Vem har access till data i ett molnbaserat system? |
|
|
I ett molnbaserat system når man programvaran via internet, och användaren loggar in med en egen kod. Fördelen är att alla nya versioner och uppdateringar blir tillgängliga automatiskt, och att alla data säkerhetskopieras av programleverantören.
Utöver användaren själv har programleverantören alltid tillgång till lagrade data. Det innebär att ett sekretessavtal behövs mellan användaren och programleverantören för att garantera att inte någon obehörig kan nå och sprida informationen. Det kan vara flera personer hos programleverantören som har tillgång till data, så här måste avtalet tydliggöra att sekretesskraven även gäller för alla programleverantörens medarbetare. Notera att sådan sekretess ska gälla även efter avslutad licens.
Redovisningsbyråns ansvar mot kundföretagen medför även att man behöver ett underbiträdesavtal mellan byrån och programleverantören för att reglera hanteringen av personuppgifter enligt GDPR.
|
Kan mitt företags data ingå i ”Big data” utan att jag godkänner det? |
|
|
Big data är ett begrepp för opersonliga data som ofta sammanställs för att bli statistik och referensvärden som kan användas vid analyser och bedömningar av trender och struktur i en viss population, t ex marginaler, löneandel av omsättningen och finansiering för en viss typ av företag.
Om inget särskilt har avtalats kan programleverantören mycket väl sammanställa sådana data i sina system för både internt och externt bruk. Med internt bruk avses användning inom det egna molnet, t ex för att analysera transaktionsvolymer eller olika snittvärden för den egna populationen som kan utgöra referensvärden som kan vara intressanta att matcha de olika kundföretagen i systemet mot.
Med externt bruk avses att programleverantören kan leverera data till externa företag, t ex för att dessa ska kunna erbjuda tjänster eller marknadsföra sig mot programleverantörens kundstock. Genom att sälja sådan information kan programleverantören skapa extra intäkter till sin egen verksamhet och även ge viss service till det egna molnet.
Det enskilda kundföretaget vet aldrig om man ingår i dessa urval, men ju mera specifika data som väljs ut för analys och bearbetning, desto närmare kommer även identifieringsmöjligheten. Det går normalt inte att reglera att programleverantören undantar vissa enskilda kundföretag ur denna typ av urval, och man upptäcker inte heller om ett visst kundföretag varit med i urvalet eller inte. Det kan dock vara viktigt att känna till om programleverantören har en uttalad policy som ingår i licensavtalet att inte leverera några Big data från det egna molnet för att bedöma behovet av kompletterande sekretess och rutiner för GDPR i licensavtalet.
|
Var lagras räkenskapsinformationen? |
|
|
Denna frågeställning involverar flera parter, eftersom det ofta är programleverantören som avgör var lagringen sker, samtidigt som det är kundföretaget som har lagringsplikt. BFL kräver att lagring sker i Sverige, vilket innebär att det är viktigt att det framgår av licensavtalet att lagringen sker på servrar i Sverige. Men programleverantören kan också ha valt att lagra data på servrar utomlands (i första hand inom EU), vilket kräver att det anmäls till Skatteverket. Notera då att det egentligen är kund-företaget som är bokföringsskyldigt som ska göra denna anmälan, utan att alltid veta var lagringen faktiskt sker.
Det måste framgå av avtalet mellan programleverantören och användaren (som kan vara både redovisningsbyrån och kundföretaget) var data lagras och att en anmälan har skett till Skatteverket om lagring sker utanför Sverige. Om redovisningsbyrån är användare måste man även informera kundföretaget om var lagringen sker och om sådan anmälan har gjorts till Skatteverket.
I praktiken är det inte effektivt att varje enskilt kundföretag anmäler var deras data lagras om programleverantören har valt att ha servrar utomlands. Därför har Skatteverket valt att godkänna att programleverantören gör en sådan anmälan generellt, samt man bifogar en förteckning över vilka kundföretag som lagrar data i sina system. Denna förteckning ska sedan uppdateras månadsvis till Skatteverket.
|
Kan man överlåta ansvaret för lagringen på molnleverantören? |
|
|
Nej, det ansvaret är alltid den bokföringsskyldiges, dvs kundföretagets. I praktiken kommer dock programleverantören att sköta lagringen, men ansvaret finns alltid kvar hos kundföretaget som är bokföringsskyldigt. Det är därför väsentligt att kundföretaget känner till var programleverantörens lagring sker samt vilka rutiner för säkerhetskopiering som tillämpas. Eftersom lagringsplikt gäller under 7 år måste även åtkomst kunna ske efter avslutat licensavtal. Information om sådan åtkomst bör därför framgå av licensavtalet. Om redovisningsbyrån är användare är det viktigt att byrån informerar kundföretaget om programleverantörens rutiner inom dessa områden.
