Underleverandører (underdatabehandlere)
I henhold til GDPR artikkel 28 er Save Solutions AS forpliktet til å informere om hvilke underdatabehandlere som benyttes for å levere Revizo-tjenesten. Denne siden gir en fullstendig oversikt.
Vi inngår databehandleravtaler (DPA) med alle underleverandører som behandler personopplysninger. Alle leverandører er valgt basert på deres sikkerhetspraksis, compliance-status og evne til å levere tjenester innenfor EU/EØS.
Oversikt over underdatabehandlere
| Leverandør | Formål | Data som behandles | Region | Compliance |
|---|---|---|---|---|
| Supabase (AWS) | Database og fillagring | All applikasjonsdata, filer og vedlegg | EU (Frankfurt) | SOC 2 Type II, GDPR, HIPAA |
| Clerk | Autentisering og brukerhåndtering | Brukeridentitet (navn, e-post), sesjonsdata | EU | SOC 2 Type II, GDPR |
| Vercel | Applikasjonshosting og CDN | Applikasjonskode, forespørselslogg (uten PII) | EU (Edge) | SOC 2 Type II, GDPR |
| Stripe | Betalingshåndtering | Fakturainformasjon, abonnementsdata | EU | PCI DSS Level 1, SOC 2, GDPR |
| Anthropic | AI-assistert avstemming og chat | Kontekstdata for AI-forespørsler (se detaljer under) | USA* | SOC 2 Type II |
| OpenAI | Vektordatabase og søk (embeddings) | Tekstfragmenter for semantisk søk | USA* | SOC 2 Type II |
| Resend | E-postutsendelse | E-postadresser, meldingsinnhold (statusvarsler) | EU | GDPR |
| Sentry | Feilovervåking | Feilinformasjon, anonymisert brukskontekst | EU (Frankfurt) | SOC 2 Type II, GDPR |
| Railway | Bakgrunnsjobber | Jobbdata (matching, rapportgenerering) | EU | GDPR |
| Cloudflare | CDN, DDoS-beskyttelse, dokumentlagring (R2) | Forespørsler (metadata), lagrede dokumenter | EU | SOC 2 Type II, ISO 27001, GDPR |
* Anthropic og OpenAI har datasentre i USA. Data som sendes til disse tjenestene er begrenset til det som er nødvendig for AI-funksjonen (se under). Begge leverandører har forpliktet seg til ikke å bruke kundedata til modelltrening.
Detaljer om AI-databehandling
Anthropic (Claude)
Brukes til AI-chatfunksjonen i Revizo. Data som sendes:
- Brukerens spørsmål/melding
- Relevant kontekst for å besvare spørsmålet (f.eks. klientnavn, transaksjonssammendrag)
- Ingen fullstendige datasett sendes — kun det som er nødvendig for å generere et svar
Viktig: Anthropic bruker ikke kundedata til å trene sine modeller. Data behandles under Anthropic sine vilkår for kommersiell bruk.
OpenAI
Brukes til å generere vektorrepresentasjoner (embeddings) for semantisk søk i kunnskapsbasen. Kun korte tekstfragmenter sendes for vektorisering.
Viktig: OpenAI bruker ikke data sendt via API til modelltrening.
Regnskapssystem-integrasjoner
Følgende integrasjoner involverer dataoverføring med kundens regnskapssystem. Disse behandler data på vegne av kunden (behandlingsansvarlig), ikke Save Solutions AS:
| Integrasjon | Dataflyt | Beskrivelse |
|---|---|---|
| Tripletex | Toveis | Synkronisering av transaksjoner, kontoer og saldoer |
| Visma eAccounting (NXT) | Toveis | Synkronisering av transaksjoner og kontoer |
API-tokens til disse systemene lagres kryptert (AES-256-GCM) i databasen og dekrypteres kun i minnet ved bruk.
Varsling ved endringer
Vi varsler berørte kunder minimum 30 dager før vi:
- Legger til nye underdatabehandlere
- Endrer formålet med en eksisterende underdatabehandlers behandling
- Flytter databehandling til en ny region
Varsling sendes per e-post til organisasjonens administratorer.
Spørsmål
Dersom du har spørsmål om våre underleverandører eller ønsker kopi av databehandleravtaler, kontakt oss på karl@savesolutions.no.
Sist oppdatert: Mars 2026