Xác minh tính xác thực của tài liệu đã ký: DUER

Tài liệu Đánh giá Rủi ro Duy nhất (DUER) là một phần then chốt của tuân thủ sức khỏe và an toàn lao động ở Pháp. Được thành lập bởi Sắc lệnh n°2001-1016 ngày 5 tháng 11 năm 2001, nó là bắt buộc đối với mọi công ty từ nhân viên đầu tiên. Tuy nhiên, giá trị pháp lý của nó trong trường hợp kiểm tra của Thanh tra Lao động, tai nạn hoặc tranh chấp phần lớn dựa trên khả năng truy xuất và tính xác thực của các chữ ký xác nhận nó. Làm thế nào để đảm bảo rằng một DUER được ký điện tử không bị thay đổi sau khi ký? Những công cụ và phương pháp nào cho phép xác minh tính xác thực này? Bài viết này sẽ hướng dẫn bạn từng bước, từ các nguyên tắc kỹ thuật cơ bản đến các thực hành tổ chức tốt.

Tại sao tính xác thực của chữ ký DUER lại quan trọng

Những vấn đề pháp lý và quy định

DUER không phải là tài liệu hành chính thông thường. Trong trường hợp tai nạn lao động, bệnh nghề nghiệp hoặc tranh chấp phức tạp, nó có thể được trình bày tại tòa án như bằng chứng về chính sách phòng ngừa của chủ sử dụng lao động. Bộ Luật Lao động (các điều L.4121-1 trở đi) yêu cầu chủ sử dụng lao động có nghĩa vụ bảo vệ kết quả, và DUER là dấu vết chính thức của đánh giá của họ.

Một chữ ký điện tử không thể xác minh hoặc bị thay đổi có thể dẫn đến:

• Tính vô hiệu của tài liệu như bằng chứng trước tòa án;
• Các hình phạt hành chính có thể lên đến 3.750 € tiền phạt trên mỗi nhân viên không được bảo vệ;
• Trách nhiệm hình sự của chủ doanh nghiệp có thể bị đặt ra trong trường hợp tai nạn nghiêm trọng.

Kể từ Luật n°2021-1018 ngày 2 tháng 8 năm 2021 (Luật Sức khỏe Lao động), việc cập nhật DUER phải thường xuyên hơn đối với các công ty có 11 nhân viên trở lên, và việc bảo quản nó hiện được kéo dài đến 40 năm. Khoảng thời gian dài này tăng cường nhu cầu về chữ ký điện tử mạnh mẽ và có thể xác minh được theo thời gian.

Sự khác biệt giữa chữ ký quét và chữ ký điện tử hợp lệ

Nhiều trưởng phòng HR hoặc HSE cho rằng việc ghi chữ ký viết tay được quét trên PDF là đủ. Đó không phải là trường hợp. Chữ ký hình ảnh (quét) không đảm bảo bất kỳ tính toàn vẹn nào của tài liệu: tệp có thể được sửa đổi sau đó mà không để lại dấu vết có thể phát hiện.

Một chữ ký điện tử tuân thủ Quy định eIDAS, ngược lại, dựa trên một cơ chế mật mã học liên kết một cách không thể đảo ngược danh tính của người ký với nội dung của tài liệu vào một thời điểm cụ thể. Bất kỳ sửa đổi nào sau đó, ngay cả nhỏ — một khoảng trắng được thêm vào, một số được thay đổi — sẽ làm vô hiệu chữ ký và kích hoạt cảnh báo khi xác minh.

Thuật ngữ chữ ký điện tử phân biệt ba cấp độ được eIDAS công nhận: chữ ký điện tử đơn giản (SES), nâng cao (SEA) và hợp lệ (SEQ). Đối với tài liệu nhạy cảm như DUER, cấp độ nâng cao được khuyến nghị tối thiểu, cấp độ hợp lệ sẽ ưa thích hơn cho các công ty phải chịu kiểm tra thường xuyên.

