e-conomic (Visma e-conomic A/S)

Vad det är

Molnbaserat bokföringssystem för småföretag, ursprungligen utvecklat i Danmark men spritt över Norden. Lanserades på svenska marknaden 2014 med svensk lokalanpassning (Visma e-conomic Sverige AB). Konkurrerar med Fortnox/Bokio/SpeedLedger i SMB-segmentet.

Marknadsförda funktioner:

• Bokföring, fakturering, rapportering, analys
• Offerter, budgetering
• Skanning och hantering av leverantörsfakturor (OCR — AI-status oklar)
• Integrationer med lager-, webshop- och lönesystem
• Multi-bolag-stöd för redovisningsbyråer

AI-specifika features: Inte tydligt marknadsförda på huvudwebbplatsen. Visma-koncernens "Machine Learning Factory" producerar ML-API:er för koncernbolag — sannolikt används dessa för e-conomic OCR och konteringsförslag, men det är inte publikt verifierat.

Typisk dataaccess

• All bokföringsdata: verifikat, fakturor, kund-/leverantörsregister
• Inscannade leverantörsfakturor (med klientuppgifter i text + bild)
• Bank-integrationsdata (via Open Banking)
• Vid byrå-instans: tillgång till flera klientföretags fullständiga bokföring
• Vid integrationer (Shopify, webshops, lönesystem): personuppgifter från externa system förs in i e-conomic
• Behöver verifieras: om koncerninternt ML-API drar e-conomic-data till Vismas centrala modeller

EU AI Act-bedömning

Risknivå: Limited

Motivering: Bokföringsautomatisering är inte uttryckligen Annex III high-risk. Klassas som smal verktygs-AI. Eventuell AI-baserad fakturatolkning (OCR + ML) faller under Limited risk med transparensplikt om den klassas som AI Act-relevant.

Kompliceringsfaktor: e-conomic har ingen offentligt dokumenterad EU AI Act-position — varken Article 4-stöd för slutkunder, Article 50-disclosure för OCR/ML, eller formell impactanalys. För ett verktyg som rör klient-ekonomidata över flera jurisdiktioner är det en signal.

GDPR-överväganden

Datalagring:

• Privacy policy specificerar inte primär hosting-region — sannolikt Microsoft Azure i Norden/EU
• Microsoft Azure (US) listat som sub-processor — antingen för backup, fail-over eller specifika tjänster
• Retention: "rimlig tid efter sista interaktion" — ingen specifik tidsangivelse i policyn
• Behöver verifieras: exakt hosting-region och retention-period i timmar/dagar/månader

Datatransfer:

• Mycket explicit sub-processor-lista med multinationell spridning:
  • Microsoft Azure (US)
  • Amazon (Irland/US)
  • Oracle (US) — Eloqua-marknadsföringsverktyg
  • Google (US) — email/office/storage
  • Confirmit (Norge/US) — kundfeedback
  • Lithium (Nederländerna/US) — community-plattformar
  • Super Office (Norge) — CRM
• Standard Contractual Clauses (SCC) tillämpas, men antalet US-baserade sub-processors gör Schrems II-implikationerna mer relevanta än för Fortnox
• Visma-koncernen har egen "Machine Learning Factory" som producerar ML-API:er för dotterbolag — koncernintern datadelning kan ske

DPA tillgänglig: Ja, via Visma Trust Centre och e-conomic-applikationen. Versionen som gäller för kund kan variera per plan/tier. Byrå måste granska aktuell version.

Särskilda risker:

• Multi-jurisdiktion-stack: dansk leverantör + norskt moderbolag + US-baserad sub-processor-mix = byrån måste navigera flera GDPR-tolkningar parallellt
• "e-conomic Sverige" är säljbolag, inte data controller eller separat infrastruktur — datajuridiken är dansk/norsk i praktiken
• Eloqua/Confirmit/Lithium-kategorin (marknadsföring, CRM, community) hanterar data som inte alltid förstås som "kunddata" men ändå går till US — relevant för transparenskrav
• ISAE 3000 GDPR Type 2-rapport finns från 2023 men nyare publik bekräftelse saknas — kräver direktförfrågan

Vanliga risker

• AI-/OCR-genererade konteringsförslag accepterade utan granskning → bokföringsfel
• Klientuppgifter exponeras för US-baserade sub-processors via Eloqua/Confirmit-flöden utan att byrån vet
• Byrå-instans med flera klienter har risk för permission-läckage om e-conomics behörighetsmodell missuppfattas
• Klient antar "Visma = norskt = säkert EU" — verkligheten är spridd över Köpenhamn/Oslo/US-Azure/US-AWS
• Lock-in-risk via integrationer (Shopify, lönesystem) som blir svåra att lösa ut vid byte av leverantör

