For at kunne imødekomme den stigende digitalisering i samfundet vil der, med forslaget til den nye bogføringslov, for en lang række virksomheder blive stillet krav om brug af digitale bogføringssystemer og elektronisk opbevaring.
Lovforslaget indeholder en række væsentlige ændringer, der alle bidrager til at øge digitaliseringen af bogføringsprocesser, herunder blandt andet:
- Krav om brug af digitale bogføringssystemer, der opfylder en række krav – med undtagelse for helt små virksomheder
- Anmeldelsespligt af systemet hos Erhvervsstyrelsen
- Krav om digital opbevaring af regnskabsmateriale og sikkerhedskopi heraf (internt eller eksternt). Det vil derfor ikke være tilstrækkeligt at opbevare bogføringsmateriale fysisk.
- Markant forhøjet bødeniveau med mulighed for bøder op til 1,5 mio. kr.
- Det bemærkes for god ordens skyld, at der fortsat som udgangspunkt lægges op til en opbevaringsperiode for bogføringsbilag på 5 år fra udgangen af det regnskabsår, materialet vedrører.
Lovforslaget stiller derfor store krav til såvel de bogføringspligtige som til udbyderne af bogføringssystemer, der også af denne grund vil være nødsaget til at have styr på sin GDPR-compliance for at forblive konkurrencedygtige og relevante i markedet.
Ud fra en databeskyttelsesretlig betragtning er det først og fremmest afgørende, at der sikres efterlevelse af kravene vedrørende:
Databehandlere
Udbyderen af et bogføringssystem vil være at betragte som databehandler, hvorfor der vil skulle indgås databehandleraftale mellem den bogføringspligtige og udbyder af systemet. Det er Datatilsynets, og EY’s anbefaling, at Datatilsynets standard databehandleraftale anvendes til brug herfor.
Datatilsynet har siden 2016 haft fokus på kontrol med databehandlere og har også i 2022 besluttet at føre konkret tilsyn hermed. Det er derfor vigtigt, at parterne i databehandleraftalen fastsætter vilkår om passende kontrol, herunder fordeler udgiften parterne imellem, ligesom det naturligt er vigtigt, at kontrollen rent faktisk gennemføres i overensstemmelse med virksomhedens samlede GDPR årshjul.
EY anbefaler, at systemudbyderne forbereder sig, så de har et oplæg til et passende kontrolframework, hvilket, udover efterlevelse af GDPR, vil efterlade kunderne med et indtryk af digital ansvarlighed og tillige vil kunne være en konkurrencemæssig fordel og ikke mindst et stærkt signal i markedet.
Tredjelandsoverførsler
Der stilles i GDPR store krav til, hvordan en virksomhed lovligt kan overføre personoplysninger til et såkaldt usikkert tredjeland (et land uden for EU/EØS), og det er i praksis ofte ikke muligt at sikre til fulde.
Det er af denne grund vores anbefaling, at I, i videst muligt omfang, søger at begrænse jeres eventuelle tredjelandsoverførsler ved brugen af databehandlere/underdatabehandlere, herunder også i forbindelse med valg af det rette bogføringssystem.
Er dette ikke muligt, skal I altid huske at sikre et lovligt overførselsgrundlag, som fx kan være indgåelse af såkaldte Standard Contractual Clauses ledsaget af en særlig vurdering af, hvorvidt modtagerlandets lovgivning stiller et tilstrækkeligt beskyttelsesniveau med henvisning til de essentielle europæiske garantier.
Privacy by design
Særligt for udbyderne (eller de virksomheder der vælger at udvikle eget system) bør lovforslagets systemkrav samt anmeldelsespligten af systemet til Erhvervsstyrelsen give anledning til et øget fokus på privacy by design og på den såkaldte ”indbyggede databeskyttelse” i systemet. Det enkelte bogføringssystem vil altså skulle designes på en måde og med en sikkerhed, der effektivt implementerer de grundlæggende databeskyttelsesprincipper.
Opbevaring og sletning
Den bogføringspligtige (den dataansvarlige) skal i overensstemmelse med det foreslåede dokumentationskrav sikre rettidig digital opbevaring af faktura og bilag. I den forbindelse er det vigtigt samtidigt at huske på, at de lovpligtige bogføringsbilag ofte indeholder personoplysninger. Den bogføringspligtige er samtidig som led i virksomhedens samlede procedure for opbevaring og sletning forpligtet til at sikre, at bilagene ikke opbevares i længere tid, end det er nødvendigt.
Med udgangspunkt i denne procedure skal den bogføringspligtige instruere systemudbyderen i, hvordan der skal ske sletning i (bogførings)systemet – og med henvisning til princippet om privacy by design er det afgørende, at systemet fra begyndelsen designes på en måde, der understøtter den lovpligtige sletning samt dokumentationen heraf.
Hvad kan EY tilbyde?
Hos EY finder du specialister indenfor databeskyttelsesret og it-sikkerhed, og vi kan bistå med den fulde pallette indenfor GDPR-rådgivning, herunder også i relation til risikostyring, udarbejdelse af kontrolframeworks og revisionserklæringer m.v.
Hvis I ønsker en uforpligtende drøftelse af jeres nuværende status for compliance, herunder en drøftelse af, hvorledes I bør prioritere jeres indsats og ressourcer fremadrettet, kan I med fordel række ud til os.
Kontakt:
- Bodil Hald Brabæk, Director, Head of Data Privacy, EY Law, tlf. 2529 3268
- Emilie Zeest Leth, Manager, Data Privacy, EY Law, tlf. 2529 3802
