e-conomic (Visma e-conomic A/S)
- Leverantör
- Visma e-conomic A/S (Danmark, dotterbolag till Visma AS, Norge)
- Kategori
- accounting
Vad det är
Molnbaserat bokföringssystem för småföretag, ursprungligen utvecklat i Danmark men spritt över Norden. Lanserades på svenska marknaden 2014 med svensk lokalanpassning (Visma e-conomic Sverige AB). Konkurrerar med Fortnox/Bokio/SpeedLedger i SMB-segmentet.
Marknadsförda funktioner:
- Bokföring, fakturering, rapportering, analys
- Offerter, budgetering
- Skanning och hantering av leverantörsfakturor (OCR — AI-status oklar)
- Integrationer med lager-, webshop- och lönesystem
- Multi-bolag-stöd för redovisningsbyråer
AI-specifika features: Inte tydligt marknadsförda på huvudwebbplatsen. Visma-koncernens "Machine Learning Factory" producerar ML-API:er för koncernbolag — sannolikt används dessa för e-conomic OCR och konteringsförslag, men det är inte publikt verifierat.
Typisk dataaccess
- All bokföringsdata: verifikat, fakturor, kund-/leverantörsregister
- Inscannade leverantörsfakturor (med klientuppgifter i text + bild)
- Bank-integrationsdata (via Open Banking)
- Vid byrå-instans: tillgång till flera klientföretags fullständiga bokföring
- Vid integrationer (Shopify, webshops, lönesystem): personuppgifter från externa system förs in i e-conomic
- Behöver verifieras: om koncerninternt ML-API drar e-conomic-data till Vismas centrala modeller
EU AI Act-bedömning
Risknivå: Limited
Motivering: Bokföringsautomatisering är inte uttryckligen Annex III high-risk. Klassas som smal verktygs-AI. Eventuell AI-baserad fakturatolkning (OCR + ML) faller under Limited risk med transparensplikt om den klassas som AI Act-relevant.
Kompliceringsfaktor: e-conomic har ingen offentligt dokumenterad EU AI Act-position — varken Article 4-stöd för slutkunder, Article 50-disclosure för OCR/ML, eller formell impactanalys. För ett verktyg som rör klient-ekonomidata över flera jurisdiktioner är det en signal.
GDPR-överväganden
Datalagring:
- Privacy policy specificerar inte primär hosting-region — sannolikt Microsoft Azure i Norden/EU
- Microsoft Azure (US) listat som sub-processor — antingen för backup, fail-over eller specifika tjänster
- Retention: "rimlig tid efter sista interaktion" — ingen specifik tidsangivelse i policyn
- Behöver verifieras: exakt hosting-region och retention-period i timmar/dagar/månader
Datatransfer:
- Publik underleverantörslista (https://www.e-conomic.dk/sikkerhed/persondata/underleverandoerer) — nyckelposter:
- Google Ireland (EU) — applikationshosting + dokumentanalys/automation
- Microsoft Ireland (EU, NL/IE) — databas-backup
- US-baserade: Twilio/SendGrid (e-post), Cloudflare Inc. (säkerhet/DDoS), Datadog Inc. (loggning/övervakning)
- KMD (IE/NL/USA)
- Övriga Visma-koncernbolag (Visma Software International, Visma Solutions OY, Visma Dataløn) för avstämning, Peppol, lön
- Ingen LLM-leverantör (OpenAI/Anthropic/Azure OpenAI) explicit listad. "Dokumentanalys/automation" tillskrivs Google Cloud, inte en namngiven LLM.
- Standard Contractual Clauses (SCC) tillämpas för US-sub-processors; Schrems II-implikationerna gäller dessa (Cloudflare/Datadog/Twilio), inte kärn-bokföringsdatan som ligger i EU
- Visma-koncernens "Machine Learning Factory" (ML-API:er) — default "we do not train on your data" + EU-region-låst per Vismas ML-dokumentation (se Visma-/SpeedLedger-posterna); koncernintern poolning saknar publik garanti
DPA tillgänglig: Ja, via Visma Trust Centre och e-conomic-applikationen. Versionen som gäller för kund kan variera per plan/tier. Byrå måste granska aktuell version.
Särskilda risker:
- Multi-jurisdiktion-stack: dansk leverantör + norskt moderbolag + US-baserad sub-processor-mix = byrån måste navigera flera GDPR-tolkningar parallellt
- "e-conomic Sverige" är säljbolag, inte data controller eller separat infrastruktur — datajuridiken är dansk/norsk i praktiken
- Eloqua/Confirmit/Lithium-kategorin (marknadsföring, CRM, community) hanterar data som inte alltid förstås som "kunddata" men ändå går till US — relevant för transparenskrav
- ISAE 3000 GDPR Type 2-rapport finns från 2023 men nyare publik bekräftelse saknas — kräver direktförfrågan
Vanliga risker
- AI-/OCR-genererade konteringsförslag accepterade utan granskning → bokföringsfel
- Klientuppgifter exponeras för US-baserade sub-processors via Eloqua/Confirmit-flöden utan att byrån vet
- Byrå-instans med flera klienter har risk för permission-läckage om e-conomics behörighetsmodell missuppfattas
- Klient antar "Visma = norskt = säkert EU" — verkligheten är spridd över Köpenhamn/Oslo/US-Azure/US-AWS
- Lock-in-risk via integrationer (Shopify, lönesystem) som blir svåra att lösa ut vid byte av leverantör
Rekommenderade mitigeringar
- Granska Visma Trust Centre + e-conomic DPA — verifiera aktuell sub-processor-lista och SCC-implementering
- Fråga Visma e-conomic direkt: "Vilken Azure-region är primär hosting? Vad är retention-period efter avtalets upphörande?"
