Sju år. Inte en dag mindre.

Bokföringslagen (1999:1078, "BFL") föreskriver att räkenskapsinformation ska bevaras i sju år från utgången av det kalenderår då räkenskapsåret avslutades (BFL 7 kap 2 §). Räkenskapsinformation omfattar verifikationer, journaler, huvudbokföring, bokslut och annan information som behövs för att man ska kunna bedöma rörelsens ekonomiska resultat och ställning.

För Skiftios kunder innebär detta att:

• Kvitton, fakturor, kontoutdrag, intäktsrapporter och SIE4-exporter omfattas av lagringsplikten.
• Skiftio kan inte radera bokföringsmaterial i förtid — inte ens på Kundens begäran. En radering vore en lagöverträdelse både för Kunden (BFL 7 kap) och för oss (som personuppgiftsbiträde med rättslig förpliktelse enligt GDPR art. 6.1 c).
• Materialet ska vara åtkomligt i läsbar form under hela perioden — Skiftio garanterar detta via signerad SIE4-export, SHA-256-hashar och oföränderlig kvittolagring (se avsnitt 4).

• Verifikationer — varje kvitto- och intäktspost (BFL 5 kap 6 §). Originalfilen sparas i Supabase Storage med SHA-256-hash i databasen.
• Grundbokföring och huvudbokföring — automatiskt genererad ur de bokförda verifikationerna.
• Årsbokslut, årsredovisning och K1-årsbokslut — när sådana genereras eller importeras till tjänsten.
• Räkenskapsmaterial som styrker bokslutet — moms- och inkomstdeklarationsunderlag som du genererar via Skiftio sparas tillsammans med övrigt material.
• Systemdokumentation och behandlingshistorik (audit-log) — beskrivs i BFL 5 kap 11 §. Skiftios audit-log registrerar varje insättning, ändring och borttagning på de finansiella tabellerna.

När en AI-konversation refererar bokföringsmaterial omfattas det referensspåret av sju-årsregeln via audit-loggen (BFL 5 kap 11 §) även om själva konversationsinnehållet purgas tidigare. Det innebär att vi kan styrka att en konversation om en viss verifikation har förekommit och vilken effekt den haft på bokföringen, även efter att den fritextliga konversationen raderats.

Den 1 juli 2024 trädde lag (2024:342) om ändring i Bokföringslagen i kraft (proposition 2023/24:78, "Avskaffat krav på bevarande av räkenskapsinformation i original"). Sedan dess gäller att räkenskapsinformation får lagras i digital form även när originalet är på papper, så länge informationen är åtkomlig och oförändrad under hela bevarandetiden. Skiftio uppfyller detta krav genom följande tekniska skyddsåtgärder:

• SHA-256-hash på uppladdning — varje originalfil får en hash som lagras tillsammans med metadatat. Vid framtida läsning kan hashen verifieras för att bekräfta att filen inte har manipulerats.
• Oföränderlighet efter godkännande — när Kunden godkänt en verifikation blockeras ändringar av belopp, datum, momssats och bokföringskonto av en databastrigger (Postgres BEFORE UPDATE). Korrigeringar görs i stället genom en ny verifikation som hänvisar till den gamla (rättelseverifikation enligt BFL 5 kap 5 §).
• Period-lås efter momsdeklaration — när en momsperiod markerats som inlämnad till Skatteverket spärras hela perioden från ändringar; eventuella efterhandsändringar hanteras som rättelseverifikationer i nästa öppna period.
• Soft-delete enbart — finansiella tabeller kan endast soft-raderas (kolumnen deleted_at sätts till nuvarande tidpunkt). Hård-radering sker först efter att hela retention-tiden har löpt ut.
• Audit-log som append-only-tabell — varje ändring (INSERT, UPDATE, DELETE) på en finansiell tabell registreras automatiskt med tidsstämpel, användar-id, IP-adress och ett före/efter-snapshot.
• Storage-redundans — Supabase Storage med automatisk replikering inom AWS eu-north-1 (Stockholm) och dagliga Postgres-backuper enligt vår interna operations-runbok.
• Daglig backup, veckovis snapshot — Supabase Postgres-backup tas dagligen och bevaras 30 dagar; veckovis snapshot bevaras 90 dagar. Återställningsövningar genomförs årligen.

