Varför tillfällig lagring inte är en riktig arkivering

Emanuel Böminghaus, expert på äldre system, Managing Director för AvenDATA

Emanuel Böminghaus

expert på äldre system,
Managing Director för AvenDATA
När ditt företag stänger ner ett äldre system eller ska flytta historisk data är det vanligt att man väljer en snabb och till synes praktisk lösning. Du kanske helt enkelt kopierar allt till en ny server eller sparar ner en databas och lägger några mappar på en extern enhet. Men en sådan metod missar helt den avgörande skillnaden mellan en enkel förvaring av filer och en verklig arkivering som uppfyller alla krav i Bokföringslagen.
Faktum är att vi ständigt stöter på exakt samma missförstånd när verksamheter ska hantera sin historiska data i samband med att gamla program stängs ner. Dessa vanliga misstag leder inte bara till allvarliga juridiska risker utan de skapar även långsiktiga problem med åtkomst till information och förmågan att klara framtida revisioner samt allvarliga brister i er digitala säkerhet. Här följer en tydlig överblick över de fem allra vanligaste missuppfattningarna:x

Missuppfattning 1: Det räcker med en säkerhetskopia

En säkerhetskopia är till för teknisk återställning vid nödlägen och inte för en långsiktig förvaring som är helt säker för revisioner. Den är cyklisk och skriver över sig själv regelbundet samt är inte alls byggd för att hålla enskild information spårbar och oförändrad samt strukturerad över flera år.
När du stänger ner ett system räcker det alltså inte med en säkerhetskopia för att uppfylla kraven vid en granskning från Skatteverket eller dina juridiska skyldigheter. Ett riktigt arkiv dokumenterar istället all åtkomst och skyddar mot ändringar i efterhand samt säkerställer att din data går att läsa och tolka samt använda även många år senare.

Missuppfattning 2: Endast databaser behöver arkiveras

Många tänker enbart på innehållet i databaser som bokföringsposter eller register över kunder när de ska arkivera efter en nedstängning. Men det är att göra det för enkelt för sig. Även ostrukturerat innehåll som mejl och dokument i PDF eller Word samt filer från Excel omfattas av mycket tydliga krav på lagring och dokumentation enligt Bokföringslagen. I nedstängda system ligger dessa filer ofta utspridda på delade servrar eller nätverksdiskar samt lokala arkiv.
Detta problem blir extra tydligt i stora affärssystem som Visma eller Unit4. Om du bara exporterar själva databasen förlorar du hela det affärsmässiga sammanhanget. Den verkliga logiken bakom affärerna vilket innefattar alla processer och regler samt kopplingar som ger din data dess betydelse går helt enkelt förlorad vid nedstängningen. Utan denna logik blir en stor del av din information varken spårbar eller godkänd vid en framtida revision.

Missuppfattning 3: Filer i PDF är automatiskt säkra för revision

Filer i PDF används ofta som ett smidigt format för arkivering. Men en ensam fil i PDF innebär absolut inte att du har en arkivering som är säker för revision. Det avgörande är inte formatet i sig utan helheten. Har dokumentet sparats på ett sätt som helt förhindrar manipulation? Finns det dokumentation över exakt vem som har haft åtkomst? Har ni en beprövad strategi för framtida radering?
I samband med att ett system stängs ner bör du alltid säkerställa att denna typ av dokument har flyttats över till ett lämpligt system för arkivering. Det är det enda sättet att garantera din juridiska trygghet på lång sikt.

Missuppfattning 4: Det räcker med att vi sparar all data externt

Externa hårddiskar eller lagring i molnet kan vid en första anblick verka som smidiga lösningar för att bevara information när ett system stängs ner. Men i regel uppfyller de inga som helst juridiska krav för arkivering. Utan strukturerad metadata och spårbarhet för granskning samt regler för radering och strikta kontroller av åtkomst skapar du bara en digital förvaring. Det är absolut ingen arkivering som godkänns vid en revision.
Även utifrån kraven i GDPR är detta tillvägagångssätt mycket problematiskt eftersom personuppgifter ofta hamnar i miljöer som saknar certifiering och tillräckligt skydd. En nedstängning av ett system får aldrig förvandlas till en ostrukturerad soptipp för din digitala information.

Missuppfattning 5: Allt är säkert så länge någon fortfarande har åtkomst

Efter att ett system har stängts ner finns det ofta kvar enstaka möjligheter till åtkomst via gamla konton för administratörer eller lokala kopior. Men detta kan aldrig ersätta en strukturerad lösning för arkivering. Så fort er personal byts ut eller mjukvaran slutar fungera eller hårdvaran kraschar är denna åtkomst borta för alltid och därmed även all er data.
Att arkivera innebär att man gör information tillgänglig på lång sikt helt oberoende av det ursprungliga systemet. Om du förlitar dig på att någon på IT säkert kan öppna filerna riskerar du att i ett skarpt läge förlora exakt den historik som krävs vid en granskning från Skatteverket.

Slutsats: Att stänga ner ett system är mycket mer än en teknisk process och kräver tydliga strategier för arkivering samt radaring

En tillfällig lagring är absolut ingen riktig arkivering. Särskilt i samband med att ni stänger ner en teknisk plattform är en noggrann planering helt avgörande. Vilken information behöver ditt företag behålla och vad får ni lov att radera? Hur kan ni spara all data på ett strukturerat sätt som följer lagen och är säkert för revisioner samtidigt som det förblir möjligt att radera specifika delar i framtiden?
Särskilt när det gäller stora affärssystem som Visma eller Unit4 blir det mycket tydligt att hela det affärsmässiga sammanhanget försvinner om den underliggande logiken från själva programmet saknas. Att enbart spara en kopia av databasen räcker inte på långa vägar för att möjliggöra framtida granskningar och informationsutlämning eller uppvisande av juridiska bevis. Det räcker inte heller för att på ett korrekt sätt kunna ta bort personuppgifter i full enlighet med kraven i GDPR när deras lagringstid har löpt ut.
Arkivering är därmed ingen perifer sidofråga utan en helt central beståndsdel i varje projekt där ett system stängs ner. Det är själva grundförutsättningen för att er information ska kunna användas och förstås även i framtiden samt vid behov kunna raderas på ett sätt som uppfyller alla lagkrav.
Planerar du att arkivera ett äldre system?