Pleo
- Leverantör
- Pleo Technologies A/S (Danmark)
- Kategori
- expense_management
- Webbplats
- https://www.pleo.io
- Hosting
- EU-baserat. **Pleo är danskt bolag** — bygger primärt mot EU-regulering, vilket gör compliance-profilen markant annorlunda än US-baserade verktyg.
Vad det är
Företagskort + utgiftshantering med inbyggd AI för kvitto-tolkning och kategorisering. Anställda får fysiska eller virtuella kort, kvitton fångas via mobilapp eller mejl, AI matchar kvittot mot kort-transaktionen och kategoriserar utgiften. Riktar sig till team-baserad utgiftshantering snarare än traditionell expense-process.
Typisk dataaccess
- Korttransaktioner (kortinnehavare, belopp, leverantör, datum, MCC-kod)
- Inscannade kvitton via mobilapp eller mejl ("Fetch"-funktion)
- Vid Fetch: e-postinkorgar skannas för kvitto-bilagor — bara matchande mejl extraheras
- Företagskontering och utgiftspolicies
- Integration med Fortnox, Visma, Hogia, Bokio etc — bokföringsdata flödar in/ut
EU AI Act-bedömning
Risknivå: Limited
Motivering: Smal expense-AI. Inte high-risk under Annex III. Påverkan högre vid eventuella automatiserade beslut om utgiftsgodkännande.
GDPR-överväganden
Datalagring:
- EU-baserat (danskt) → primär jurisdiktion EU
- Fully GDPR-compliant by design
- PCI-DSS certifierat (krävs för kortverksamhet)
- "Fetch": bara kvitto-data extraheras (vendor, belopp, datum, valuta) — full mejl-innehåll lagras inte
- Mejl parses för att hämta kvitton men "läses inte av mänskligt öga" enligt Pleo
Datatransfer (resolverat via research 2026-05-26): Pleo håller data inom EES om inte överföringsskydd (TIA + EU-rekommenderade åtgärder) tillämpas. Hosting på AWS (Irland), Azure (EU), Google Cloud (EU). Men den publika underbiträdeslistan (https://www.pleo.io/en/sub-processors, uppdaterad 2025-05-29) listar US-baserade: Anthropic, PBC ("AI-product enablement" + analytics), HubSpot (CRM), Grafana (US), Marqeta (US, endast US-kunder). EU/UK: Enfuce (Frankfurt), Saltedge (Frankfurt), Twilio, Freshworks, Notion Labs. → Viss tredjelandsöverföring sker via dessa.
AI-tech-stack (inferens 2026-05-26): LLM-leverantör = Anthropic (Claude), enligt underbiträdeslistans post "AI-product enablement". Pleo publicerar ingen marknadsförings-text som namnger modellen; underbiträdeslistan är primärkällan.
DPA tillgänglig: Ja — direkt PDF (uppdaterad 2025-10-14): https://www.pleo.io/legal-documents/pleo-data-processing-addendum-en.pdf · GDPR-sida: https://www.pleo.io/en/legal/gdpr · Underbiträdeslista: https://www.pleo.io/en/sub-processors
Certifieringar: PCI-DSS (bekräftat), Google CASA, HackerOne bug bounty, CAIQ self-assessment, GDPR. SOC 2 och ISO 27001 ej bekräftade på Pleos officiella Trust & Security-sida (https://www.pleo.io/en/trust-and-security) — be om intyg.
Särskilda risker:
- Fetch (e-postintegration) ger Pleo access till hela inbox (för att hitta kvitton) — broad permission scope även om bara kvitton extraheras
- Korttransaktionsdata är finansiellt känsligt — krav på bank-grade säkerhet
- AI för fraud-detection: bedömningar om misstänkt aktivitet kan påverka anställdas konto-tillgång
Vanliga risker
- Anställd kopplar Fetch till privat mejl-konto med blandning av jobb/privat-information
- AI-kategorisering av utgifter kan vara fel → felaktig bokföring eller skatt-implikationer
- Mobilapp-fotografering av kvitton kan inkludera känslig info i bakgrunden (annan klient, annans bord-grupp)
- Integration med bokföringssystem skapar data-flöde som behöver granskas i båda ändarna
Rekommenderade mitigeringar
- Pleo som EES-baserat tool är en compliance-fördel — men inte rent EU: AI-funktionerna går till Anthropic (US) och CRM/analytics till HubSpot/Grafana (US). Granska underbiträdeslistan och dokumentera dessa tredjelandsflöden; överväg att stänga av AI-insikter för känsligast data.
