Juridisk · Underleverandører

Under leverandører.

Krescado AS (org.nr. 933 246 957) er databehandler i henhold til DPA. Følgende underleverandører engasjeres for å levere tjenesten:

Alle underleverandører er underlagt databehandleravtaler som sikrer GDPR-etterlevelse.

Leverandør 1Supabase Inc.EU/EOS

Database og autentisering.

Tjeneste: PostgreSQL-database, autentisering (inkl. MFA), Row-Level Security
Lokasjon: EU-north-1, Stockholm, Sverige
Data: Alle personopplysninger (brukerdata, quiz-resultater, sertifikater)
Kryptering: AES-256 at rest, TLS 1.2+ in transit

Hosting og Edge-nettverk.

Tjeneste: Webhosting, serverless functions, Edge-caching
Lokasjon: Serverless functions kjører i arn1 (Stockholm, Sverige) — pinnet via vercel.json, ikke default-region. Statisk innhold leveres via globalt Edge-nettverk. DPA med Standard Contractual Clauses (SCCs) er på plass.
Data: HTTP-forespørsler, serverside-rendret innhold
Kryptering: TLS 1.2+ for all trafikk

Transaksjonell e-post fra applikasjonen.

Tjeneste: Transaksjonell e-post sendt av applikasjonen (invitasjoner, passordtilbakestilling, påminnelser, kontakthenvendelser)
Lokasjon: Frankrike (Sendinblue SAS, Paris)
Data: E-postadresse + transaksjonelt innhold (invitasjonslenke/tilbakestillingslenke)
Kryptering: TLS 1.2+
DPA: GDPR-kompatibel, data lagres i EU

Autentiserings-e-post via Supabase Auth.

Tjeneste: Utsending av innloggingskoder (engangskoder/OTP) og andre autentiseringsrelaterte e-poster. Brukes av autentiseringstjenesten (Supabase Auth, custom SMTP) — ikke til markedsføring eller nyhetsbrev.
Lokasjon: USA (Postmark tilbyr ikke EU-region)
Overføringsgrunnlag: DPA med Standard Contractual Clauses (SCC). I tillegg er ActiveCampaign, LLC sertifisert under EU-U.S. Data Privacy Framework med Postmark-enheten (AC PM LLC) som dekket enhet.
Data: E-postadresse, e-postmetadata og innholdet i autentiserings-e-posten (innloggingskode/lenke)
Kryptering: TLS 1.2+

Webanalyse (cookiefri).

Rate limiting (Redis).

AI-generering av scorecard-rapport.

Tjeneste: AI-analyse for (1) generering av personalisert scorecard-rapport i AI-modenhetsvurderingen, og (2) automatisk risikovurdering av godkjente AI-verktøy i admin-panelet.
Lokasjon: USA
Overføringsgrunnlag: Standard Contractual Clauses (SCC) via DPA / Commercial Terms
Data: Dataminimerte scorecard-svar og vurderingsdata (bransje, rolle, størrelse, dimensjonsscorer). Verktøynavn fra godkjent-listen (ingen personopplysninger). Ingen direkte identifikatorer som e-post eller organisasjonsnavn sendes.
Modelltrening: Anthropic bruker ikke kommersielle API-data til modelltrening som standard.
Retention: API-data slettes normalt innen 30 dager, med enkelte unntak for sikkerhetsformål, jf. Anthropics API Terms.
Kryptering: TLS 1.2+

Feilrapportering og observability.

Tjeneste: Innsamling av tekniske feilmeldinger fra applikasjonen for feilretting og driftsovervåking
Lokasjon: EU (Frankfurt, Tyskland) — DSN-host: ingest.de.sentry.io
Overføringsgrunnlag: Sentry DPA v5.1.0 med Standard Contractual Clauses (selskap er US-basert, data lagres i EU)
Data: Tekniske feilmeldinger og stack-traces. PII-scrubbing er aktivert (server-side Default Scrubber, Enhanced Privacy, IP-lagring av), pluss applikasjonsnivå beforeSend-hook som fjerner prompts, scorecard og metadata.
Retention: 90 dager (Sentry default)
Kryptering: TLS 1.2+ in transit, AES-256 at rest

Krescado AS vil varsle behandlingsansvarlig minimum 30 dager for nye underleverandører tas i bruk. Denne siden oppdateres fortløpende.

Spørsmål om underleverandører og databehandling rettes til: personvern@krescado.no

Sist oppdatert: 11. juni 2026