Các phương pháp thực tế để xác minh tính xác thực của DUER được ký

Xác minh thông qua trình đọc PDF gốc

Phương pháp dễ tiếp cận nhất là mở tài liệu trong Adobe Acrobat Reader (phiên bản miễn phí) hoặc trình đọc PDF tương thích. Khi có chữ ký điện tử hợp lệ, bảng chữ ký sẽ hiển thị tự động. Nó chỉ ra:

1. Danh tính của người ký: tên, họ, tổ chức và chứng chỉ được sử dụng;
2. Ngày và giờ ký, được đóng dấu thời gian bằng mã hóa;
3. Tình trạng tính toàn vẹn: "Chữ ký hợp lệ" hoặc "Tài liệu đã bị sửa đổi sau khi ký";
4. Chuỗi tin cậy của chứng chỉ: được xác thực bởi cơ quan cấp chứng chỉ công nhận.

Xác minh này là tức thì và không yêu cầu bất kỳ đăng ký nào. Tuy nhiên, nó bị hạn chế: nếu chứng chỉ của cơ quan phát hành không nằm trong danh sách tin cậy của phần mềm (chẳng hạn như danh sách EUTL — Danh sách Tin cậy Liên minh Châu Âu), chữ ký có thể xuất hiện là "không được xác minh" ngay cả khi nó hợp lệ về mặt kỹ thuật.

Xác minh thông qua các dịch vụ xác thực trực tuyến

Ủy ban Châu Âu cung cấp dịch vụ DSS Demo Tools (có thể truy cập trên ec.europa.eu), cho phép tải lên tài liệu được ký và nhận báo cáo xác thực tuân thủ tiêu chuẩn ETSI EN 319 102. Dịch vụ này:

• Xác minh tuân thủ các định dạng XAdES, CAdES, PAdES và JAdES;
• Kiểm soát tính hợp lệ của chứng chỉ tại thời điểm ký thông qua các giao thức OCSP hoặc CRL;
• Tạo báo cáo JSON hoặc PDF chi tiết từng bước xác thực.

Ngoài ra còn có các dịch vụ tư nhân như những dịch vụ do các nhà cung cấp dịch vụ tin cậy hợp lệ (QTSP) tham chiếu trên danh sách tin cậy quốc gia cung cấp. Ở Pháp, ANSSI công bố danh sách các QTSP được công nhận. Sử dụng một trong những dịch vụ này để xác thực DUER bị tranh chấp trong tranh tụng mang lại sức mạnh bằng chứng cao hơn đáng kể.

Xác minh thông qua nền tảng ký gốc

Nếu DUER đã được ký thông qua giải pháp SaaS như Certyneo, xác minh còn trực tiếp hơn. Mỗi tài liệu được ký tạo ra chứng chỉ ký (còn gọi là báo cáo kiểm toán hoặc dấu vết ký) mà lưu trữ:

• Địa chỉ IP và mã định danh phiên của người ký;
• Giá trị băm mật mã SHA-256 của tài liệu gốc;
• Horodatage hợp lệ RFC 3161;
• Bằng chứng nhận dạng được sử dụng (email, SMS OTP, thậm chí xác thực mạnh eIDAS).

Báo cáo này tự nó được ký điện tử bởi nhà cung cấp, điều này làm cho nó không thể làm giả và trực tiếp có thể sử dụng làm bằng chứng tại tòa án. Giải pháp chữ ký điện tử cho các doanh nghiệp Certyneo tích hợp cơ chế này một cách gốc cho tất cả các tài liệu, bao gồm cả DUER.

Các thực hành tốt để bảo mật chữ ký và bảo quản DUER

Chọn cấp độ chữ ký phù hợp theo hồ sơ rủi ro

Việc lựa chọn cấp độ chữ ký không nên bị bỏ qua. Đối với DUER, đây là lý do được khuyến nghị:

| Bối cảnh | Cấp độ được khuyến nghị | Lý do | |---|---|---| | TPE < 10 nhân viên, hoạt động rủi ro thấp | Chữ ký nâng cao (SEA) | Cân bằng chi phí/giá trị bằng chứng | | SME, ngành công nghiệp hoặc xây dựng | Chữ ký nâng cao với chứng chỉ QSCD | Tuân thủ eIDAS cấp độ cao | | Công ty lớn, ngành y tế hoặc hóa học | Chữ ký hợp lệ (SEQ) | Giá trị tương đương với chữ ký viết tay |

Đối với các công ty trong lĩnh vực chăm sóc sức khỏe, chữ ký điện tử trong chăm sóc sức khỏe tuân thủ các ràng buộc quy định bổ sung (HDS, RGPD y tế) theo yêu cầu hệ thống chữ ký hợp lệ.

