Hoppa till innehåll

PUB-avtal med Fortnox — bokföring, löner och GDPR

Fortnox är Sveriges ledande molnbaserade bokföringssystem och hanterar finansiell data, löneuppgifter och personnummer. Förstå Fortnox DPA, bokföringslagens bevarandekrav och GDPR-ansvaret.

Fortnox AB är ett av Sveriges mest använda molnbaserade ekonomisystem och det självklara alternativet för svenska SME-företag, redovisningsbyråer och entreprenörer. Systemet hanterar bokföring, fakturering, löneadministration, tidsrapportering och offerthantering — vilket gör det till ett av de mer dataintensiva systemen ur GDPR-perspektiv.

Det som gör Fortnox unikt ur GDPR-perspektiv är kombinationen av tre faktorer: det behandlar ekonomisk data (fakturor, kvitton, transaktioner) med personuppgifter om kunder och leverantörer, det hanterar lönedata inklusive personnummer om anställda, och det används av redovisningsbyråer för att hantera klienters data — vilket skapar komplexa biträdeskedjor.

För en typisk användare — ett litet till medelstort företag som sköter sin egen bokföring — är Fortnox deras personuppgiftsbiträde. Fortnox behandlar fakturadata (med kundernas namn och adresser), leverantörsdata (med kontaktpersonernas uppgifter) och lönedata (med anställdas personnummer, löner och frånvaro).

För en redovisningsbyrå som hanterar klienters bokföring i Fortnox är bilden mer komplex: redovisningsbyrån är personuppgiftsbiträde gentemot sin klient (klienten är personuppgiftsansvarig), och Fortnox är underbiträde till redovisningsbyrån. Hela biträdeskeden måste dokumenteras och klienten måste ha godkänt att Fortnox används som underbiträde.

Fortnox är ett helsvenskt bolag med datalagring i Sverige — vilket eliminerar tredjelandsproblematiken och förenklar GDPR-argumentationen jämfört med internationella leverantörer. Men detta löser inte alla GDPR-krav: korrekt DPA, registerförteckning, och hantering av de registrerades rättigheter kvarstår.

→ Officiellt DPA-avtal från leverantören ↗

Kontrollera er compliance på några minuter

Generera ditt PUB-avtal med Fortnox gratis — klart på 10 minuter

Kör gratis skanning

Fortnox DPA och aktivering

Fortnox personuppgiftsbiträdesavtal finns tillgängligt på fortnox.se/gdpr/personuppgiftsbitradesavtal. Till skillnad från Google och Microsoft kräver Fortnox att du aktivt signerar DPA:n:

  1. Logga in på ditt Fortnox-konto
  2. Gå till Inställningar > GDPR > Personuppgiftsbiträdesavtal
  3. Granska och signera avtalet digitalt
  4. Ladda ner den signerade kopian och arkivera
  5. Inkludera Fortnox AB som personuppgiftsbiträde i din Art. 30-förteckning

Lönedata och personnummer i Fortnox

Fortnox Lön hanterar personalens lönedata inklusive personnummer. Personnummer är en skyddad uppgift under Dataskyddslagen 3 kap 10 § och kräver ett av de definierade undantagen:

  • Skatteändamål: Arbetsgivardeklarationer (AGI) och skatteuppgifter kräver personnummer — tydlig rättslig förpliktelse (Art. 6.1.c).
  • Socialförsäkring: Sjukanmälan, föräldrapenning och andra socialförsäkringsinteraktioner kräver personnummer.
  • Identifiering av anställda: Om personnummer är det primära identifieringssättet i lönesystemet är det typiskt motiverat.

Vad som inte är motiverat: lagra personnummer i fritext i kommentarsfält, använda personnummer som kundnummer i faktureringsmodulen, eller behandla personnummer i Fortnox för ändamål utanför löne- och skatterapportering.

Bokföringslagens 7-årsregel och GDPR-minimering

Den centrala spänningen för Fortnox-användare: Bokföringslagen (BFL) kräver att räkenskapsmaterial — inklusive fakturor, kvitton och bokföringsunderlag — bevaras i 7 år. Räkenskapsmaterial innehåller personuppgifter: kunders och leverantörers namn, adresser och kontaktuppgifter.

GDPR:s lagringsminimering (Art. 5.1.e) kräver att uppgifter inte lagras längre än nödvändigt för ändamålet. Svaret: BFL-kravet utgör en rättslig förpliktelse (Art. 6.1.c) som trumfar lagringsminimeringen för de uppgifter som faktiskt krävs för bokföringsändamålet.

