Användningen av molntjänster på internet har ökat markant under senare år och utgör redan en väsentlig del av företagens informationshantering. På motsvarande sätt tilltar behovet av insyn i och granskning av dessa ”utrymmen”, t.ex. för skattekontroll. Den tämligen gränslösa och flexibla molnmiljön är emellertid svårnavigerad då lagring sker externt och ibland över flera jurisdiktioner. Kontrollmöjligheterna är begränsade. I målet HFD 2021 ref. 23 klargjordes att bevissäkring i molnet inte är möjlig, då det saknas lagstöd. En teknikanpassad reglering av bevissäkringsreglerna framstår därför som angelägen. I artikeln företas en analys av gällande rätt om bevissäkring i molnet och diskussion om möjliga regleringsmodeller.

1 Introduktion

Tidigare i år prövade Högsta förvaltningsdomstolen frågan om elektroniska handlingar som lagras externt i en molntjänst kan bli föremål för bevissäkring. I målet, HFD 2021 ref. 23, kastar HFD ljus över behovet av en teknikanpassning av skattekontrollen.

Under drygt ett halvsekel har företagens informationshantering genomgått en utveckling som kan liknas vid en revolution. Pappershantering och analog arkivering har alltmer kommit att ersättas med digitala alternativ. Trenden under det senaste decenniet är att företagens informationshantering övergår från en stationär tillvaro på t.ex. egna datorer och servrar till ”molnet” på internet.1 I Sverige idag använder en majoritet av företag med fler än 10 anställda någon form av molntjänst, främst för fillagring och e-post.2

Lagring i datormoln innebär stora fördelar för företagen. Företagets information blir härigenom mer lättillgänglig både rent geografiskt och möjliggör att nya användare kan läggas till på ett enkelt sätt. Åtkomst kan ske från praktiskt taget vilken plats som helst, så länge som det finns en fungerande internetuppkoppling. Betydande kostnadsbesparingar kan göras genom att företaget kan utkontraktera betydande delar av sin IT-drift till en molntjänstleverantör.3 ”Cloud accounting”, molnbaserad redovisning, har blivit en ny tjänst som förväntas få ett allt större genomslag.4 Flera revisionsbolag erbjuder molnbaserade tjänster för sina kunder, förutom de lösningar som erbjuds av IT-företag på den framväxande cloud accounting marknaden.5

Denna utveckling är övervägande positiv, men det finns baksidor. Användning av molntjänster kan innebära kontrollförluster på olika sätt.6 Detta gäller såväl internt för företaget, t.ex. vad gäller kontroll och säkerhet av företagets data, som externt i förhållande till utomstående intressenter, såsom aktieägare, borgenärer och Skatteverket.7 En ytterligare dimension till denna problematik utgör det faktum att informationshantering kan utföras av leverantörer i ett land utanför Sveriges gränser, t.ex. USA, Kina eller Indien.8 Således kan informationen befinna sig utanför svensk jurisdiktion, vilket kan vara behäftat med betydande rättsliga problem9 och svårigheter för myndigheterna att bedriva brottsbekämpning eller en effektiv skattekontroll.10 Lagstiftning och rättstillämpning hänger inte alltid med i den snabba tekniska utvecklingen, vilket medföra negativa konsekvenser för skattekontrollen och förtroendet för skattesystemet och kan öppna upp för otillbörlig konkurrens. Utvecklingen har kommit längre vad gäller straffprocessuella tvångsmedel, där nya tvångsmedel har införts, men än så länge synes inga initiativ ha tagits för att utreda i vilket utsträckning det framstår som angeläget att anpassa de skatteprocessuella tvångsmedlen i förhållande till den tekniska utvecklingen.

Syftet med denna artikel är att analysera gällande rätt beträffande bevissäkring i molnet samt diskutera möjliga regleringsmodeller med utgångspunkt i rättsutvecklingen beträffande straffprocessuella tvångsmedel på området.

Artikeln är disponerad enligt följande. I avsnitt 2 redogörs för begreppet molntjänst. I avsnitt 3 görs en genomgång om gällande rätt beträffande bevissäkring i molnet. I avsnitt 4 diskuteras lagstiftning om bevissäkring i molnet med utgångspunkt i reglering och förslag avseende straffprocessuella tvångsmedel. Avslutningsvis ges en sammanfattning och framåtblickar.

SOU 2021:60, s. 368.