- Granska Fetch-permissions vid setup — specifikt vilka mejl som scannas
- Disable Fetch för anställda med privata mejl-konton kopplade
- Audit log av AI-baserade fraud-detection-beslut
- Verifiera DPA är tecknat innan ibruktagande för byrå med klientmedelsansvar
Branschspecifik vägledning – revision/redovisning
Får användas för:
- Byråns egna utgiftshantering (anställdas resor, lunch, prenumerationer)
- Klient-implementering där klienten själv vill modernisera sin expense-process
- Utgifter som inte rör klientmedel-konton — strikt byråinterna kostnader
Får INTE användas för:
- Klientmedel-konton — separata rutiner enligt revisorslagens 19 §
- Granskningsbevis baserat på Pleo-AI-kategorisering — räknas inte som revisorns självständiga bedömning
- Automatiserade beslut om klient-utgifter (t.ex. flagga som "ej godkänd") utan human review
- Utgifter där exakt klassificering är revisionsmässigt väsentlig — manuell granskning krävs
Särskild försiktighet vid:
- Mobile receipt-fotografering i klient-miljö (samma risk som Bokio/Fortnox)
- Fetch-funktion på mejl-inboxar med klient-kommunikation — inboxen scannas
- Fraud-detection-AI som blockerar transaktioner — kan påverka anställdas möjlighet att utföra arbetsuppgifter
Källor
- Pleo GDPR: https://www.pleo.io/en/legal/gdpr
- Pleo DPA (PDF, uppdaterad 2025-10-14): https://www.pleo.io/legal-documents/pleo-data-processing-addendum-en.pdf
- Pleo underbiträdeslista (Anthropic/HubSpot/Grafana m.fl.): https://www.pleo.io/en/sub-processors
- Pleo Trust & Security: https://www.pleo.io/en/trust-and-security
- Pleo Fetch privacy: https://help.pleo.io/en/support/solutions/articles/103000254824-fetch-privacy-and-security
Specifika frågor att ställa till revisor som hanterar klienter med Pleo:
- Är Pleo etablerat i svenska SMB? Vi anar att det är vanligare i tech-startups än traditionella revisor-klienter.
- AI-kategoriseringens kvalitet: hur ofta måste du rätta Pleos AI-baserade utgiftskategorisering vid bokslutsarbete?
- Klientmedel-hantering: är Pleo lämpligt för klienter med klientmedel-konton, eller alltid separat? Har du sett risk-läge?
- Fetch-funktionen: har du sett klient-mejl eller annan privat info läcka in i Pleo via inbox-scanning?
- Integration med Fortnox/Hogia/Visma: AI-data-flöde mellan Pleo och bokföringsystem — vilka risker har du sett?
- EU-baserad jurisdiktion: är det säljpunkt för era klienter, eller vill ingen kunder bryr sig så länge tjänsten fungerar?
Relaterade verktyg
Andra verktyg i samma kategori och fas — kan ha liknande överväganden.
Fortnox AI
Fortnox AB (Sverige)
Hogia AI (OpenBusiness, HogiaLön, Smart Bokföring)
Hogia AB (Sverige, Stenungsund)
Bokio AI
Bokio (Sverige, Göteborg)
Visma eEkonomi (numera Visma Bokföring & Fakturering)
Visma (svensk-norskt bolag, huvudkontor Oslo, omfattande svensk närvaro)
Behöver ni hjälp att tolka detta för er specifika byrå?
Boka 30 min →