← Tilbake til personvernerklæring

Underdatabehandlere og uavhengige mottakere

HODLON AS (org.nr. 931 046 292) deler personopplysninger med to typer tredjeparter for å levere enkeltas-tjenesten:

  • Underdatabehandlere (GDPR Art. 28) — behandler personopplysninger på våre vegne, etter instruksjon, og er bundet av databehandleravtale (DPA).
  • Uavhengige behandlingsansvarlige (GDPR Art. 4(7)) — fastsetter selv formål og midler for sin behandling. Disse er ikke databehandlere etter Art. 28, og lovverket forbyr oss å inngå DPA med dem. Eksempler: Skatteetaten, ID-porten og Idura ApS (BankID-megler).

Listen er auto-derivert fra vår maskinlesbare kildelist lib/gdpr/data-processors.ts og oppdateres automatisk ved hver vesentlig endring i vår leverandør-stakk.

Per GDPR Art. 28(2) krever bruk av nye underdatabehandlere generell autorisasjon fra behandlingsansvarlig (kunden). Ved å bruke enkeltas gir kunden generell autorisasjon til de underdatabehandlerne som er listet på denne siden. Vi varsler kunden ved vesentlige endringer (ny underdatabehandler i annen jurisdiksjon, M&A) med 30 dagers forhåndsvarsel.

Per GDPR Art. 13(1)(e)+(f) + 14(1)(e)+(f) informerer denne siden også om mottakere av personopplysninger og overføringer til tredjeland samt våre Standard Contractual Clauses (SCC 2021/914) i bruk. Komplett TIA: se personvernerklæringen.

Aktive underdatabehandlere (11)

Supabase, Inc

EØS
Database + autentisering

Core PostgreSQL database + email/BankID-callback authentication. Every customer write hits Supabase.

Data-kategorier vi sender:
  • all customer-volunteered data (name, email, BankID-pseudonymized sub)
  • company org numbers + addresses
  • all accounting data (vouchers, journal entries, invoices, bank transactions)
  • AI conversation history (nora_audit; PII columns redactable per Sprint 3X.audit.gdpr-redact)
  • session tokens + auth state
Underleverandører: 23 entities in Schedule 3 of DPA, including AWS (eu-west-1 Ireland), Cloudflare, Google, OpenAI, PandaDoc, Sentry, Slack, Vercel.
DPA: SignertSCC: Signert

Vercel Inc.

EØS
Hosting-infrastruktur

Application hosting + serverless function execution + cron orchestration. Sprint 344: serverless deploys to Frankfurt (fra1) for latency + EEA data-residency.

Data-kategorier vi sender:
  • all HTTP request metadata (IP, user agent, paths)
  • application logs
  • cron-fired event metadata
Underleverandører: AWS (eu-central-1 / Frankfurt for sprint-344-onwards deploys); Cloudflare for DDoS. Full list: https://vercel.com/legal/sub-processors
DPA: SignertSCC: Signert

Anthropic PBC

USA (SCC påkrevd)
AI-prosessering

AI accounting assistant (Nora). Generates responses, categorizes expenses, parses receipts. EU AI Act Art. 50 transparency disclosed at consent + /legal/ai-quality.

Data-kategorier vi sender:
  • free-text user input (Nora chat messages, expense descriptions)
  • invoice text + voucher descriptions (when AI categorization is requested)
  • company_id (UUID — pseudonymous; not directly identifying)
  • no auth tokens, no email, no BankID sub
Underleverandører: Listed at https://www.anthropic.com/subprocessors (15-day notice for new sub-processors per DPA §C.3). Trust center: https://trust.anthropic.com/
DPA: SignertSCC: Inkorporert

Resend Inc.

USA (SCC påkrevd)
E-post-levering

Transactional email — signup confirmations, access invites, invoice reminders, alert email-fallback.

Data-kategorier vi sender:
  • recipient email address
  • company name (in body)
  • invoice summary text (when invoice reminder)
  • invitation tokens (single-use)
Underleverandører: Listed at https://resend.com/legal/subprocessors per DPA §4.2; 14-day advance notice for new sub-processors per §4.2. Primary: AWS infrastructure + Amazon SES bounce-handling.
DPA: SignertSCC: Inkorporert

Discord Inc.

USA (SCC påkrevd)
Operasjonelle varsler

Internal ops team alerting — Discord webhook receives operational alerts only. No customer PII is ever sent (alerts are system-level: health, quota, integration failures). The webhook URL is operator-configured via OPS_ALERT_WEBHOOK_URL env.

Data-kategorier vi sender:
  • (Ingen kunde-PII overført)
Underleverandører: Discord infrastructure
DPA: Pågående (pre-launch)SCC: Ikke aktuelt

Functional Software, Inc. d/b/a Sentry

USA (SCC påkrevd)
Application monitoring

Runtime error tracking. EU ingest endpoint (de.sentry.io); counterparty in US.

Data-kategorier vi sender:
  • application error messages + stack traces
  • HTTP request metadata (path, method, status)
  • user session ID (anonymized)
  • browser + OS info
  • NO PII (we use Sentry beforeSend to scrub user data)
Underleverandører: Hosted on GCP. Other sub-processors (per Mar 2026 list): AWS, Cloudflare, Intercom, Anthropic, OpenAI, Sinch/Mailgun, Twilio/SendGrid. Affiliates: Functional Software GmbH (Vienna), Sentry Software Canada Inc., Sentry Software Netherlands B.V. Full list + RSS change feed: https://sentry.io/legal/subprocessors/
DPA: SignertSCC: DPF + SCC (reserve)

Stripe Payments Europe, Limited (SPEL)

USA (SCC påkrevd)
Betaling

Subscription billing + Stripe Connect for customer revenue ingestion (when customer connects their own Stripe).

