Arkiv og lagring i skyen Rettslige skranker Malin Tønseth og Nicolai Halbo 18. Mars 2015 www.svw.no
Hvorfor arkiv / lagring i skyen? Gammel teknologi - dyr å vedlikeholde/drifte Brukergrensesnitt Vanskelig å opprettholde kompetanse Dyrt avhengighetsforhold til konsulenter Ønske om innovative nye løsninger Tilgjengelighet og mobilitet Stabilitet og oppetid Enklere samhandling Ønsker om en effektiv arbeidshverdag Sikkerhet 2
Utfordringer Skytjenester kan oppfattes som en trussel mot: Transparens og kontroll Informasjonssikkerhet Minimalitet kun den informasjonen som er nødvendig, som skal registreres. Hvis det ikke lenger er bruk for informasjonen, skal den slettes Det har hersket usikkerhet om lovligheten av skytjenester side 3
Sjekkpunkter for lovlighet Hvor befinner dataene seg? Har betydning for: relevant lovgivning faktisk rådighet over dataene rettmessig krav på tilgang risikobildet (landrisiko) etc. Andre regler (i hvilket landskap befinner din virksomhet seg)? 4
Sjekkpunkter for lovlighet Overføring av data utenfor EØS? Risikovurdering Databehandleravtaler Andre regler (i hvilket landskap befinner din virksomhet seg)? 5
Arkivloven Arkivloven 9 offentlige arkiv "Utan i samsvar med føresegner gjevne i medhald av 12 i denne lova eller etter særskilt samtykke frå Riksarkivaren, kan ikkje arkivmateriale (b.) førast ut or landet, dersom dette ikkje representerer ein naudsynt del av den forvaltningsmessige eller rettslege bruken av dokumenta." Arkivloven 15, 17 og 19 private arkiv Melding til Riksarkivaren hvis arkiv planlegges ført ut or landet eller står i fare for å gå tapt Riksarkivaren kan kreve å få kopiere arkivdokumentene Særskilt verneverdig arkiv: utførsel krever samtykke fra Riksarkivaren side 6
Bokføringsloven med forskrifter Hovedregel: Regnskapsmateriale skal oppbevares i Norge (bokføringsloven 13) Unntak 1 Permanent elektronisk lagring i SV, FI, IS og DK (forskriften 7-5 og forskrift av 3. juni 2010 om oppbevaring av elektronisk regnskapsmateriale i andre EØS-land ) Adgang til regnskapsinformasjonen for kontrollformål i oppbevaringstiden (forskriften 7-5) Unntak 2 Midlertidig lagring utenfor Norge hvis regnskap føres i utlandet (forskriften 7-4) Unntak 3 Dispensasjon fra SKD (loven 13, siste ledd, siste setning) Hva skal til for å få dispensasjon? 7
Bokføringsloven 13, annet ledd "Regnskapsmateriale som nevnt i første ledd nr. 1 til 4 skal oppbevares i Norge i fem år etter regnskapsårets slutt. Regnskapsmateriale som nevnt i første ledd nr. 5 til 8 skal oppbevares i Norge i tre år og seks måneder etter regnskapsårets slutt. Originalt regnskapsmateriale kan erstattes ved overføring av regnskapsinformasjon til andre media hvis muligheten til å etterprøve pliktig regnskapsrapportering i regnskapsmaterialets oppbevaringstid ikke svekkes. Departementet kan i forskrift fastsette nærmere krav til oppbevaringsmedier" side 8
Bokføringsloven 13, første ledd "Som oppbevaringspliktig regnskapsmateriale regnes: 1. Årsregnskap og annen pliktig regnskapsrapportering, årsberetning og revisjonsberetning, 2. spesifikasjoner av pliktig regnskapsrapportering som nevnt i 5, eller bokførte opplysninger som er nødvendig for å kunne utarbeide slike spesifikasjoner av pliktig regnskapsrapportering, 3. dokumentasjon av bokførte opplysninger og slettede opplysninger, dokumentasjon av kontrollsporet mv. og dokumentasjon av balansen, 4. nummererte brev fra revisor, 5. avtaler som gjelder virksomheten, med unntak av avtaler av mindre betydning, 6. korrespondanse som gir vesentlig tilleggsinformasjon i tilknytning til en bokført opplysning, 7. utgående pakksedler eller tilsvarende dokumentasjon som følger varen eller sendes til kjøper på annen måte, 8. prisoversikter som kreves utarbeidet ifølge lov eller forskrift." side 9