- Fråga direkt: "Använder ni Vismas Machine Learning Factory för OCR/konteringsförslag? Tränas modellerna på vår kund-/klientdata?"
- Fråga direkt: "Vilka av era sub-processors hanterar faktiskt klientdata vs bara marknadsföringskontakter?"
- Kräv ISAE 3000-rapport (uppdaterad version) före upphandling — finns från 2023, nyare bör finnas
- Förbjud i policy: att aktivera marknadsförings-tracking-integrationer (Eloqua-relaterat) om byrån inte verifierat datakretslopp
- Granska alla AI-/OCR-konteringsförslag substantivt under första 3 månader
Branschspecifik vägledning – revision/redovisning
Får användas för (med granskning):
- Bokföring för småföretag-klienter där byrån fungerar som outsourcad redovisningsavdelning
- OCR-tolkning av leverantörsfakturor som förslag — alltid granska före kontering
- Rapportgenerering och budgetuppföljning för klientmöten
- Multi-bolag-administration när byrå hanterar flera klienter med liknande struktur
Får INTE användas för (utan substantiv granskning):
- Slutlig bokföring av komplexa transaktioner (M&A, omstrukturering, IFRS-omräkning)
- Klientdata-bearbetning där byrån inte verifierat aktuell sub-processor-lista
- Klientmedel-relaterade konteringar (revisorslagen 19 §) utan extra granskning
- Granskningsbevis enligt ISA — e-conomic-genererad data är inte revisorns självständiga observation
Särskild försiktighet vid:
- Klientföretag med extra strikta datalokaliseringskrav (offentlig sektor, försvar, sjukvård) — multi-jurisdiktion-stacken kan vara diskvalificerande
- Aktivering av integrationer mot externa system (Shopify, webshops, lönesystem) — varje integration utvidgar datakretslopp som måste GDPR-bedömas separat
- Klient-byrå-rollblandning: e-conomic-konteringsförslag är inte revisorns självständiga bedömning (ISA)
Källor
- e-conomic Privacy Statement: https://www.e-conomic.com/privacy
- e-conomic publik underleverantörslista (verifierad 2026-05-26): https://www.e-conomic.dk/sikkerhed/persondata/underleverandoerer
- Visma Trust Centre (koncernpolicy + per-produkt-sök): https://www.visma.com/trust-centre/
- Visma ML "Machine Learning Factory" — träningsstance + EU-residency: https://docs.vml.visma.ai/ · https://vml.visma.ai/privacy
- e-conomic ISAE 3000 GDPR Type 2-rapport (från 2023, kan vara föråldrad): https://www.e-conomic.dk/sites/default/files/e-conomic/DK/docs/visma_e-conomic_isae_3000_gdpr_type_2_final_200123.pdf
- Saknas: officiell EU AI Act-position/Article 50-disclosure för OCR/ML, aktuell ISAE 3000 (post-2024), fristående direkt-DPA-URL, namngiven LLM för ev. genAI-features
Specifika frågor att ställa till revisor med e-conomic-erfarenhet under verifieringssamtal:
- Vilka klienter typiskt använder e-conomic snarare än Fortnox/Bokio/SpeedLedger? Är det nordiska-koncern-klienter, klienter med danska kopplingar, eller specifika branscher?
- Förstår dina klienter att e-conomic är Visma-koncernen, dansk leverantör med multi-jurisdiktion-stack? Eller köps det i tron att det är "lokalt EU"?
- Stämmer beskrivningen av AI/OCR-features? Är fakturatolkningen träffsäker? Vilka tolkningsfel är vanliga?
- Multi-jurisdiktion-juridik: har du eller advokatpartner haft frågor om dansk vs svensk vs norsk lag i klientärenden med e-conomic?
- Sub-processor-stack: har klienter ifrågasatt Microsoft Azure US, AWS Irland/US, eller andra US-baserade leverantörer? Kräver vissa klienter strikt EU-only?
- Klientmedel-relaterade konteringar (revisorslagen 19 §): stämmer vår markering att dessa kräver särskild granskning?
- Multi-klient-byråinstans: hur hanterar e-conomic behörigheter när byrån har många klienter? Är det säkert eller riskfyllt?
- Lock-in-frågan: hur enkelt är det att exportera all data från e-conomic vid byte av leverantör? Vilka integrationer är hårdast att lösa ut?
Relaterade verktyg
Andra verktyg i samma kategori och fas — kan ha liknande överväganden.
Fortnox AI
Fortnox AB (Sverige)
Bokio AI
Bokio (Sverige, Göteborg)
Visma eEkonomi (numera Visma Bokföring & Fakturering)
Visma (svensk-norskt bolag, huvudkontor Oslo, omfattande svensk närvaro)
SpeedLedger e-bokföring
SpeedLedger AB (Sverige), del av Visma-koncernen (Norge)
Behöver ni hjälp att tolka detta för er specifika byrå?
Boka 30 min →