Oppbevaring av regnskap i skyen – trygt, men ofte ulovlig

Er nettskyen hostet fra et datasenter i utlandet, er det i utgangspunktet ulovlig å oppbevare regnskapsdokumentasjon på den, advarer Codex-advokat Sebastian Brodtkorb.

NÆRMEST UMULIGE KRAV: Ved lagring i nettsky med serverplassering i utlandet er det vanskelig, om ikke umulig, å oppfylle vilkårene, skriver artikkelforfatteren. Foto: Dreamstime
Debattinnlegg

Regnskapsdokumentasjon skal oppbevares i Norge, fastslår bokføringsforskriften. Det gjelder også elektronisk dokumentasjon som er lagret på server. Når serveren står i utlandet, anses også dokumentasjonen for å bli lagret i utlandet. Det har ingen betydning at det er online-tilgang fra hvor som helst i Norge.

Det er likevel mulig å oppbevare informasjonen lovlig på server i utlandet, dersom Skatteetaten innvilger dispensasjon. Et av vilkårene for å få innvilget dispensasjon, er at lagringen skjer som ledd i en konsernintern løsning, for eksempel ved at det på tvers av landegrensene benyttes et felles IT-system. Det er også en forutsetning at det i søknaden opplyses om selskapsnavnet og adressen der serveren står plassert.

En norsk næringsdrivende som kjøper skylagringstjenester for oppbevaring av regnskapsdokumentasjonen, har altså et problem

Ved lagring i nettsky med serverplassering i utlandet er det vanskelig, om ikke umulig, å oppfylle de ovennevnte vilkårene. Som regel skjer ikke lagringen på nettskyen som ledd i en konsernintern løsning – den lagres i skyen fordi det er trygt og praktisk. Ofte er det heller ikke mulig å oppgi adressen der serveren er plassert, ettersom denne av sikkerhetsmessige hensyn ønskes hemmeligholdt av leverandøren.

Sebastian Brodtkorb. Foto: Codex Advokat

En norsk næringsdrivende som kjøper skylagringstjenester for oppbevaring av regnskapsdokumentasjonen, har altså et problem. Driver ikke vedkommende virksomhet i landet der serveren står plassert, og man ikke kjenner adressen til serverparken, ja, da får man ikke dispensasjon. Alternativet er å lagre dobbelt opp – både i Norge og i skyen, men det var selvsagt ikke det man så for seg når man outsourcet lagringen til en profesjonell aktør.

Tanken bak regelen om pliktig oppbevaring i Norge er at dersom ikke den bokføringspliktige samarbeider med kontrollmyndighetene, vil politiet kunne benytte straffeprosesslovens bestemmelser for å innhente regnskapsdokumentasjonen. Utenfor norsk jurisdiksjon er det naturligvis ikke like enkelt. Likevel vil skatteavtalen som Norge har med det aktuelle landet formentlig muliggjøre ekstradisjon av datagrunnlaget.

Hva Skatteetaten skal foreta seg der for å hente ut hovedboken og reskontroen til Ola Normann AS, kan man lure på

Gitt at Skatteetaten via utenlandske myndigheter får tillatelse til å kreve utlevering, har jeg aldri skjønt hva de skal med adressen til datasenteret. Er planen å ringe på døren og be om harddisken? Det er i så fall naivt. Serverparkene er enorme, dataene er kryptert og fordeler seg gjerne på flere maskiner i forskjellige bygg. For å sette det i perspektiv, er det største datasenteret i USA på 325.000 kvadratmeter og huser over hundre tusen servere. Det største datasenteret i verden ligger i Kina og er dobbelt så stort. Hva Skatteetaten skal foreta seg der for å hente ut hovedboken og reskontroen til Ola Normann AS, kan man lure på.

Departementet forbereder innlemmelse av EUs forordning om fri flyt av andre opplysninger enn personopplysninger i EØS-avtalen. Dette gjelder blant annet lagring av regnskapsdata på tvers av landegrensene. Implementering av forordningen vil derfor forutsette endringer i bokføringsloven, hva gjelder pliktig oppbevaring i Norge.

Skulle utfallet bli en lovendring, slik at data kan lagres lovlig i EU uten dispensasjon, eller dobbelt opp i Norge, løser det imidlertid ikke problemet med lagring utenfor EU. Etter min oppfatning synes det likevel å være et steg i riktig retning. Norske virksomheter må få lov til å delta i den teknologiske utviklingen og benytte seg av trygge og praktiske IT-løsninger. Ifølge ekspertene har den fysiske serverplasseringen lite å si for tilgangen til dataene. Full implementering av forordningen om fri flyt av andre opplysninger enn personopplysninger synes derfor å være fornuftig.

Sebastian Brodtkorb

Senioradvokat i Codex Advokat

codex advokat
it
skylagring
sky
regnskap
Kommentar
Debattinnlegg