Statistik för 2020 visar att molntjänster står för 24 procent av företagens köp av it-tjänster, Statistiknyhet från SCB 2021-10-07, Molntjänster utgjorde 24 procent av företagens utgifter för it-tjänster under 2020, se https://www.scb.se/hitta-statistik/statistik-efter-amne/naringsverksamhet/naringslivets-investeringar/foretagens-utgifter-for-it/pong/statistiknyhet/foretagens-utgifter-for-it2/. Enligt statistik från SCB år 2018 framkom att 57 procent av företag med fler än 10 anställda hade köpt molntjänster av något slag, Statistiknyhet från SCB 2018-11-29, Användning av molntjänster ökar bland företag, se https://www.scb.se/hitta-statistik/statistik-efter-amne/naringsverksamhet/naringslivets-struktur/it-anvandning-i-foretag/pong/statistiknyhet/it-anvandning-i-foretag-2018/.

Ibid., s. 369.

T. Khanom, Cloud Accounting – A Theoretical Overview, IOSR Journal of Business and Management, Vol. 19, Issue 6. Ver. V (Juni 2017), s. 31; O. Dimitriu, M. Matei, A New Paradigm for Accounting through Cloud Computing, Procedia Economics and Finance 15, 2014, s. 841 f.

Dimitriu & Matei 2014, s. 843.

M. Edmar, Internetpublicering och sociala medier – En juridisk vägledning, sjunde upplagan, Norstedts Juridik, Stockholm 2021, s. 198.

Jfr SOU 2021:60, s. 335.

Tredjelandsöverföringar, dvs. överföringar av personuppgifter till stater utanför EU (se kap. 5, art. 44–50 GDPR).har visat sig vara svåra att genomföra om inte ett fullgott skydd för EU-medborgares rättigheter kan upprätthållas. Se mål C-311/18, Schrems II.

SOU 2021:60, s. 580; A. Weisser, International Taxation of Cloud Computing: Permanent Establishment, Treaty Characterization, and Transfer Pricing, Lausanne: Editions juridiques libres, 2020, s. 3, se https://archive-ouverte.unige.ch/unige:142710, Available at SSRN: https://ssrn.com/abstract=3708122.

Lagrådsremiss av den 30 november 2021, Modernare regler för användningen av tvångsmedel; SOU 2017:100, Beslag och husrannsakan, ett regelverk för dagens behov, s. 180.

2 Vad är en molntjänst?

Idén om molntjänster går tillbaka till 1960-talet då visionen om internet började växa fram. John McCarthy, även känd som en av grundarna av artificiell intelligens, framförde 1961 idén att skapa ett publikt telefonnät för datoranvändning, som senare materialiserades i vad som idag kallas för ”cloud computing” (molntjänster).11

Internetbaserade tjänster för datalagring, programkörning och andra it-funktioner har utvecklats sedan slutet på 1990-talet. Välkända exempel är Gmail, Dropbox och Netflix.12 Inom det privata näringslivet har många företag som tidigare lagrat programvara och tjänster på egna datorer eller i egna nätverk migrerat till molnet och utkontrakterat sin it-drift till molntjänstbolag. Det har inneburit stora besparingar och frigjort utrymme för att ägna sig åt den egna kärnverksamheten.13 Datormoln har vidare möjliggjort utvecklingen av big data och sakernas internet, och förutspås ytterligare öka i betydelse framöver, även om utvecklingen i viss mån hålls tillbaka av rättsliga regleringar, såsom den allmänna dataskyddsförordningen.14

En första auktoritativ definition av begreppet molntjänst togs fram av den amerikanska standardiseringsmyndigheten NIST (National Institute of Standards and Technology) år 2009.15 NIST:s definition har haft en stor betydelse som inspiration för senare europeisk och svensk lagstiftning. Den nuvarande lydelsen från 2011 är följande:

”Cloud computing is a model for enabling ubiquitous, convenient, on-demand network access to a shared pool of configurable computing resources (e.g., networks, servers, storage, applications, and services) that can be rapidly provisioned and released with minimal management effort or service provider interaction. This cloud model is composed of five essential characteristics, three service models, and four deployment models.”16

Enligt definitionen innehåller ett datormoln fem huvudsakliga egenskaper.

  1. ”On demand self-service.” Användare kan genom självservice avgöra vilken kapacitet som ska användas utifrån behov och utan att interagera med en mänsklig operatör.

