← Tillbaka till katalogen
crm / sales

Pipedrive AI

Begränsad riskEUVerifierad
Leverantör
Pipedrive (EU-avtalsentitet i **Estland**; US-affilierade bolag finns)
Kategori
crm / sales
Webbplats
https://www.pipedrive.com
Hosting
AWS. EU-kunder hostas i EES — **Frankfurt, Dublin, Stockholm**. Avtalsentitet/jurisdiktion = Estland (EU).

Vad det är

Sälj-CRM med GenAI-svit: AI Sales Assistant (deal-prioritering/next-best-action), AI-mejlskrivare och -sammanfattare (med sentiment), AI-rapporter (naturligt språk), smart app-rekommendation, samt en ny konversations-assistent driven av OpenAI (beta jan 2026). Relevant som byråns egen sälj-/pipeline-CRM.

Typisk dataaccess

  • CRM-data: kontakter, företag, deals, aktiviteter, mejlhistorik
  • Vid AI-mejlfunktioner: mejlinnehåll skickas till AI-leverantör (OpenAI Ireland)
  • Vid integrationer: kopplad data (e-post, kalender, besökar-tracking)

EU AI Act-bedömning

Risknivå: Limited

Motivering: GenAI för sälj-text/sammanfattning → Article 50-transparensplikt. Inte Annex III i normal sälj-användning. Pipedrive ålägger AI-transparens/-oversight på partners via sin Partner Code of Conduct.

GDPR-överväganden

Datalagring: AWS, EES-regioner (Frankfurt/Dublin/Stockholm) för EU-kunder. Avtalsentitet i Estland.

Datatransfer: Integritetspolicyn garanterar inte EU-only-behandling utan beskriver SCC/överföringsskydd. AI-leverantör = OpenAI Ireland Limited (namngiven i sub-processor-listan) — underliggande behandling kan beröra US.

DPA tillgänglig: Ja: https://www.pipedrive.com/en/privacy/dpa. Sub-processorer: https://www.pipedrive.com/subprocessors — OpenAI Ireland (AI), AWS, Cloudflare, Twilio SendGrid m.fl.

Träningsstance: Pipedrive säger sig använda AI/ML för att "förbättra Pipedrive Operations" och kan använda "third-party AI services" — men inget uttryckligt "vi tränar inte på er data"-åtagande hittades på den publika integritetspolicyn (lucka att flagga). Alla AI/ML-use-cases granskas internt av Legal/Privacy/Security.

Certifieringar: GDPR, EU-US DPF + UK-tillägg (men förlitar sig primärt på SCC), ISO/IEC 27001:2022, ISO/IEC 27701, SOC 2 Type 2, SOC 3.

Särskilda risker:

  • Inget explicit no-training-uttalande publikt
  • AI-mejlfunktioner skickar innehåll till OpenAI (Ireland-entitet, men ev. US-behandling)
  • CRM kan innehålla klient-/prospekt-personuppgifter

Vanliga risker

  • Säljare skriver klient-/prospekt-känslig info i deal-fält → kan exponeras för AI-funktioner
  • AI-mejlskrivare genererar påståenden om byråns kompetens (revisorslagens marknadsföringsregler kan beröras)
  • Antagande att Stockholm-hosting = ingen US-behandling (AI går via OpenAI)
  • Sammanblandning av byråns CRM-data och klientens data om byrån driver CRM åt klient

Rekommenderade mitigeringar

  • Fråga Pipedrive skriftligt om de tränar på kunddata (inget publikt no-training-uttalande)
  • Begränsa känslig info i deal-fält som AI-funktioner kan läsa
  • Granska AI-genererade säljmejl mot revisorslagens marknadsföringsregler
  • Använd EES-hosting (Frankfurt/Dublin/Stockholm) och dokumentera OpenAI-flödet
  • Aktivera ISO 27001-/SOC 2-relevanta kontroller; granska sub-processor-listan

Branschspecifik vägledning – revision/redovisning

Får användas för:

  • Byråns egen sälj-pipeline och prospekt-hantering
  • Allmän marknadsförings-/uppföljnings-mejl utan klient-specifik känslig info
  • Intern rapportering och prognoser

Får INTE användas för:

  • Lagring av granskningsbevis eller revisorslagens 19 §-känslig info i CRM
  • Automatiserade beslut om klientacceptans/-screening (KYC) utan human review
  • Klientmedel-/bankuppgifter i deal-fält

Särskild försiktighet vid:

  • AI-mejlfunktioner som skickar innehåll till OpenAI
  • Avsaknad av explicit no-training-uttalande
  • CRM-data som blandar byråns och klientens uppgifter

Källor

Relaterade verktyg

Andra verktyg i samma kategori och fas — kan ha liknande överväganden.

Behöver ni hjälp att tolka detta för er specifika byrå?

Boka 30 min →