Praktisk tillämpning: Fakturadata med kundnamn och adress: bevaras 7 år. E-postkorrespondens om fakturor som inte är bokföringsunderlag: behöver inte bevaras 7 år. Kundkontakter i Fortnox CRM-del utöver vad som finns på fakturor: bör ha en kortare lagringstid (1–3 år).

Fortnox och redovisningsbyråer

Om du är en redovisningsbyrå som använder Fortnox för att hantera klienters bokföring är din GDPR-situation mer komplex:

Biträdeskeden: Klienten (PUA) → Redovisningsbyrå (PUB) → Fortnox (underbiträde)

Vad detta kräver: 1. PUB-avtal mellan klienten och redovisningsbyrån 2. Fortnox DPA signerat av redovisningsbyrån (byrån är Fortnox direkta kund) 3. Information till klienten om att Fortnox används som underbiträde 4. Klientens godkännande (explicit eller via klausul i PUB-avtalet) av att Fortnox används

Fortnox Byrå (produkten för redovisningsbyråer med multi-klient-hantering) hanterar denna biträdeskeden techniskt — varje klientmiljö är isolerad — men den juridiska dokumentationen måste ändå finnas på plats.

Rätten till registerutdrag och radering i Fortnox

En kund som har fakturerats via Fortnox har rätt att begära ett registerutdrag (Art. 15) om vilken data du lagrar om dem. Fortnox tillhandahåller exportfunktioner för att sammanställa kunddata.

Rätten till radering (Art. 17): begränsad av BFL-kravet. En kund kan inte kräva att du raderar fakturor som utgör räkenskapsmaterial under 7-årsperioden — men du kan informera dem om begränsningen och erbjuda radering av eventuell data utöver det juridiskt nödvändiga (t.ex. fritext-anteckningar om kunden).

Fortnox API och integrationer

Många företag kopplar Fortnox till sin e-handel (WooCommerce, Shopify, Magento) via Fortnox API. Dessa integrationer skapar ett dataflöde: kunddata och orderdata från e-handeln skickas till Fortnox för fakturering. Se till att:

  • Integrationen enbart skickar nödvändig data (dataminimering: namn, adress, ordernummer, belopp)
  • API-nycklar hanteras säkert (rotera regelbundet, lagra i secrets manager, inte i kod)
  • E-handelns integritetspolicy nämner att orderdata skickas till Fortnox för bokföringsändamål
  • Du uppdaterar din Art. 30-förteckning med Fortnox som biträde för bokföringsbehandlingen

Fortnox är ett av Sveriges vanligaste bokföringsprogram och behandlar som personuppgiftsbiträde bl.a. anställdas löner och personuppgifter, kunders och leverantörers kontaktdata, och faktura-personuppgifter. Fortnox DPA finns under Inställningar > Integrationer > GDPR i Fortnox-portalen och specificerar MSB-notifierade säkerhetsåtgärder.

Fortnox lagrar data uteslutande i Sverige på svenska servrar – en styrka ur Schrems II-perspektiv. Integrationerna i Fortnox Marketplace kan dock introducera utländska sub-processors; granska varje integration separat.

Lönedata i Fortnox Lön innehåller personnummer och känsliga uppgifter om sjukfrånvaro och förmåner. Åtkomst bör begränsas via Fortnox användarroller (Lönekörare-rollen) och loggas. Bokföringslagens 7-åriga bevaringstid gäller för räkenskapsinformation i Fortnox – men personnummer som inte är del av räkenskapsinformationen ska raderas när de förlorar sin funktion.

IMY-precedent

IMY om redovisningssystem och underbiträdeskedjor

IMY har i vägledningar och tillsynsbeslut 2024 betonat att redovisningsbyråer och deras klienter måste dokumentera hela biträdeskeden — inklusive molnbaserade bokföringssystem som Fortnox, Visma och Hogia — i sina Art. 30-förteckningar. Avsaknad av PUB-avtal med bokföringssystemet är ett vanligt brott som konstaterats vid tillsyn av SME-bolag och redovisningsbyråer.

Alla IMY-beslut

Registerförteckning Art. 30 — mall för SME och redovisningsbyråer

Färdig mall för Art. 30-registerförteckning med kategorier för bokförings- och lönedata. Anpassad för Fortnox-användare.

Läs guiden

Vanliga frågor

Relaterade guider

Hur compliance-redo är din webbplats?

Northverify kontrollerar GDPR, EAA, NIS2 och 14 svenska lagar i en skanning som tar några minuter. Ingen registrering, inget kreditkort.

Skanna gratis →