  2. ”Broad network access.” Tillgång till datormolnet sker genom nätverk och standardenheter såsom datorer, mobiltelefoner och surfplattor.

  3. ”Resource pooling.” Datormolnets resurser delas mellan användaren och andra användare.

  4. ”Rapid elasticity.” Resurser och kapacitet som användaren har tillgång till kan skalas upp och ned elastiskt.

  5. ”Measured service.” Utnyttjande av molnets resurser kan mätas, t.ex. för att bestämma hur kunder ska debiteras inom ramen för en tjänst.17

Molntjänster delas in i tre kategorier av tjänstemodeller, som också är kännetecknande för vilken grad av kontroll som användaren har avhänt sig till molntjänstleverantören.

  1. Software as a service (SaaS) innebär i korthet att användaren får tillgång till leverantörens datorprogram som molntjänst. Användaren saknar kontroll över såväl den underliggande infrastrukturen som utvecklingsplattformen.18

  2. Platform as a service (PaaS) ger användarna möjlighet att testa och köra egenutvecklade program på en utvecklingsplattform. Plattformen ger tillgång till t.ex. programspråk, programbibliotek, tjänster och verktyg som användarna kan nyttja vid utveckling av webbapplikationer.19 Användaren har därigenom kontroll över de applikationer som denne implementerat och eventuellt deras konfigurationsmiljö, men saknar inflytande över den underliggande infrastrukturen, vilket inkluderar nätverk, servrar, operativsystem, lagring och applikationsmiljö.20

  3. Infrastructure as a service (IaaS) ger användaren tillgång till en infrastrukturtjänst på internet för beräkningskapacitet, lagring, nätverk och andra datorresurser. Användaren kontrollerar inte den underliggande molninfrastrukturen men väl operativsystem, lagring, implementerade applikationer och i viss mån begränsad kontroll över vissa nätverkskomponenter, såsom brandväggar.21

  4. Värt att notera är att utöver de kategorier som framgår av NIST:s definition har uppkommit nya varianter vilka brukar gå under benämningen XaaS (anything as a service), t.ex. Business process as a service (BPaaS).22

NIST:s definition innehåller vidare en indelning i fyra olika leveransmodeller, som beskriver relationen mellan användare. Ett privat moln är hänförligt till en enskild organisation och kan även bedrivas i organisationens egna datorhallar. Datormolnet ägs och administreras emellertid av leverantören. Det handlar således om ett gemensamt ägande mellan användare och leverantör. Ett gemensamt moln innebär att flera organisationer delar på ett moln. Molnet kan administreras av någon av organisationerna eller av en extern leverantör. Publika moln utgör den vanligaste formen och är generellt tillgängligt för allmänheten, fritt eller för betalande kunder. Det publika molnet ägs och administreras av t.ex. ett företag eller en myndighet och är också fysiskt placerat hos ägaren. Det finns vidare s.k. hybridmoln som utgör en kombination av de tre ovanstående leveransmodellerna.23

I svensk rätt finns vidare en legaldefinition i 2 § p. 7 i lagen (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster, NIS-lagen, som definierar molntjänst som ”en tjänst som möjliggör tillgång till en skalbar och elastisk pool av delbara dataresurser.”24

B.P. Rimal & I. Lumb, The Rise of Cloud Computing in the Era of Emerging Networked Societies i N. Antonopoulos, L. Gillam (red.) Cloud Computing – Principles, Systems and Applications, Springer 2017 (e-resurs), s. 4.

T. Edvardsson, Molntjänster och molntjänstavtal i C. Magnusson Sjöberg (red.), Rättsinformatik – Juridik i det digitala informationssamhället, Studentlitteratur, Lund 2021, s. 496.

T. Edvardsson & D. Frydlinger, Molntjänster – juridik, affär och säkerhet, Norstedts Juridik, Stockholm 2013, s. 16.

Edvardsson 2021, s. 496.

Edvardsson & Frydlinger 2013, s. 22.

National Institute of Standards and Technology, U.S. Department of Commerce, Special Publication 800-145. The NIST Definition of Cloud Computing – Recommendations of the National Institute of Standards and Technology, September 2011 s. 2 (NIST 800-145), se https://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-145.pdf.

Ibid. För beskrivningar på svenska se t.ex. SOU 2021:1 Säker och kostnadseffektiv it-drift – rättsliga förutsättningar för utkontraktering, s. 43 samt Edvardsson 2021, s. 497–501. Se även Edvardsson & Frydlinger 2013, s. 22–25.