Detta innebär att du som Kund inte längre behöver behålla pappersoriginalen efter att kvittot är digitaliserat och godkänt i Skiftio.

Lag (2014:1020) om redovisningscentraler och beställningscentraler för taxitrafik (efter 2018 års tillägg) kräver att taxiverksamheter med taxameter överför uppgifter från taxametern till en licensierad redovisningscentral (RC) minst en gång per vecka. RC bevarar uppgifterna i sju år från utgången av det kalenderår då överföringen skedde och tillhandahåller dem till Skatteverket på begäran.

Skiftio är inte en redovisningscentral och tar inte emot taxameterdata. Du som taxiåkare behåller ditt befintliga RC-avtal (t.ex. Taxi Stockholms RC, Cabonline eller annan tillåten leverantör). Skiftio arbetar i stället med:

• Intäktsrapporter från ditt RC- eller taxibolagsavtal (Taxi Stockholm-rapporter, Cabonline-CSV, Bolt-rapporter etc.) — vi importerar och bokför.
• Kostnadssidan i sin helhet (kvitton, fakturor, kontoutdrag).
• Moms- och inkomstrapporter på basis av båda sidor.

Detta innebär att du har två oberoende sju-årsarkiv: ett hos din RC (taxameterdata) och ett hos Skiftio (övrigt bokföringsmaterial). Båda krävs av Skatteverket vid en granskning.

Mervärdesskattelagen (2023:200, "ML") ersatte den tidigare mervärdesskattelagen (1994:200) den 1 juli 2023 och reglerar i 13 kap fakturarutiner och momsunderlagets innehåll. Den primära retention-skyldigheten för momsunderlag följer dock av Bokföringslagen (1999:1078) 7 kap 2 § och skatteförfarandelagen (2011:1244) 9 kap 12 § — sju år från räkenskapsårets utgång. Skiftio behandlar momsunderlag inom samma sju-årsarkiv som BFL kräver för verifikationer; ingen separat lagring behövs.

• Direkt vid uppsägning — Kunden kan exportera all data via SIE4 + ZIP. Vi rekommenderar att exporten görs innan kontot avslutas. Exportfunktionen finns under Inställningar → Export.
• 0–30 dagar efter avslut — kontot är inaktiverat men data finns kvar. Kunden kan be oss att återaktivera kontot utan dataförlust.
• 30–90 dagar efter avslut — kontot är låst. Återaktivering är möjlig men kräver ny prisplan; export sker på begäran via support.
• 90 dagar efter avslut — kontodata (inloggning, sessions, profilbild) raderas eller anonymiseras. Bokföringsmaterial flyttas till ett kallt arkiv med begränsad åtkomst men förblir tillgängligt vid begäran.
• Sju år efter räkenskapsårets utgång — bokföringsmaterialet hård-raderas av en automatiserad purge-process. Räkenskapsåren raderas individuellt — det år som löpte ut tidigast purgas först.

Tidsschemat ovan kan inte påskyndas av sekretessskäl — BFL-arkiveringen är en lagstadgad skyldighet vi har gentemot Skatteverket, inte en intern policy.

• All data lagras inom EU/EES med kryptering i vila (AES-256 via Supabase och AWS S3).
• Åtkomst till det kalla arkivet är begränsad till Skiftios säkerhetsansvariga och loggas i en separat audit-trail.
• Vid kund- eller revisor-förfrågan kan vi tillhandahålla en oföränderlig kopia på begäran inom 14 dagar.
• Periodisk hash-verifiering körs automatiskt (kvartal) för att upptäcka eventuell bit-rot eller manipulation; felmatchning utlöser en P0-incident enligt vår incident-runbok.
• Vid systemmigration eller leverantörsbyte säkerställs att originalfilernas hashar är oförändrade efter flyttning.

Andra dataskyddsfrågor — t.ex. vilka rättigheter du har under GDPR — beskrivs i vår Integritetspolicy. Frågor om denna datalagringspolicy besvaras av support@skiftio.se.