Personvern
Datalokalisering og sub-prosessorer
Oversikt over hvor ketl regnskap lagrer og prosesserer data, hvilke underleverandører (sub-prosessorer) som benyttes, og det juridiske grunnlaget for eventuelle overføringer til land utenfor EU/EØS.
Sist oppdatert: mai 2026
Primær datalagring
✓ Alle primære regnskapsdata lagres i EU (Google Cloud europe-west1, Finland)
Regnskapsdata, bilag og brukerprofiler forlater aldri EU/EØS.
Data per kategori
| Datakategori | Region | Leverandør | Juridisk grunnlag |
|---|---|---|---|
Regnskapsdata (bilag, faktura, rapporter) Posteringer, beløp, kontonumre, bilagstekster | EU — europe-west1 (Finland) | Google Cloud Firestore | Nødvendig for kontraktsoppfyllelse (GDPR Art. 6(1)(b)) |
Filer og vedlegg Kvitteringer (PDF/bilde), fakturaer, SAF-T-filer | EU — europe-west1 (Finland) | Google Cloud Storage | Nødvendig for kontraktsoppfyllelse (GDPR Art. 6(1)(b)) |
Brukeridentitet E-post, navn, UID | EU — europe-west1 (Finland) | Firebase Authentication | Nødvendig for kontraktsoppfyllelse (GDPR Art. 6(1)(b)) |
Betalingsinformasjon Abonnementsstatus, faktura-ID (IKKE kortdata) | EU — Irland | Stripe (PCI-DSS Level 1) | SCC + PCI-DSS. Kortdata lagres aldri i ketl — kun hos Stripe. |
E-post-utsendelser Varsler, kvitteringer, invitasjoner | USA | SendGrid (Twilio) | Schrems II: SCC (Standard Contractual Clauses) + TIA |
AI-analyse Bilagsanalyse (anonymiserte tekster sendes til AI) | EU / USA (Google AI) | Google Firebase AI Logic / Vertex AI | Google DPA + SCCs. Kun innholdstekst sendes — ikke brukerId. |
Analyse og feilsporing Anonymiserte sidevisninger, feilmeldinger | EU | PostHog (EU Cloud) | Berettiget interesse for produktforbedring (GDPR Art. 6(1)(f)) |
Schrems II-dokumentasjon
For overføring av personopplysninger til land utenfor EU/EØS (primært SendGrid i USA) benytter vi Standard Contractual Clauses (SCC) som godkjent av EU-kommisjonen, samt Transfer Impact Assessment (TIA).
- Stripe: PCI-DSS Level 1 + SCC. Kortdata prosesseres utelukkende av Stripe — ketl lagrer aldri kortinformasjon.
- SendGrid: E-post inneholder kun varsler og systemnotifikasjoner. Ingen sensitive regnskapsdata overføres.
- Google AI: Bilagsanalyse sender kun anonymisert innholdstekst — aldri bruker-ID, orgnummer eller beløp i klartekst.
DPA og rettigheter
Som databehandler for dine klienters regnskapsdata inngår vi Data Processing Agreement (DPA) på forespørsel. Kontakt dpo@ketl.no for DPA, innsyn, retting eller sletting (GDPR Art. 15–17).