Rekommenderade mitigeringar

• Granska Visma Trust Centre + e-conomic DPA — verifiera aktuell sub-processor-lista och SCC-implementering
• Fråga Visma e-conomic direkt: "Vilken Azure-region är primär hosting? Vad är retention-period efter avtalets upphörande?"
• Fråga direkt: "Använder ni Vismas Machine Learning Factory för OCR/konteringsförslag? Tränas modellerna på vår kund-/klientdata?"
• Fråga direkt: "Vilka av era sub-processors hanterar faktiskt klientdata vs bara marknadsföringskontakter?"
• Kräv ISAE 3000-rapport (uppdaterad version) före upphandling — finns från 2023, nyare bör finnas
• Förbjud i policy: att aktivera marknadsförings-tracking-integrationer (Eloqua-relaterat) om byrån inte verifierat datakretslopp
• Granska alla AI-/OCR-konteringsförslag substantivt under första 3 månader

Branschspecifik vägledning – revision/redovisning

Får användas för (med granskning):

• Bokföring för småföretag-klienter där byrån fungerar som outsourcad redovisningsavdelning
• OCR-tolkning av leverantörsfakturor som förslag — alltid granska före kontering
• Rapportgenerering och budgetuppföljning för klientmöten
• Multi-bolag-administration när byrå hanterar flera klienter med liknande struktur

Får INTE användas för (utan substantiv granskning):

• Slutlig bokföring av komplexa transaktioner (M&A, omstrukturering, IFRS-omräkning)
• Klientdata-bearbetning där byrån inte verifierat aktuell sub-processor-lista
• Klientmedel-relaterade konteringar (revisorslagen 19 §) utan extra granskning
• Granskningsbevis enligt ISA — e-conomic-genererad data är inte revisorns självständiga observation

Särskild försiktighet vid:

• Klientföretag med extra strikta datalokaliseringskrav (offentlig sektor, försvar, sjukvård) — multi-jurisdiktion-stacken kan vara diskvalificerande
• Aktivering av integrationer mot externa system (Shopify, webshops, lönesystem) — varje integration utvidgar datakretslopp som måste GDPR-bedömas separat
• Klient-byrå-rollblandning: e-conomic-konteringsförslag är inte revisorns självständiga bedömning (ISA)

Källor

• e-conomic Privacy Statement: https://www.e-conomic.com/privacy
• e-conomic huvudwebbplats: https://www.e-conomic.com
• Visma Trust Centre (för full sub-processor-lista och koncernpolicy): https://www.visma.com/trust-centre/
• e-conomic ISAE 3000 GDPR Type 2-rapport (från 2023, kan vara föråldrad): https://www.e-conomic.dk/sites/default/files/e-conomic/DK/docs/visma_e-conomic_isae_3000_gdpr_type_2_final_200123.pdf
• Bokföringssystemet e-conomic Sverige-launch (2014): https://www.mynewsdesk.com/se/e-conomic_sverige_ab/pressreleases/bokfoeringssystemet-e-conomic-lanseras-i-sverige-ny-version-foer-den-svenska-marknaden-1079448
• Saknas: officiell EU AI Act-position, Article 50-disclosure för OCR/ML, aktuell ISAE 3000 (post-2024), nuvarande hosting-region-bekräftelse, AI-tech-stack-uppgifter, koncernintern Machine Learning Factory-policy

Specifika frågor att ställa till revisor med e-conomic-erfarenhet under verifieringssamtal:

1. Vilka klienter typiskt använder e-conomic snarare än Fortnox/Bokio/SpeedLedger? Är det nordiska-koncern-klienter, klienter med danska kopplingar, eller specifika branscher?
2. Förstår dina klienter att e-conomic är Visma-koncernen, dansk leverantör med multi-jurisdiktion-stack? Eller köps det i tron att det är "lokalt EU"?
3. Stämmer beskrivningen av AI/OCR-features? Är fakturatolkningen träffsäker? Vilka tolkningsfel är vanliga?
4. Multi-jurisdiktion-juridik: har du eller advokatpartner haft frågor om dansk vs svensk vs norsk lag i klientärenden med e-conomic?
5. Sub-processor-stack: har klienter ifrågasatt Microsoft Azure US, AWS Irland/US, eller andra US-baserade leverantörer? Kräver vissa klienter strikt EU-only?
6. Klientmedel-relaterade konteringar (revisorslagen 19 §): stämmer vår markering att dessa kräver särskild granskning?
7. Multi-klient-byråinstans: hur hanterar e-conomic behörigheter när byrån har många klienter? Är det säkert eller riskfyllt?
8. Lock-in-frågan: hur enkelt är det att exportera all data från e-conomic vid byte av leverantör? Vilka integrationer är hårdast att lösa ut?