NIST 800-145, s. 2; Edvardsson & Frydlinger 2013, s. 27.

NIST 800-145, s. 2 f.; Edvardsson & Frydlinger 2013, s. 26 f.

NIST 800-145, s. 2 f.; SOU 2021:1, s. 43.

NIST 800-145, s. 3; SOU 2021:1, s. 43 f.

Edvardsson 2021, s. 501; Edvardsson & Frydlinger 2013, s. 28.

NIST 800-145, s. 3; SOU 2021:1, s. 44; Edvardsson 2021, s. 501.

Prop. 2017/18:205, s. 22. Den s.k. NIS-lagen utgör den implementering av Europaparlamentets och Rådets direktiv (EU) 2016/1148 av den 6 juli 2016 om åtgärder för en hög gemensam nivå på säkerhet i nätverks- och informationssystem i hela unionen, det s.k. NIS-direktivet. Se art. 4.19 och skäl 17.

3 Bevissäkring i molnet?

Rättsläget har länge varit oklart om uppgifter i molntjänster kan eftersökas vid skatteprocessuella tvångsåtgärder som bevissäkring enligt 45 kap. SFL. I takt med att användningen av molntjänster för redovisning ökar, tilltar också behovet av att kunna kontrollera dessa ”utrymmen”. I målet HFD 2021 ref. 23 avgjordes frågan om bestämmelserna om bevissäkring är tillämpliga på handlingar som är lagrade i en molntjänst.25

I detta avsnitt företas inledningsvis en genomgång av regleringen om bevissäkring varefter en redogörelse görs för HFD 2021 ref. 23.

HFD 2021 ref. 23 p. 11.

3.1 Regleringen om bevissäkring i verksamhetslokaler och andra utrymmen

En av de mest ingripande formerna av skattekontroll är bevissäkring, även kallad tvångsrevision, som regleras i 45 kap. Skatteförfarandelagen (2011:1244), SFL. I normalfallet sker skatterevision i samverkan med den reviderade enligt 41 kap. 6 § SFL.26 Det förekommer emellertid att den reviderade motsätter sig kontrollen och vägrar att uppfylla sina skyldigheter att lämna ut information om verksamheten. Det kan också finnas en risk för att den reviderade saboterar utredningen, t.ex. genom att förstöra, undanhålla eller förvanska handlingar.27 I sådana situationer kan SKV ansöka om bevissäkring hos förvaltningsrätten. I vissa specifika fall kan även granskningsledare besluta om bevissäkring, om det t.ex. föreligger en påtaglig risk för sabotage (45 kap. 14 § SFL).28

Bevissäkring är en benämning på tre olika tvångsåtgärder (45 kap. 2 § SFL). Det kan handla om revision i den reviderades verksamhetslokaler, eftersökande och omhändertagande av handling samt försegling av lokal, förvaringsplats eller annat utrymme. I denna artikel ligger tonvikten vid bevissäkring i verksamhetslokaler.

Vid bevissäkring har SKV tämligen vidsträckta befogenheter att granska ett omfattande underlag, vilket framgår av 45 kap. 3 § SFL som hänvisar till allmänna bestämmelser avseende skatterevision i 41 kap. 8–11 §§ SFL. Av 8 § framgår att den reviderade är skyldig att lämna tillträde till verksamhetslokalerna för att revisionen ska kunna genomföras. Begreppet ”verksamhetslokal” har en legaldefinition i 3 kap. 18 § SFL, i vilken anges att:

”Med verksamhetslokal avses utrymmen som huvudsakligen används i verksamhet som medför eller kan antas medföra bokföringsskyldighet enligt bokföringslagen (1999:1078) eller som bedrivs av en annan juridisk person än ett dödsbo, såsom kontors- eller fabrikslokaler.”

Mer konkret innebär det att den enskilde i enlighet med 45 kap. 3 § SFL måste bereda SKV möjlighet att utföra kassainventering, granskning av lager, maskiner och inventarier, besiktning av verksamhetslokaler, provtagning av varor som används, säljs eller tillhandahålls på annat sätt i verksamheten och provning av teknisk utrustning som används i verksamheten.