Horodatage và lưu trữ dài hạn

Luật Sức khỏe Lao động yêu cầu bảo quản DUER trong 40 năm, vấn đề về thời gian sống của chữ ký đặt ra cụ thể. Chứng chỉ chữ ký có thời hạn hợp lệ hạn chế (thường từ 1 đến 3 năm). Sau thời gian này, chuỗi tin cậy có thể bị phá vỡ.

Giải pháp là dịch vụ lưu trữ có giá trị bằng chứng (dịch vụ lưu trữ điện tử hoặc SAE), kết hợp với horodatage dài hạn theo tiêu chuẩn ETSI EN 319 122. Cơ chế này, đôi khi được gọi là LTV (Xác thực Dài hạn), định kỳ re-horodatage tài liệu bằng cách thêm các bằng chứng tính toàn vẹn bổ sung, đảm bảo khả năng xác minh của nó trong suốt thời hạn pháp lý.

Đừng nhầm lẫn lưu trữ với lưu trữ: một máy chủ tệp đơn giản hoặc ổ đĩa đám mây không tạo thành lưu trữ có giá trị bằng chứng. Chỉ hệ thống đảm bảo tính toàn vẹn, khả năng đọc và truy xuất các truy cập mới thỏa mãn các yêu cầu pháp lý.

Quy trình xác minh khi cập nhật

DUER phải được cập nhật ít nhất một lần mỗi năm, và mỗi khi có sự thay đổi đáng kể trong điều kiện làm việc. Mỗi phiên bản mới phải được phân biệt với phiên bản trước và phải được ký một lần nữa. Quy trình nghiêm ngặt bao gồm:

1. Quản lý phiên bản rõ ràng: số phiên bản, ngày có hiệu lực, danh sách các sửa đổi được thực hiện;
2. Ký phiên bản mới bởi trưởng phòng HSE và, tùy theo trường hợp, bởi đại diện nhân viên (CSE);
3. Bảo quản tất cả các phiên bản trước đó trong SAE, có thể truy cập ở chế độ chỉ đọc;
4. Xác minh tính toàn vẹn của phiên bản hiện tại một cách có hệ thống trước khi chia sẻ với Thanh tra Lao động hoặc các dịch vụ y tế tại nơi làm việc.

Tự động hóa các bước này thông qua nền tảng như Certyneo giảm đáng kể rủi ro lỗi con người và đảm bảo tuân thủ liên tục quy trình. Để đo lường lợi nhuận đầu tư của giải pháp như vậy, máy tính ROI chữ ký điện tử cho phép ước tính lợi ích theo kích thước của tổ chức của bạn.

Khung pháp lý áp dụng cho chữ ký và xác minh DUER

Các văn bản sáng lập về luật lao động

Nghĩa vụ lập Tài liệu Đánh giá Rủi ro Nghề nghiệp Duy nhất (DUERP) phát sinh từ bài viết L.4121-1 của Bộ Luật Lao động, yêu cầu chủ sử dụng lao động ghi lại và cập nhật kết quả đánh giá rủi ro. Sắc lệnh n°2001-1016 ngày 5 tháng 11 năm 2001 đã thành lập nghĩa vụ chính thức này. Luật n°2021-1018 ngày 2 tháng 8 năm 2021 để tăng cường phòng ngừa sức khỏe lao động đã mở rộng các nghĩa vụ bảo quản lên 40 năm và giới thiệu các yêu cầu nộp delectronically cho các dịch vụ y tế tại nơi làm việc cho các công ty có ít nhất 150 nhân viên.

