Hoppa till innehåll

GDPR för redovisningsbyrå — bokföringslagen, Fortnox och PUB-avtal

Bokföringslagens 7-årsregel och GDPR:s lagringsminimering skapar en inneboende spänning för redovisningsbyråer. Förstå regelverket och kontrollera er digitala compliance.

Redovisningsbyråer hanterar personuppgifter om en rad registrerade: klienters egna kunder och leverantörer (i fakturadata), klienters anställda (i lönedata och personalregister), och klienterna själva (i uppdragsförhållandet). Det gör redovisningsbyrån till en av de mer exponerade branscherna ur GDPR-perspektiv — inte för att de behandlar känsliga uppgifter per se, utan för att behandlingsvolymen är hög och komplexiteten i underbiträdeskedjan (byrå → Fortnox/Visma → serverinfrastruktur) kräver tydlig dokumentation.

Den centrala spänningen för redovisningsbyråer är mellan bokföringslagens lagstadgade krav på 7 års bevarandetid och GDPR:s princip om lagringsminimering (Art. 5.1.e — uppgifter ska inte bevaras längre än nödvändigt för ändamålet). Svaret finns i GDPR Art. 6.1.c — rättslig förpliktelse väger tyngre än lagringsminimeringen för det specifika ändamålet. Men det innebär inte att all data kan sparas i 7 år — enbart det som faktiskt krävs för bokföringsändamålet.

En Northverify-skanning av en redovisningsbyrås webbplats kontrollerar de digitala compliance-punkter som är specifika för branschen: hur klientdata hanteras i kontaktformulär, om integritetspolicyn täcker behandlingen av klienters personals lönedata, och om webbplatsens säkerhetskonfiguration är tillräcklig för en aktör med tillgång till känslig ekonomisk information.

Kontrollera er compliance på några minuter

Kontrollera webbplatsens SSL och säkerhetskonfiguration gratis

Kör gratis skanning

Bokföringslagen 7-årsregel vs GDPR-minimering

Bokföringslagen (BFL) kräver att räkenskapsmaterial — inklusive fakturor, kvitton och bokföringsunderlag — bevaras i 7 år. Räkenskapsmaterial innehåller personuppgifter: namn och kontaktuppgifter på kunder och leverantörer, personal som attesterat kostnader, och ibland personnummer på enskilda firmor.

GDPR:s lagringsminimering (Art. 5.1.e) gäller parallellt men med rättslig förpliktelse (Art. 6.1.c) som undantagsgrund. Praktisk tillämpning: uppgifter som krävs för att uppfylla BFL-skyldigheten får sparas i 7 år. Uppgifter i klientregistret som inte behövs för bokföringen — t.ex. kontaktpersonens mobilnummer om det inte finns på fakturan — ska inte sparas under hela bokföringsperioden utan raderas när de inte längre behövs för löpande affärskommunikation.

Lönedata och personnummer

Löneadministration är ett av de dataintensivaste uppdragen en redovisningsbyrå hanterar. Lönedata innehåller personnummer (krävs för skattedeklaration), lönebelopp, frånvaro och semesterdata, och ibland bankkontonummer. Dessa uppgifter behandlas under rättslig förpliktelse (skattelag, socialförsäkringslagstiftning) och avtal (uppdragsavtalet med klienten).

Byrån är personuppgiftsbiträde (PUB) för klientens personalpersonuppgifter — det är klienten (arbetsgivaren) som är personuppgiftsansvarig för sina anställdas lönedata. PUB-avtal med klienten är obligatoriskt.

Personnummer kräver dessutom specifikt stöd i Dataskyddslagen (2018:218) 3 kap 10 § — personnummer får bara behandlas utan samtycke om det klart är nödvändigt med hänsyn till ändamålet, eller om identitetsbestämning av vikt är osäker. Skattedeklaration och löneadministration uppfyller detta krav.

Fortnox och Visma som underbiträden

För en redovisningsbyrå som använder Fortnox, Visma, Hogia eller PE Accounting är dessa leverantörer underbiträden — de behandlar personuppgifter på byråns instruktion som i sin tur agerar på klientens instruktion.

Underbiträdeskedjan kräver:

  • PUB-avtal mellan redovisningsbyrå och klient (klienten är PUA, byrån är PUB)
  • Underbiträdesavtal (eller godkännande av klientens PUB-avtal) mellan byrå och Fortnox/Visma
  • Klientens godkännande av att Fortnox/Visma används som underbiträde

Fortnox och Visma erbjuder standardiserade DPA-avtal som täcker Art. 28-kraven. Kontrollera att ni ingått dessa avtal och att era PUB-avtal med klienter inkluderar rätten att använda dessa underbiträden.

Klientdata i uppdragsförhållandet

Redovisningsbyråns egna klientregister — kontaktpersoner, uppdragsbeskrivningar, fakturor mot klienter — behandlas med stöd av avtal (Art. 6.1.b) och rättslig förpliktelse (Art. 6.1.c). Byråns integritetspolicy bör adressera:

  • Klienters kontaktpersoners uppgifter (namn, e-post, telefon)
  • Kommunikation och korrespondens
  • Lagringstider för avslutat uppdragsrelationer
  • Klientens anställdas lönedata (med hänvisning till PUB-avtal)

E-postmarknadsföring till befintliga klienter (skatteuppdateringar, nyhetsbrev) kan motiveras med berättigat intresse för professionell kommunikation. E-post till presumtiva klienter kräver antingen samtycke eller ett tydligt berättigat intresse med dokumenterad intresseavvägning.