|
Kan man vara ansvarig för ett system som man inte kan kontrollera? |
|
|
Kundföretaget är alltid själv ansvarigt för sin redovisning och räkenskapsinformation, oavsett vilken typ av programvarumiljö som används. Det innebär att brister hos programleverantören blir kundföretagets ansvar, och det är därför viktigt att områden som programleverantörens sekretess, kundföretagets åtkomst, platsen för lagring och rutiner för säkerhetskopiering framgår tydligt av licensavtalet. Notera att frågan om åtkomst även måste vara reglerad efter ett eventuellt upphörande av licensavtalet.
|
Hur vet man att data inte blir kvar hos den leverantör man lämnar? |
|
|
Programleverantören tar normalt inte bort kundföretagets data om licensavtalet avslutas, utan stänger bara av möjligheten att komma in i systemet på samma sätt som tidigare. Det är därför även viktigt att ett sekretessavtal finns mellan kundföretaget, redovisningsbyrån och programleverantören som garanterar att information inte sprids om kundföretaget efter licensavtalets upphörande.
|
Vad händer om licensen med molnleverantören upphör? |
|
|
När licensen upphör avslutas relationen mellan redovisningsbyrån, kundföretaget och program-leverantören. Det innebär i praktiken att kundföretaget normalt inte längre kan komma åt systemet och sina lagrade data.
För att uppfylla sin lagringsplikt enligt BFL måste därför en överenskommelse finnas om att ha fortsatt åtkomst till gammal information så att den kan skrivas ut vid behov, Ett alternativ är att all räkenskapsinformation inklusive systemdokumentation och behandlingshistorik före licensen avslutas överförs till annat digitalt lagringsmedium med egen utskriftsmöjlighet.
En viktig del av systemet är även de inställningar som finns i systemet av momskoder för konton, automatbokningar av avskrivningar, gränsvärden för signaler om avvikelser mm. Detta stannar kvar i det system man lämnar och det är därför viktigt att detta flyttas till annat digitalt lagringsmedium så att det nya systemet kan ställas in på samma sätt.
|
Vad är en originalverifikation i en digital värld? |
|
|
Den digitala miljön medför möjligheter att sända information elektroniskt istället för fysiskt. Regelverken har dock inte uppdaterats, så trots de nya teknikmöjligheterna gäller samma krav som tidigare att spara underlaget till en affärshändelse i original. Man kan därför inte kasta ett original trots att det finns i redovisningen i form av en digital kopia. Denna typ av nya frågeställningar uppstår när regelverken inte uppdateras i tillräckligt snabb takt.
Egna upprättade verifikationer
För egna upprättade underlag, t ex kundfakturor, är det företagets val av presentationsformat som avgör. Det format som företaget väljer blir original. Räkenskapsinformationen ska sparas i detta format i minst 7 år. Det innebär att om företaget upprättar fysiska fakturor är det originalet, men om företaget istället väljer att upprätta elektroniska fakturor som sedan skrivs ut och används så blir de utskrivna fakturorna original. Om de upprättade elektroniska fakturorna omvänt inte skrivs ut utan används som de är blir den elektroniska fakturan originalet. Det spelar dock ingen roll om fakturor som upprättats digitalt för presentation i det egna företaget skrivs ut och skickas till kunden. Den kopia som skrivs ut och skickas till kunden är inte räkenskapsinformation hos det säljande företaget.
Erhållna underlag till verifikationer
Räkenskapsinformation som ett företag tar emot från någon annan ska arkiveras i det format som den anlände i till företaget. Om företaget får en pappersfaktura är det originalet. Det är i den formen det måste då bevaras 7 år. Efter 3 års tid är det tillåtet att göra en överföring till annat format, till exempel skanna in en leverantörsfaktura, och lagra i det formatet resterande tid upp till 7 år av den tid som krävs enligt BFL. Om företaget istället får en E-faktura ska räkenskapsinformationen bevaras digitalt i minst 3 år. Resterande tid av arkiveringsskyldigheten går det att spara i digital form, eller att företaget har gjort en överföring till annat format.
Utlägg
En särskild situation är när en företrädare för företaget gör utlägg och får en verifikation. Här har BFN publicerat ett brevsvar med innebörden att när en anställd köper något för företagets räkning är det att se som en affärshändelse i företaget. Det underlaget som den anställde får vid betalningen blir därmed räkenskapsinformation i företaget. Det innebär att det är det utfärdade kvittot för utlägget som är originalet. Om man fotograferar ett erhållet papperskvitto och överför fotot elektroniskt till företagets redovisning är den handling som fotograferades fortfarande det original som ska sparas under minst 3 år.
