Vem bär ansvaret när ett äldre system stängs ner?
Emanuel Böminghaus, expert på äldre system, Managing Director för AvenDATA
Emanuel Böminghaus
expert på äldre system,
Managing Director för AvenDATA
Managing Director för AvenDATA
Att stänga ner en föråldrad plattform är ofta en viktig teknisk milstolpe. Projektet markeras som avslutat och kopplingar bryts samt servrar stängs av. Men all data finns kvar. Och med den följer en mycket central fråga. Vem bär egentligen ansvaret för denna information när det ursprungliga systemet inte längre existerar?
I praktiken uppstår det ofta en stor otydlighet när gamla plattformar tas ur drift. Er tekniska avdelning anser sig inte längre vara ansvarig och era olika affärsområden förlorar sin åtkomst. Samtidigt kräver ert ombud för dataskydd att informationen raderas medan personerna med ansvar för regelefterlevnad insisterar på att allt måste sparas. Denna konflikt går bara att lösa om din verksamhet mycket tidigt och tydligt bestämmer vem som ansvarar för vad.
Ansvaret upphör inte bara för att ett system stängs ner
Även om ett äldre system stängs ner rent tekniskt förblir all tillhörande data mycket viktig ur både ett juridiskt och ett organisatoriskt perspektiv. Era affärsdokument och transaktioner samt avtal eller information om personal omfattas fortfarande av strikta krav på lagring enligt Bokföringslagen och regler kring dataskydd som GDPR. Detta innebär en mycket viktig sak. Ansvaret för denna data flyttas visserligen men det försvinner absolut inte.
Ett mycket vanligt misstag är att anta att ansvaret per automatik övergår till den tekniska avdelningen eller slutar gälla helt när plattformen tas ur drift. I verkligheten är det nästan alltid flera olika enheter som är involverade och alla bidrar med sina egna specifika perspektiv.
Den tekniska avdelningens roll
Din tekniska avdelning ansvarar normalt sett för själva den tekniska nedstängningen. Det handlar om att säkert stänga av all infrastruktur och migrera eller arkivera data samt ta bort alla tidigare vägar för åtkomst. Att tillhandahålla en lösning för arkivering av det äldre systemet faller också ofta inom deras ansvarsområde. Men det finns ett viktigt undantag. Teknikerna ansvarar inte för att bedöma innehållet i informationen eller dess juridiska relevans. De kan genomföra de tekniska åtgärderna men de äger inte själva innehållet.
Affärsområdenas Ansvar
Era olika affärsområden bär ansvaret för att informationen skapas och används samt tolkas. Detta gäller även efter att det ursprungliga systemet har stängts ner. Det är de som vet exakt vilken data som är relevant och vilka dokument som måste sparas enligt lag samt vad som faktiskt kan raderas. Därför måste era olika avdelningar vara mycket aktivt involverade i hela processen för arkivering. Detta är särskilt viktigt när det gäller att fastställa rätt volymer av data och behörigheter för åtkomst samt tider för lagring.
Efter att arkiveringen är genomförd ligger ansvaret för innehållet kvar hos respektive affärsområde även om de numera bara har en behörighet för att läsa informationen. Om detta ansvar inte regleras mycket tydligt uppstår det snabbt farliga luckor i ansvarsfördelningen. Detta blir särskilt allvarligt vid händelser som en granskning från Skatteverket eller vid komplexa interna utredningar.
Dataskydd och krav på radaring
Ert ombud för dataskydd är skyldig att övervaka att alla begränsningar för lagring följs och att de registrerades rättigheter respekteras fullt ut. Även efter en arkivering måste ni säkerställa att personuppgifter från gamla plattformar inte sparas i all oändlighet. Informationen måste kunna raderas eller anonymiseras när de lagstadgade tidsgränserna har passerat.
För att lyckas med detta krävs tydliga rutiner för radering och extremt klara ansvarsområden. Detta gäller särskilt för beslutet kring exakt vilken data från den äldre plattformen som ska sparas och vad som ska tas bort. Ansvaret för ert dataskydd ligger alltså inte hos den tekniska avdelningen utan nästan uteslutande hos respektive affärsområde i nära samråd med ert ombud för dataskydd.
Regelefterlevnad och granskning samt juridiskt Ansvar
Era avdelningar för juridik och regelefterlevnad har ett extra stort intresse av att arkiverad data från äldre system förblir helt komplett och oförändrad samt lättillgänglig. De bär ett stort ansvar gentemot myndigheter och revisorer samt domstolar. Särskilt när det gäller underlag för skatt eller vid potentiella tvister är en snabb åtkomst till historisk information helt avgörande.
Personerna med ansvar för regelefterlevnad bör därför arbeta mycket nära den tekniska avdelningen och era olika affärsområden. Detta för att säkerställa att alla relevanta regelverk följs till punkt och pricka. Här handlar det ofta om lagar som Bokföringslagen och kraven i GDPR samt specifika riktlinjer för just er bransch. I slutändan är det ofta vd eller styrelsen som ställs till svars vid överträdelser och detta kan ske många år efter att ett gammalt system har stängts ner.
Slutsats: Tydliga ansvarsområden förhindrar dyra missförstånd
Ansvaret för er data upphör absolut inte bara för att en gammal plattform stängs av. Det fördelas över flera olika instanser som er tekniska avdelning och era affärsområden samt ansvariga för dataskydd och regelefterlevnad. Detta samspel måste vara oerhört tydligt reglerat. Om din verksamhet inte aktivt definierar dessa roller riskerar ni en farlig otydlighet och brott mot lagstadgade krav samt förlust av kritisk information.
Arkivering är därför aldrig enbart en teknisk uppgift utan ett projekt som spänner över hela organisationen. Endast genom mycket tydliga ansvarsområden och samordnade processer samt en transparent dokumentation kan ni säkerställa att all data hanteras helt korrekt även efter att en äldre plattform har tagits ur drift. På så sätt förblir informationen juridiskt säker och spårbar samt ständigt tillgänglig.
Planerar du att arkivera ett äldre system?