Outsourcad löneadministration och säkerhetskrav

Redovisningsbyråer som hanterar lönedata på uppdrag av klienter behandlar ekonomisk information som är attraktiv för angrepp. NIS2/Cybersäkerhetslagen ställer krav på att viktiga leverantörer har adekvata säkerhetsåtgärder. Redovisningsbyråer som levererar kritiska ekonomiska tjänster till företag kan klassas som viktiga tjänsteleverantörer under Cybersäkerhetslagen.

Minimumkrav för en redovisningsbyrå ur säkerhetsperspektiv: krypterad kommunikation (HTTPS + E2E-kryptering för e-post med känslig ekonomisk data), multifaktorautentisering för access till redovisningssystem, och åtkomstkontroll per klient (personalen ska bara ha access till det klientunderlag de arbetar med).

Bokföringslagen, lagringstider och GDPR-konflikten

Redovisningsbyråer och deras klienter möter en direkt konflikt mellan GDPR:s lagringsminimeringsprincip (artikel 5.1e – data får ej sparas längre än nödvändigt) och bokföringslagen (BFL) 7 kap som kräver att räkenskapsinformation bevaras i sju år. Lösningen är att BFL fungerar som en rättslig grund under GDPR artikel 6.1c (rättslig förpliktelse) för bevarandet av bokföringsdata, men att övrig persondata (t.ex. kontaktuppgifter till anställda hos klientföretaget) ska raderas när den saknar juridisk grund.

Fortnox, Visma och Björn Lundén är sub-processors som behandlar klientdata på uppdrag av redovisningsbyrån. Byrån är personuppgiftsansvarig gentemot sina klienter; systemleverantörerna är biträden som kräver egna DPA-avtal. Fortnox:s DPA specificerar EU-datahantering och MSB-notifierade säkerhetsåtgärder.

Lönedata – personnummer, lönebelopp, sjukdagar, förmåner – är känslig och kräver strikt åtkomstkontroll. Redovisningsbyråer som hanterar löner för klientföretag bör ha separata åtkomstprofiler per klientmandant och logga åtkomst. Vid dataintrång i lönesystem ska IMY och berörd registrerade (den anställde) notifieras inom 72 timmar.

Revisionsspår i redovisningssystem (vem ändrade vad och när) innehåller personuppgifter om bokförare och godkännare. Dessa loggar ska skyddas och raderas när de inte längre behövs för revision eller lagkrav.

Klientens rätt till dataportabilitet (GDPR artikel 20) är relevant vid byråbyte: den avgående revisionsbyrån ska på begäran lämna ut klientdata i strukturerat, maskinläsbart format. Definierade exportrutin i Fortnox, Visma m.fl. ska vara dokumenterad i byråns GDPR-policy. Klienten äger sin bokföringsdata; byrån är biträde och saknar rätt att kvarhålla data som hinder mot byråbyte. Notifiering vid incidenter som drabbar klientdata ska ske till IMY inom 72 timmar och till berörd klient om risken bedöms hög. Skatteverkets e-tjänster och API:er för inkomstuppgifter och arbetsgivardeklarationer (AGI) innebär att personnummer och lönedata skickas till och från Skatteverkets system. Dessa överföringar är reglerade av sekretesslagen och GDPR artikel 6.1c (rättslig förpliktelse) och kräver säkra API-anslutningar med certifikatbaserad autentisering. Granska att er redovisningsprogramvara håller AGI-integrationen uppdaterad och dokumentera certifikatets giltighetstid och förnyelseprocess.

Redovisningsbyråer som anlitar underentreprenörer (t.ex. frilansande revisorer eller löneadministratörer) måste upprätta underbiträdesavtal. Dessa ska specificera vilka uppgifter underentreprenören får behandla, lagringstider och skyldigheten att radera data när uppdraget avslutas. Klientens ursprungliga DPA-avtal med byrån ska innehålla en klausul om att klienten godkänner användning av underbiträden alternativt informeras om varje ny underentreprenör. Dokumentera och uppdatera listan löpande i registerförteckningen per artikel 30.

IMY-precedent

4,2 MSEK

IDS Scheer Sverige AB — 4,2 MSEK (finansiell sektor, 2022)

IMY ålade IDS Scheer (ekonomi- och affärssystemsleverantör) att betala 4,2 miljoner kronor för brister i hanteringen av personuppgifter i deras affärssystem. Beslutet är relevant för alla IT-leverantörer och system som hanterar ekonomisk information med personuppgifter — inklusive redovisnings- och affärssystem.

Alla IMY-beslut

Registerförteckning Art. 30 + DPIA: mall för tjänsteföretag

Färdig mall för Art. 30-registerförteckning anpassad för redovisnings- och ekonomikonsulter, inklusive kategorier för lönedata och klientregister.

Läs guiden

Vanliga frågor

Relaterade guider

Hur compliance-redo är din webbplats?

Northverify kontrollerar GDPR, EAA, NIS2 och 14 svenska lagar i en skanning som tar några minuter. Ingen registrering, inget kreditkort.

Skanna gratis →