Parallella alternativ
Särskilda situationer kan medföra viss osäkerhet. T ex krävs av kassaregisterlagen att ett kvitto ska kunna skrivas ut och erbjudas till kundföretaget. Alternativt kan kvittot överföras digitalt i direkt samband med transaktionen. I en sådan situation där säljaren erbjuder två alternativ av underlag för samma transaktion kan kundföretaget själv välja vad man anser vara originalet.
|
Vad händer om man inte bevarar fotograferade underlag? |
|
|
en digital miljö finns tekniska möjligheter att fotografera av ett fysiskt kvitto eller annat bokförings-underlag, och därefter överföra det till bokföringen elektroniskt. BFL och ML kräver däremot att originalet sparas till och med det tredje året efter utgången av det kalenderår då räkenskapsåret avslutades. Man kan således inte direkt kasta det erhållna originalet utan att bryta mot kraven på arkivering enligt BFL. Avdragsrätten för ingående moms kräver också att originalet finns kvar.
|
Vem är ansvarig för verifikationer som upprättas av redovisningsbyrån? |
|
|
Kundföretaget ansvarar för all räkenskapsinformation som avser dess verksamhet. Det innebär att även räkenskapsinformation i form av verifikationer, rättelser, sammanställningar mm som redovisningsbyrån upprättar under uppdraget blir kundföretagets ansvar. Orsaken är att det anses att redovisningsbyrån har haft i uppdrag att upprätta dessa handlingar åt kundföretaget som underlag för bokföringen.
|
Vem är ansvarig för automatiskt upprättade verifikationer? |
|
|
De moderna redovisningssystemen kan ställas in så att verifikationer konteras och klassificeras automatiskt. Detta sker antingen genom att programmet själv:
- tolkar en digital eller skannad handling och sedan konterar själv
- upprättar räkenskapsinformation baserat på en kopplad händelse, t ex lön och avgifter
- utför en förutbestämd automatbokning vid vissa tidsintervall
Oavsett hur det har skett innebär detta att redovisningen kommer att påverkas utan att någon har bedömt vad det enskilda underlaget eller affärshändelsen avser och godkänt det. Rapporteringen av resultat och ställning kommer också att påverkas, och därmed även ett område som kundföretaget är skyldigt att följa enligt såväl BFL som ABL. Det är alltid den som är redovisningsskyldig som är självständigt ansvarig för sin redovisning och hur den påverkar resultat och ställning.
Det innebär att den som använder dessa system och funktioner måste analysera redovisning och rapportering löpande för att bedöma att resultat och ställning återspeglas på ett relevant och rättvisande sätt. Felaktiga tolkningar och bokningar som sker av systemet blir därmed kundföretagets ansvar, och inte redovisningsbyråns eller programleverantörens.
|
Vad gäller för originalen vid skanning? |
|
|
Skanning innebär att ett original av en verifikation i fysiskt format skannas och överförs till digitalt format. Företaget kan göra det själv, och då finns originalet hos företaget för arkivering enligt kraven i BFL. Men det är också vanligt att ett företag anger sin adress för inkommande fakturor till ett särskilt skanningföretag. De tar emot alla original skannar in dem och sänder vidare i digital form till företaget. Då finns inte originalen hos företaget, men det är ändå samma regler som gäller, dvs att företaget har ansvaret för att lagra originalen under den tid som anges i BFL.
Det är därför viktigt att tydligt reglera lagringsansvaret för de inkommande originalen, samt hur man ska hantera byte av format om man vill ersätta pappersfakturor med digitalt format senare under lagringstiden.
|
Vad innebär byte av format? |
|
|
Enligt BFL ska den som är näringsidkare lagra sin räkenskapsinformation varaktigt och lättåtkomligt, och kunna presentera den i läsbar form. Lagringen ska som huvudregel ske i Sverige under 7 år. De första 3 åren ska originalet arkiveras, därefter får överföring ske till annan tillåten form än originalets form.
I BFL tillåts tre olika former att bevara räkenskapsinformation:
- vanlig läsbar form
- mikroskrift som kan läsas med förstorningsmedel, och
- annan form som kan uppfattas med tekniska hjälpmedel och som genom omedelbar utskrift kan tas fram i sådan form som avses i 1 eller 2.
Byte av format kan innebära att original i pappersform överförs till digital form. Efter 3 år får företaget välja att byta till ett annat format för de resterande 4 åren av lagringstiden.
Men det kan finnas även andra situationer som innebär byte av format, t ex för bankfiler som man vill lagra i ett eget format. Detta är fullt möjligt, för format och räkenskapsinformation är per definition två separata begrepp, där:
– räkenskapsinformation är den information som finns bifogad
– format är den typ av informationsbärare som används
Det innebär att om man får en information digitalt kan den överföras till annat digitalt format när som helst om det kan ske utan informationsförlust. Det tekniska formatkravet är därmed uppfyllt. Däremot kan inte en information som anländer på papper överföras till digital form utan att pappret bevaras i 3 år.
|