Forskriften 7-5 Adgang til å oppbevare elektronisk regnskapsmateriale i andre EØS-stater "Bokføringspliktige kan oppbevare elektronisk regnskapsmateriale i et annet EØS-land dersom avtale eller overenskomst med det aktuelle landet sikrer norske skatte- og avgiftsmyndigheter tilfredsstillende adgang til regnskapsinformasjonen for kontrollformål i oppbevaringstiden, og slik oppbevaring ikke vil være til hinder for effektiv norsk politietterforskning. Regnskapsmaterialet skal være tilgjengelig i lesbar form og skal kunne skrives ut på papir fra terminal eller lignende i Norge i hele oppbevaringsperioden. Den bokføringspliktige skal skriftlig informere Skattedirektoratet om hvilket regnskapsmateriale som oppbevares i utlandet, hvor regnskapsmaterialet oppbevares, og hvordan kontrollmyndighetene til enhver tid kan få adgang til regnskapsmaterialet. Oppbevaringstiden skal som et minimum følge bokføringsloven 13 annet ledd og reglene i denne forskrift selv om oppbevaringstiden er en annen etter det aktuelle lands lovgivning. Skattedirektoratet fastsetter forskrift om hvilke EØS-land som til enhver tid oppfyller vilkårene i første punktum. Uten hensyn til unntak gitt i eller i medhold av første ledd kan Skattedirektoratet ved enkeltvedtak pålegge bokføringspliktige å oppbevare elektronisk regnskapsmateriale i Norge i en periode på inntil 3 år dersom den bokføringspliktige vesentlig har overtrådt bestemmelser gitt i eller i medhold av bokføringsloven eller dersom norske myndigheters tilgang til elektronisk regnskapsmateriale i utlandet har blitt vanskeliggjort på grunn av forhold på den bokføringspliktiges, herunder eventuelle tjenestetilbyderes, side". side 10
Forskriften 7-4.Unntak fra oppbevaringssted "Bokføringspliktige som fører regnskap i utlandet skal overføre regnskapsmateriale til oppbevaring i Norge innen en måned etter fastsetting av årsregnskapet og senest sju måneder etter regnskapsårets slutt. Departementet kan ved enkeltvedtak pålegge den bokføringspliktige å føre og oppbevare regnskapet i Norge dersom den bokføringspliktige vesentlig tilsidesetter bestemmelser i eller i medhold av bokføringsloven. For utenlandske foretak som ikke lenger har bokføringsplikt til Norge er plikten til oppbevaring av regnskapsmateriale i Norge begrenset til 3 år etter regnskapsårets slutt. Bokføringspliktige som driver virksomhet i utlandet kan oppbevare regnskapsmateriale knyttet til denne virksomheten i dette land, dersom de er pliktige til det etter det aktuelle lands lovgivning. Oppbevaringstiden skal som et minimum følge bokføringsloven 13 annet ledd og reglene i denne forskrift selv om oppbevaringstiden er en annen etter det aktuelle lands lovgivning. Regnskapsmateriale skal uten ubegrunnet opphold kunne fremlegges for offentlig kontrollmyndighet i Norge i hele oppbevaringstiden." side 11
Bokføringsloven 13, siste ledd "Departementet kan i forskrift fastsette krav om lengre oppbevaringstid for nærmere angitte typer primærdokumentasjon enn det som følger av annet ledd når det finnes nødvendig av hensyn til pliktig regnskapsrapportering eller skatte- og avgiftskontroll. Departementet kan i forskrift eller ved enkeltvedtak gjøre unntak fra bestemmelsene i annet ledd om oppbevaringssted og oppbevaringstid." side 12
Personopplysningsloven med forskrift Grunnkrav for behandling (loven 8, 9 og 11) Databehandleravtale (loven 13, jf. 15) Tilfredsstillende informasjonssikkerhet (loven 13 og forskriften kap. 2) Overføringsgrunnlag utenfor Norge (loven 29 og 30) 13
Forskrift om IKT-systemer i banker mv. IKT-forskriften Gjelder for mange bransjer, bl.a. banker, forsikringsselskaper, inkassoforetak, eiendomsmeglere m.v. åpner for utsetting av IKT oppgaver ( 2 og 12) ingen spesialregler om eksport ut av Norge, men utkontrakteringen skal inngå i foretakets risikoanalyse vurdering av landrisiko sentral for Finanstilsynet politisk og/eller økonomisk stabilitet er sentralt Utkontraktering av deler eller hele IKT-virksomheten: foretaket skal ha egne retningslinjer ( 2) En skriftlig avtale skal sikre: at tilsyn kan gjennomføres samt håndtering av taushetsbelagt informasjon at Finanstilsynet gis tilgang til opplysninger fra og tilsyn hos IKT-leverandøren Foretaket skal sikre at de har kompetanse til å forvalte utkontrakteringsavtalen side 14
Helseregisterlov Ingen spesialregler om lagring utenfor Norge Helseregisterlov 5: personopplysningsloven gjelder så langt ikke annet følger Pasientjournalloven 22: sikring av konfidensialitet, integritet og tilgjengelighet Dokumentere informasjonssystemer Databehandleravtale Norm for informasjonssikkerhet i helsesektor (Normen) side 15
Andre særlige problemstillinger i skyen Sikkerhetskopiering/speiling Segmentering Tilgangsstyring Logging av autorisert/uautorisert bruk Sikkerhetsdokumentasjon Revisjon Exit 16
Takk for oss! Malin Tønseth Senioradvokat mto@svw.no Nicolai Halbo Senioradvokat nha@svw.no