Juridisk · Underleverandører
Under leverandører.
Krescado AS (org.nr. 933 246 957) er databehandler i henhold til DPA. Følgende underleverandører engasjeres for å levere tjenesten:
Alle underleverandører er underlagt databehandleravtaler som sikrer GDPR-etterlevelse.
Leverandør 1Supabase Inc.EU/EOS
Database og autentisering.
- Tjeneste
- PostgreSQL-database, autentisering (inkl. MFA), Row-Level Security
- Lokasjon
- EU-north-1, Stockholm, Sverige
- Data
- Alle personopplysninger (brukerdata, quiz-resultater, sertifikater)
- Kryptering
- AES-256 at rest, TLS 1.2+ in transit
Leverandør 2Vercel Inc.US (SCCs)
Hosting og Edge-nettverk.
- Tjeneste
- Webhosting, serverless functions, Edge-caching
- Lokasjon
- Serverless functions kjører som standard i iad1 (Washington, D.C.). Statisk innhold leveres via globalt Edge-nettverk. DPA med Standard Contractual Clauses (SCCs) er på plass.
- Data
- HTTP-forespørsler, serverside-rendret innhold
- Kryptering
- TLS 1.2+ for all trafikk
Leverandør 3Brevo (Sendinblue)EU
Transaksjonell e-post.
- Tjeneste
- Transaksjonell e-post (verifiseringskoder, invitasjoner, påminnelser)
- Lokasjon
- Frankrike (Sendinblue SAS, Paris)
- Data
- E-postadresse + transaksjonelt innhold (verifiseringskode/invitasjonslenke)
- Kryptering
- TLS 1.2+
- DPA
- GDPR-kompatibel, data lagres i EU
Leverandør 4Plausible Analytics OÜEU
Webanalyse (cookiefri).
- Tjeneste
- Cookiefri, personvernvennlig webanalyse
- Lokasjon
- Estland (selskap), Hetzner Tyskland (data)
- Data
- Anonymiserte sidevisninger, ingen personopplysninger eller cookies
- Kryptering
- TLS 1.2+
Leverandør 5Upstash Inc.EU
Rate limiting (Redis).
- Tjeneste
- Serverless Redis for rate limiting av API-forespørsler
- Lokasjon
- EU (Frankfurt, Tyskland)
- Data
- IP-adresser (hashet, kortvarig), forespørselsantall
- Kryptering
- TLS 1.2+
Leverandør 6Anthropic PBCUSA (SCC)
AI-generering av scorecard-rapport.
- Tjeneste
- AI-analyse for (1) generering av personalisert scorecard-rapport i AI-modenhetsvurderingen, og (2) automatisk risikovurdering av godkjente AI-verktøy i admin-panelet.
- Lokasjon
- USA
- Overføringsgrunnlag
- Standard Contractual Clauses (SCC) via DPA / Commercial Terms
- Data
- Dataminimerte scorecard-svar og vurderingsdata (bransje, rolle, størrelse, dimensjonsscorer). Verktøynavn fra godkjent-listen (ingen personopplysninger). Ingen direkte identifikatorer som e-post eller organisasjonsnavn sendes.
- Modelltrening
- Anthropic bruker ikke kommersielle API-data til modelltrening som standard.
- Retention
- API-data slettes normalt innen 30 dager, med enkelte unntak for sikkerhetsformål, jf. Anthropics API Terms.
- Kryptering
- TLS 1.2+
EndringerEndringer i underleverandører
Krescado AS vil varsle behandlingsansvarlig minimum 30 dager for nye underleverandører tas i bruk. Denne siden oppdateres fortløpende.
KontaktKontakt
Spørsmål om underleverandører og databehandling rettes til: personvern@krescado.no