Giá trị pháp lý của chữ ký điện tử

Bài viết 1366 của Bộ Luật Dân sự đặt ra nguyên tắc: "Tài liệu điện tử có cùng sức mạnh bằng chứng như tài liệu trên giấy, với điều kiện có thể xác định đúng người phát hành nó và nó được lập và bảo quản trong các điều kiện để đảm bảo tính toàn vẹn của nó." Bài viết 1367 làm rõ rằng chữ ký điện tử "bao gồm việc sử dụng quy trình xác định đáng tin cậy đảm bảo mối liên kết của nó với hành động nó được gắn kèm".

Quy định eIDAS n°910/2014 của Nghị viện Châu Âu và Hội đồng thành lập khung tin cậy Châu Âu cho giao dịch điện tử. Nó định nghĩa ba cấp độ chữ ký (đơn giản, nâng cao, hợp lệ) và đặt tương đương giữa chữ ký điện tử hợp lệ và chữ ký viết tay tại bài viết 25§2. Chữ ký nâng cao, mặc dù không được hưởng lợi từ giả định pháp lý này, vẫn có thể tiếp nhận được như phương thức bằng chứng theo nguyên tắc không phân biệt của bài viết 25§1.

Chuẩn kỹ thuật tham khảo

Các định dạng chữ ký điện tử được công nhận cho các tài liệu PDF được định nghĩa bởi các tiêu chuẩn ETSI EN 319 132 (XAdES), ETSI EN 319 122 (CAdES) và ETSI EN 319 142 (PAdES). Đối với xác thực dài hạn, tiêu chuẩn ETSI EN 319 102 định nghĩa các quy trình thuật toán xác thực tuân thủ eIDAS.

Horodatage điện tử hợp lệ được quy định bởi bài viết 41 của Quy định eIDAS và tiêu chuẩn RFC 3161 của IETF, đảm bảo ngày chắc chắn có thể đối kháng với các bên thứ ba.

Bảo vệ dữ liệu cá nhân

DUER chứa dữ liệu cá nhân (danh tính của nhân viên, thông tin về sức khỏe và an toàn của họ). Xử lý của nó tuân theo Quy định RGPD n°2016/679. Chữ ký điện tử tự nó bao gồm xử lý dữ liệu nhận dạng của những người ký. Chủ sử dụng lao động, như người chịu trách nhiệm xử lý, phải đảm bảo rằng nhà cung cấp chữ ký là bên dưới được xử lý RGPD-tuân thủ có DPA (Thỏa thuận Xử lý Dữ liệu) tuân thủ bài viết 28 của RGPD.

Rủi ro trong trường hợp không tuân thủ

Sự vắng mặt của DUER hoặc DUER có chữ ký không thể đối kháng để chủ sử dụng lao động phải chịu tiền phạt 3.750 € (vi phạm lớp thứ 5) cho mỗi vi phạm được phát hiện. Trong trường hợp tai nạn lao động nghiêm trọng, tính không thể đối kháng của DUER có thể dẫn đến sự công nhận lỗi không thể chối cãi của chủ sử dụng lao động, dẫn đến tăng cường bồi thường dành cho nạn nhân và hành động đòi lại của CPAM.

Các tình huống sử dụng cụ thể

Nhà thầu công nghiệp đối mặt với kiểm tra của Thanh tra Lao động

Một công ty sản xuất nhỏ vừa 85 nhân viên, hoạt động trong sản xuất các bộ phận kim loại, phải đối mặt với cuộc kiểm tra không báo trước của Thanh tra Lao động sau tai nạn máy móc. Nhà kiểm tra yêu cầu tham khảo DUER có hiệu lực vào ngày xảy ra tai nạn. Trưởng phòng HSE trình bày tệp PDF được ký điện tử thông qua nền tảng ký của công ty.

Nhờ vào chứng chỉ kiểm toán đi kèm tài liệu, nhà kiểm tra có thể xác minh theo thời gian thực: ngày và giờ ký (trước tai nạn), danh tính của người ký (giám đốc sản xuất được phép), tính toàn vẹn của tài liệu (giá trị băm SHA-256 nguyên vẹn), và tuân thủ cấp độ chữ ký (nâng cao với chứng chỉ hợp lệ). Công ty có khả năng chứng minh rằng rủi ro đã được xác định và các biện pháp sửa chữa đã được lên kế hoạch. Tệp hồ sơ này tránh được nó được xác định là lỗi không thể chối cãi. Theo dữ liệu từ báo cáo hàng năm của CNAM về thiệt hại, các công ty có tính truy xuất tài liệu mạnh mẽ giảm tiếp xúc của họ với các hành động đòi lại của CNAM từ 30 đến 45%.