I förarbetena anges att sådana utrymmen också omfattar markområden, transportmedel, förvaringsplatser och andra utrymmen som är eller kan antas vara disponerade i verksamheten. I förarbetena exemplifieras ”andra utrymmen” med postbox och förvar av data för automatisk informationsbehandling oavsett om anläggningen är portabel eller inte.29

Det finns emellertid möjlighet att eftersöka och omhänderta handling som behövs för revisionen i en ”lokal” eller ”annat utrymme” som inte utgör den reviderades verksamhetslokaler enligt 45 kap. 7 § SFL om det finns särskild anledning att anta att handlingen finns i utrymmet och den reviderade inte har följt ett föreläggande om att lämna ut handlingen, eller det finns en påtaglig risk för sabotage.

I förarbetena anges att detta är möjligt när t.ex. handlingarna antas finnas hos en revisor eller företagsledare. Om eftersökning av handlingar ska ske i en privatbostad, får beslut om detta endast fattas av domstol. Av väsentlig betydelse är att ansökan avser en bestämd lokal eller ett bestämt utrymme.30

Detta stadgande kan ge sken av att det inte finns några egentliga begränsningar av i vilka utrymmen som eftersökning kan ske.31 Icke desto mindre finns det anledning till försiktighet vid tillämpningen av denna bestämmelse, inte minst med beaktande av proportionalitetsprincipen som stadgas i 2 kap. 5 § SFL. Enligt propositionen till förlagan till nuvarande regler om eftersökande och omhändertagande i 45 kap. 7 § SFL, den s.k. tvångsåtgärdslagen (1994:466) framhöll regeringen att:

”I detta sammanhang bör påpekas att eftersökande och omhändertagande av handlingar på annan plats än i verksamhetslokaler typiskt sätt kan sägas tillhöra de mer integritetskränkande åtgärderna varför proportionalitetsprincipen här kommer att få en stor betydelse. Eftersom detta innebär att vikten av åtgärden ska uppväga det intrång eller annat men som åtgärden innebär för den reviderade, bör möjligheten således tillämpas med försiktighet”32

Vid bevissäkring är den reviderade vidare skyldig att tillhandahålla de handlingar och lämna de upplysningar som behövs för revisionen (41 kap. 9 § SFL), vilket enligt förarbetena gäller ”i princip alla handlingar som rör verksamheten”.33 Om handlingar ska granskas på någon annan plats än i verksamhetslokalerna, ska den reviderade på begäran och mot kvitto överlämna handlingarna till revisorn.

Begreppet ”handling” innefattar inte bara pappershandlingar utan även elektroniska handlingar enligt 3 kap. 9 § SFL, vilken har sin förebild i 2 kap. 3 § tryckfrihetsförordningen.34 Utgångspunkten enligt departementschefen var ”att det ska vara möjligt att ta del av information oavsett på vilket sätt den är lagrad”,35 med andra ord en teknikneutral ansats. Det finns således inga begränsningar att eftersöka och omhänderta elektroniska handlingar vid bevissäkring. Det betyder emellertid inte att elektroniska handlingar kan eftersökas var som helst i den virtuella världen, vilket framgår av målet HFD 2021 ref. 23.

Prop. 1993/94:151, s. 76.

Prop. 2010/11:165, s. 426 f. Se även prop. 1993/94:151, s. 154 f. avseende exempel på omständigheter som kan tyda på sabotagerisk, t.ex. hot och förtäckta hot om sabotage, bolaget eller dess företrädare försöker undandra sig sina skyldigheter och omfattande transaktioner med oseriösa företagare.

Prop. 1993/94:151, s. 76.

Ibid., s. 153 och s. 156, se även SOU 1992:110, s. 351 ff. och s. 457 f.

HFD 2021 ref. 23, p. 20; prop. 1993/94:151, s. 156.

K. Almgren, B. Leidhammar, Skatteförfarandelagen m.m. – en kommentar, 1 september 2021, JUNO version 15, kommentaren till 45 kap. 7 § SFL.

Prop. 1993/94:151, s. 106.

Ibid., s. 94.

Almgren & Leidhammar 2021, kommentaren till 3 kap. 9 § SFL.

Prop. 1988/89:65, s. 44.