Data-kategorier vi sender:
  • company_id (UUID)
  • Stripe Connect account ID
  • subscription billing metadata
  • transaction amounts (when user connects Stripe Connect for revenue sync)
Underleverandører: Per Stripe DPA (AWS + cloudflare typical)
DPA: SignertSCC: Signert

Enable Banking Oy

EU bank-nettverk
Bank-integrasjon (PSD2)

PSD2/AISP open-banking aggregator — bank transaction sync for accounting. EU-headquartered (Finland).

Data-kategorier vi sender:
  • bank account number (when user connects their bank)
  • account balance + transaction history (read-only AISP scope)
Underleverandører: User's own bank is the data source; Enable Banking is the licensed PSD2/AISP technical conduit. Detailed sub-processor list expected with the DPA-counter-sign response.
DPA: SignertSCC: Ikke aktuelt

Brønnøysundregistrene (Enhetsregisteret)

Norsk offentlig
Referansedata

Public business registry lookup — verify company exists, fetch org_form, address, etc. Public-data (NLOD open data).

Data-kategorier vi sender:
  • organization number (org_number, queried by user search)
  • company name fragments (search queries)
Underleverandører: Norwegian government infrastructure
DPA: Pågående (pre-launch)SCC: Ikke aktuelt

Kartverket (Geonorge)

Norsk offentlig
Referansedata

Norwegian government address registry — postal code + address validation. Public-data (NLOD open data).

Data-kategorier vi sender:
  • address fragments (street, city, postal code) for validation
Underleverandører: Norwegian government infrastructure
DPA: Pågående (pre-launch)SCC: Ikke aktuelt

Posten Bring AS

EØS
Referansedata

Postal code + shipping reference data lookup.

Data-kategorier vi sender:
  • postal codes (4-digit Norwegian)
  • address snippets for validation
Underleverandører: Posten Bring infrastructure
DPA: Pågående (pre-launch)SCC: Ikke aktuelt

Uavhengige behandlingsansvarlige (3)

Disse mottakerne er ikke databehandlere etter GDPR Art. 28 — de fastsetter selv formål og midler for sin behandling og handler ikke etter instruksjon fra HODLON AS. Vi deler personopplysninger med dem som en uavhengig behandlingsansvarlig deler med en annen uavhengig behandlingsansvarlig. Ingen databehandleravtale skal eller kan inngås for slike forhold.

Rettslig grunnlag for hver mottaker er sitert i kommentarene i lib/gdpr/data-processors.ts — typisk en kombinasjon av lovbestemt designering (f.eks. dansk MitID-lov §13, finsk Traficom 216/2022 S, norsk eID-loven, skatteforvaltningsloven) og den funksjonelle vurderingen etter GDPR Art. 4(7) (hvem bestemmer formål og midler i praksis).

Idura ApS (formerly Criipto ApS)

EØS
Identitets-verifikasjon

Norwegian BankID OIDC broker — proves the user is a real person with a real Norwegian ID. Idura asserts identity TO HODLON AS as an independent controller (see dpa_status rationale).

Personopplysninger som utveksles:
  • BankID Norwegian identity verification (returns pseudonymous sub)
  • Norwegian fødselsnummer (encrypted at rest per Idura security model)
  • name, email, address (per BankID specification)
  • OIDC tokens (transient — deleted within minutes of completion)
Deres infrastruktur: Microsoft Azure (Ireland + Netherlands), AWS (Germany). BankID issuers (Buypass, Verile) for Norwegian eID flow. All EU/EEA-based. NOTE: as an independent controller, Idura's sub-processors are governed by Idura's OWN GDPR posture — HODLON has no Art. 28(2) approval right over them; the disclosure here is informational.
Status: Uavhengig behandlingsansvarlig — ingen Art. 28 DPA aktuelt.

Digitaliseringsdirektoratet (ID-porten)

Norsk offentlig
Identitets-verifikasjon

Norwegian government identity provider — required for Altinn-mediated tax/regulatory filings.

Personopplysninger som utveksles:
  • identity tokens for Altinn access
  • org_number proof of authority
Deres infrastruktur: Operated by Digdir (Norwegian government)
Status: Uavhengig behandlingsansvarlig — ingen Art. 28 DPA aktuelt.

Skatteetaten + Brønnøysundregistrene (Altinn)

Norsk offentlig
Skatt + regulatorisk rapportering

Norwegian government tax + employer filing platform. Bokføringsloven obligation.

Personopplysninger som utveksles:
  • company org_number
  • MVA (VAT) returns (XML structured)
  • A-melding employment + salary data (when employees are reported)
Deres infrastruktur: Operated by Brønnøysundregistrene (Norwegian government)
Status: Uavhengig behandlingsansvarlig — ingen Art. 28 DPA aktuelt.

Inaktive (forberedt, ikke i bruk) (4)

Disse er forhåndsregistrert i vår leverandør-liste men sender ingen kunde-data per dags dato.

Endringsvarsling

Kunder kan abonnere på e-postvarsler ved endringer i denne listen ved å sende henvendelse til hei@enkeltas.no med emne "Sub-processor varsling".

Maskinlesbar kilde

For utviklere + auditorer: kildedataen for denne siden er versjonert i git på lib/gdpr/data-processors.ts. En deploy-gate audit audit:processor-inventory verifiserer at vår tredjeparts-API-bruk samsvarer med listen — ingen ny databehandler kan introduseres uten oppdatering av denne siden.

Sist auto-generert: ved siste deploy. Sammensetning: maskinlesbar fra lib/gdpr/data-processors.ts.