Tư vấn phòng HR quản lý DUER đa khách hàng

Tư vấn về nguồn nhân lực gồm 18 cộng sự hỗ trợ khoảng 40 TPE và SME khách hàng trong việc soạn thảo và cập nhật hàng năm các DUER của họ. Cho đến nay, các tài liệu đã được gửi qua email dưới dạng PDF không ký, sau đó được ký thủ công và gửi lại dưới dạng quét.

Sau khi chuyển đổi sang giải pháp chữ ký điện tử SaaS, mỗi DUER được ký trực tuyến bởi giám đốc khách hàng trong vòng chưa đến 3 phút. Công ty tư vấn có tổng đài trung tâm cho phép xác minh bất kỳ lúc nào tình trạng của mỗi tài liệu: đã ký, horodatage, đã lưu trữ. Trong trường hợp khách hàng đặt câu hỏi về tính hợp lệ của phiên bản trước đó, xác minh tính xác thực mất ít hơn 30 giây. Thời gian dành cho các nhắc nhở và quản lý tài liệu giấy đã giảm khoảng 60%, theo các điểm chuẩn khu vực so sánh được công bố bởi các hiệp hội tư vấn.

Một nhóm các cơ sở chăm sóc quản lý DUER đa năm

Một nhóm bệnh viện tư nhân khoảng 600 giường, gồm một số cơ sở chăm sóc và EHPAD, phải quản lý các DUER cụ thể cho mỗi trang web của nó, bao gồm các rủi ro hóa học, sinh học và tâm lý xã hội. Thời gian bảo quản pháp lý là 40 năm và số lượng người ký (giám đốc trang web, bác sĩ thực hành lao động, đại diện CSE) làm cho việc theo dõi đặc biệt phức tạp.

Nhóm triển khai giải pháp chữ ký điện tử hợp lệ với lưu trữ có giá trị bằng chứng và horodatage dài hạn. Mỗi phiên bản của DUER được niêm phong mã hóa và tự động định kỳ re-horodatage mỗi 3 năm để duy trì chuỗi tin cậy. Trong trường hợp kiểm toán ARS hoặc tranh tụng, bất kỳ phiên bản lịch sử nào có thể được trích xuất với báo cáo xác thực hoàn chỉnh của nó. Tổ chức này đã cho phép giảm gần 70% thời gian chuẩn bị các tệp hồ sơ trong quá trình kiểm tra bên ngoài, so với hệ thống lưu trữ giấy-kỹ thuật số lai cũ.

Kết luận

Xác minh tính xác thực của tài liệu được ký cho Tài liệu Đánh giá Rủi ro Duy nhất không phải là hình thức tùy chọn: đó là nhu cầu pháp lý và tổ chức. Giữa các nghĩa vụ phát sinh từ Bộ Luật Lao động, thời gian bảo quản 40 năm được áp dụng từ năm 2021 và rủi ro trách nhiệm trong trường hợp tai nạn, chỉ có chữ ký điện tử mạnh mẽ — kèm theo các công cụ xác minh đáng tin cậy — mới đảm bảo giá trị bằng chứng đầy đủ của DUER của bạn.

Cho dù bạn sử dụng trình đọc PDF, dịch vụ xác thực Châu Âu hay trực tiếp từ nền tảng ký của bạn, điều cần thiết là tích hợp xác minh này vào quy trình được ghi chép lại và có thể lặp lại.

Certyneo cho phép bạn ký, xác minh và lưu trữ DUER của bạn toàn bộ tuân thủ eIDAS, với dấu vết kiểm toán hoàn chỉnh và lưu trữ có giá trị bằng chứng tích hợp. Tạo tài khoản miễn phí của bạn trên Certyneo và bảo mật giá trị pháp lý của các tài liệu phòng ngừa của bạn từ hôm nay.