3.2 Inget lagstöd för bevissäkring i molnet – HFD 2021 ref. 23

Skatteverket (SKV) hade år 2019 ansökt om bevissäkring hos Förvaltningsrätten i Falun (FR) för att eftersöka och omhänderta vissa handlingar avseende verksamhetslokaler till ett företag som tillhörde A samt i dennes privatbostad som var belägen på samma adress. SKV ansökte vidare om att få eftersöka och omhänderta handlingar i företagets verksamhetsutrymmen som var hänförliga till en angiven e-postadress samt en viss angiven digital handelsplats på internet. SKV framhöll att dessa utrymmen visserligen var belägna på servrar lokaliserade på okända adresser, men att de disponerades av A från företagets verksamhetslokaler alternativt A:s bostad.36

FR gjorde bedömningen att det aktuella regelverket innebar att SKV kan utföra bevissäkring i en molntjänst. FR konstaterade att ett beslut om bevissäkring måste riktas mot den plats där filerna lagras, vilket enligt huvudregeln specificeras genom en adress eller någon annan geografisk egenskap. FR fann emellertid att sådan geografisk specificering inte kan vara ”ett helt strikt krav” såvida begäran kan specificeras på annat sätt och detta är förenligt med krav på proportionalitet. I det aktuella fallet fann domstolen att SKV:s ansökan var tillräckligt konkret för att en meningsfull bedömning avseende intrånget kunde anses motiverad, i synnerhet som ansökan kunde knytas till en viss e-postadress och filer kopplade till en särskild handelsplats. Medgivandet om bevissäkring måste emellertid hålla sig inom svensk jurisdiktion och användarnamn och lösenord vara tillgängliga.

SKV överklagade FR:s dom, eftersom kravet på att åtgärden måste hålla sig inom svensk jurisdiktion var omöjligt att efterleva, då det var okänt i vilket eller vilka länder som servrarna var belägna.

Kammarrätten i Sundsvall (KRSU) gjorde emellertid en annan bedömning och konstaterade att det inte fanns stöd för att medge SKV:s ansökan. KRSU påpekade att det i ansökan inte förefanns någon exakt angivelse av vilket utrymme som SKV ansåg utgöra verksamhetslokalen. Frågan var därmed om det utrymme som SKV specificerat kunde anses utgöra en verksamhetslokal enligt 3 kap. 18 § SFL. KRSU konstaterade att elektroniska handlingar alltid finns lagrade fysiskt någonstans, såsom en dators hårddisk, en server eller ett mobilt lagringsmedium i form av t.ex. ett USB-minne. Är lagringsplatsen en server torde detta under vissa förutsättningar kunna utgöra en förvaringsplats enligt lagens mening. SKV hade emellertid inte preciserat vilka servrar som ansökan gällde eller vem som ägde dem. De specifikationer som formulerats rörande handlingar i ett e-postkonto eller ett konto på en digital handelsplats kunde förvisso anses ha betydelse vid en proportionalitetsbedömning, men ansågs sakna betydelse i sammanhanget eftersom lagringsplatsen inte var tillräckligt identifierad för att kunna utgöra en verksamhetslokal enligt 3 kap. 18 § SFL.

Då bestämmelserna i viss mån framstår som otidsenliga diskuterade KRSU frågan om det kunde anses föreligga något tolkningsutrymme för att utvidga eller göra en analog tillämpning av äldre lagstiftning så att den kunde tillämpas i en digital kontext.

I denna del hänvisades till ett avgörande från Högsta domstolen (HD), NJA 2015 s. 631, som rörde en begäran om beslag av information i digital form på en tidningsredaktion. För sådan information föreligger normalt ett beslagsförbud. Vid tidpunkten omfattade emellertid beslagsförbudet endast information på papper och frågan var därför om HD kunde utvidga tolkningen av beslagsförbudet till att även avse elektroniska informationsbärare. HD fann att bestämmelsen skulle tolkas extensivt till den enskildes fördel, då fråga var om särskilt skyddsvärd information, varvid intresset av en effektiv brottsbekämpning fick ge vika. Yrkandet om husrannsakan avslogs.

KRSU konstaterade att det aktuella fallet skiljde sig från NJA 2015 s. 631 på en väsentlig punkt. Fråga i nu aktuellt mål var om tvångsåtgärd mot enskild och inte som i HD-avgörandet om ett särskilt skydd mot tvångsåtgärder. Starka legalitets- och integritetsintressen talade därför emot att göra en tolkning som gick utöver vad som kan utläsas av ordalydelsen till den enskildes nackdel. Överklagandet avslogs.

Högsta förvaltningsdomstolen (HFD) tog sin utgångspunkt i 2 kap. 6 § regeringsformen (RF). Enligt detta är bevissäkring att betrakta som en tvångsåtgärd som kräver lagstöd enligt 2 kap. 20 § RF. Bevissäkring kan enligt 45 kap. SFL göras av elektroniska handlingar, men det kräver icke desto mindre att förvaringsplatsen är känd och kan preciseras i ett sådant beslut.

