Prinsipputtalelse

Leverandøren av programvaren sitt ansvar

  • Publisert:
  • Avgitt 02.02.2017

Leverandøren har i utgangspunktet ansvar for at hele kassasystemet er i samsvar med regelverket. I en kjede med produsent, importør, forhandler, partner e.l. er det den part som sist endrer programvaren før salg til bokføringspliktig som vil bli ansett som leverandør, og som skal produkterklære kassasystemet. Det er leverandørens ansvar at kassasystemet er i samsvar med kassasystemlova og kassasystemforskrifta.

Overføring av ansvar

Noen leverandører tilbyr kun programvaren i et kassasystem, mens den bokføringspliktige selv besørger andre tilhørende komponenter. Leverandøren kan igjennom avtale med bokføringspliktig overføre ansvaret for kassasystemets andre komponenter, slik som:

  • Database
  • Operativsystem og filsystem
  • Maskinvare som pc, skriver, kassaskuff mv.
  • Annet, f.eks. mellomvare, konfigurasjon, stille klokke

Det må i avtalen spesifiseres hvilke komponenter i kassasystemet den bokføringspliktige skal ha ansvaret for. Den bokføringspliktige kan aldri overta ansvaret for programvaren, da egenutvikling av kassasystem ikke er tillatt. Den bokføringspliktige vil alltid ha ansvaret for at den elektroniske journalen blir oppbevart på en betryggende måte.

Sikring av elektronisk journal ved bruk av digital signatur

Etter kassasystemforskrifta § 2-7 første ledd skal elektronisk journal være sikret mot endring og sletting. Sikker lagring av elektronisk journal kan ivaretas gjennom tilgangskontroll og/eller integritetskontroll. Det er i merknaden til bestemmelsen vist til kapittel 5 i NBS 1 – Sikring av regnskapsmateriale. Kravet der er:

Den bokføringspliktige skal gjennomføre tiltak som reduserer risikoen for endring, sletting, ødeleggelse og tap av oppbevaringspliktig regnskapsmateriale til et akseptabelt nivå.

Dette innebærer at elektronisk journal må sikres både gjennom tilgangskontroll og integritetskontroll. Integritetskontroll skal gjennomføres ved bruk av digital signatur gjennom programvaren og vil alltid være leverandørens ansvar. Krav til dette er fastsatt i dokumentet Krav og retningslinjer for implementering av digital signatur for transaksjoner i kassasystemer

I de tilfeller hvor leverandøren har driftsansvar og tilgangskontrollen, og hvor kun brukergrensesnittet til kassasystemet er tilgjengelig for den bokføringspliktige, vil det ikke være krav til integritetskontroll gjennom digital signatur. Det skal da ikke være mulig for den bokføringspliktige å få tilgang til den elektroniske journalen utenom de funksjonene som ligger i applikasjonen/programvaren.