş ve tekrarlanabilir bir süreçte dahil etmektir.

Certyneo, DUER'i tam eIDAS uyumluluğunun yanı sıra eksiksiz denetim kaydı ve entegre kanıt değeri olan arşivleme ile imzalamak, doğrulamak ve arşivlemek için imkan verir. Certyneo'da ücretsiz hesap oluşturun ve bugün önleme belgelerinizin hukuki değerini güvence altına alın.