Eftersom det saknas bestämmelser om bevissäkring för att eftersöka och omhänderta handlingar som lagras i en molntjänst och vars fysiska lagringsplats inte kan lokaliseras, fann HFD att SKV:s ansökan inte kunde medges.

HFD:s dom befäster väl skyddet för de medborgerliga fri- och rättigheterna. Det finns därför inte något utrymme för att göra extensiva eller analoga tolkningar till den enskildes nackdel. Ansvaret att tillse att bevissäkringsinstitutet görs så effektivt som möjligt i en digital kontext med beaktande av skyddet för enskild enligt 2 kap. 6 § RF vilar på lagstiftaren.

HFD 2021 ref. 23, p. 3 och 4.

4 Regleringen av tvångsåtgärder i molnet – en modell för bevissäkringsinstitutet?

Molntjänsternas struktur innebär svårigheter vid myndighetskontroll och brottsbekämpning. Denna problematik har varit känd sedan länge vilket har föranlett ny lagstiftning och tillsättandet av olika offentliga utredningar främst på straffrättens område, vilka får utgöra utgångspunkten för en diskussion avseende reformbehovet avseende de skatteprocessuella tvångsmedlen.

Ett nytt hemligt tvångsmedel infördes nyligen genom lagen (2020:62) om hemlig dataavläsning, som möjliggör att brottsbekämpande myndighet bereder sig tillgång till uppgifter i molntjänster, vilka ingår i begreppet ”avläsningsbart informationssystem” enligt 1 §.37

Beslagsutredningen påpekade 2017 att den som under en husrannsakan eller ett beslag söker igenom en informationsbärare, i form av dator eller smarttelefon, ofta kan se t.ex. en ikon som visar att personen använder en molntjänst. Icke desto mindre anses det inte tillåtet enligt svensk rätt att bereda sig tillgång till den externt lagrade informationen, eftersom den i fysisk mening inte finns på platsen för husrannsakan. Det finns visserligen möjlighet att göra husrannsakan hos tjänsteleverantören eller göra ett beslag av servern för att få tag på den eftersökta informationen, men användning av tvångsmedel gentemot leverantören kan anses oproportionerligt.

Finns leverantören och/eller servern i utlandet är de brottsbekämpande myndigheterna tvungna att begära internationell handräckning eller söka få fram informationen av leverantören på frivillig väg, vilket kan vara lättare sagt än gjort.38 Det faktum att molntjänstleverantörer kan använda sig av servrar i olika länder ger upphov till det som kallas för ”loss of location”. En fil kan t.ex. vara uppdelad på så vis att den kan lagras i flera länder samtidigt. Den kan också vara sparad (speglad) i flera olika länder och kan också snabbt förflyttas mellan olika jurisdiktioner.39

Det dröjde innan Beslagsutredningens betänkande följdes upp, men den 30 november 2021 lämnades en Lagrådsremiss i ämnet.40 I denna föreslås att ett nytt tvångsmedel införs, s.k. ”genomsökning på distans”, på vilket en egen beslutsordning föreslås följa. Tillgång ska härigenom säkras till elektroniska handlingar i ett avläsningsbart informationssystem, såsom en molntjänst.41 Enligt förslaget ska även SKV kunna medverka vid en genomsökning på distans när fråga är om ekonomisk brottslighet som utreds av myndigheten.42

Det har även diskuterats att SKV bör kunna granska uppgifter som lagras på en molntjänst vid tillämpningen av skatteprocessuella tvångsmedel. Någon utredning som på motsvarande sätt undersöker möjligheterna att införa en möjlighet för Skatteverket att eftersöka handlingar på distans har emellertid ännu inte inletts. Det framstår som angeläget att reglera frågan skyndsamt, då det aktuella rättsläget kan missbrukas av vissa skattebetalare, vilket kan få negativa konsekvenser på en rad olika områden, inte minst i konkurrenshänseende.

Det gäller emellertid att vara vaksam på de risker som finns med att tillåta tvångsmedel i datormoln. Vid remissrundan till beslagsutredningens betänkande framfördes t.ex. att det finns risk för att gränsen mot hemliga tvångsmedel suddas ut. Genomsökning på distans kan öppna upp för s.k. fiskeexpeditioner då myndigheten får tillgång till stora datamängder. Detta kan även få konsekvenser för tredje personers integritet. Det påtalades vidare att ytterligare rättssäkerhetsgarantier framstår som nödvändiga.43

Sett utifrån erfarenheterna avseende de straffprocessuella tvångsåtgärderna framstår det inte som omöjligt att utforma en reglering avseende eftersökning på distans i 45 kap. SFL för att möjliggöra granskning av handlingar som lagras i molnet. Det är emellertid å ena sidan en integritetskränkande åtgärd som inte, likt de straffprocessuella tvångsmedlen, skulle vara föranledd av brottsmisstanke. Å andra sidan måste bestämmelserna anpassas till den verklighet att företagen alltmer verkar i molnet och förekomsten av ”digitala verksamhetslokaler” tilltar.

Om bevissäkring i molnet ska vara möjlig, torde det kräva att särskilda rättssäkerhetsgarantier införs med tydliga gränser för hur granskningen på distans kan ske. Det kan vara nödvändigt att införa krav på angivelse av t.ex. sökord, i vilken utsträckning inkommande handlingar ska behandlas under kontrollen, skydd för tredje personer m.m.

En effektiv skattekontroll är också beroende av hur företagen efterlever sina skyldigheter enligt Bokföringslagen (1999:1078), BFL. Molnbaserad redovisning innebär att principer för redovisning och arkivering måste återerövras i informationsåldern. Vilken är platsen för arkivet i molnet och hur säkerställs bevarande, spårbarhet och autenticitet, är några frågor som behöver besvaras.44 Hur detta regleras får betydelse för skattekontrollens effektivitet. Utredningen om enklare regelverk för mikroföretagande och en modernare bokföringslag som lämnade sitt betänkande i juni 2021, lyfte fram behovet av att reformera reglerna om arkivering av räkenskapsmaterial enligt 7 kap. BFL för att möjliggöra nödvändiga anpassningar till den tekniska utvecklingen, såsom rörande molnbaserad redovisning.45 BFL:s arkivregler har till syfte att säkerställa en rad olika intressen, däribland skattekontrollen. Denna reglering är därmed starkt sammanflätad med bestämmelserna i SFL om skatterevision och bevissäkring.

Prop. 2019/20:64, s. 105.

SOU 2017:100, s. 180 f.

SOU 2017:100, s. 294.

Lagrådsremiss av den 30 november 2021, Modernare regler för användningen av tvångsmedel.

Ibid., s. 75 ff.

Ibid., s. 100 f. Om förslaget till ändring i lagen (1997:1024) om Skatteverkets brottsbekämpande verksamhet, se s. 24. Se även SOU 2017:100, s. 858.

Lagrådsremiss av den 30 november 2021, s. 73 ff.

L. Duranti, Digital Records and Archives in the Commercial Cloud, in Yoo, Christopher S., Blanchette, Jean-Francois, Regulating the Cloud: Policy for Computing Infrastructure, MIT Press 2015.

SOU 2021:60, s. 370.

5 Sammanfattning och framåtblickar

I målet HFD 2021 ref. 23 klargjordes att SKV inte får utföra bevissäkring i molntjänster. Avgörandet innebär också en tydlig signal om att lagstiftaren måste agera.

Den aktuella genomgången visar att svensk lagstiftning avseende bevissäkring behöver genomgå en teknikanpassning för att möta dagens verklighet där merparten av svenska företag med fler än 10 anställda använder molntjänster av något slag. Detta är angeläget av flera skäl, däribland skattekontrollens effektivitet, förtroendet för skattesystemet samt risken för otillbörlig konkurrens. Sverige bör vidare verka för att lyfta upp denna fråga internationellt. Molnet är ”gränslöst” och överenskommelser med andra länder eller unionsrättslig reglering synes nödvändigt.

Det framstår ytterligare som betydelsefullt att en sådan reform sker parallellt med de reformer som pågår avseende straffprocessuella tvångsmedel och med beaktande av hur företagens arkiveringsskyldighet enligt BFL ska efterlevas vid molnbaserad redovisning.

Om eller snarare när bevissäkring i molnet ska regleras bör särskild vikt läggas vid att utarbeta särskilda rättssäkerhetsgarantier för att hantera de utmaningar för rättssäkerheten som molntjänster för med sig.

Katarina Fast Lappalainen är universitetslektor i rättsinformatik vid Institutet för Rättsinformatik, Juridiska institutionen, Stockholms universitet.