← Tillbaka till katalogen
expense_management

Pleo

Begränsad riskMulti-regionVerifierad
Leverantör
Pleo Technologies A/S (Danmark)
Kategori
expense_management
Webbplats
https://www.pleo.io
Hosting
EU-baserat. **Pleo är danskt bolag** — bygger primärt mot EU-regulering, vilket gör compliance-profilen markant annorlunda än US-baserade verktyg.

Vad det är

Företagskort + utgiftshantering med inbyggd AI för kvitto-tolkning och kategorisering. Anställda får fysiska eller virtuella kort, kvitton fångas via mobilapp eller mejl, AI matchar kvittot mot kort-transaktionen och kategoriserar utgiften. Riktar sig till team-baserad utgiftshantering snarare än traditionell expense-process.

Typisk dataaccess

  • Korttransaktioner (kortinnehavare, belopp, leverantör, datum, MCC-kod)
  • Inscannade kvitton via mobilapp eller mejl ("Fetch"-funktion)
  • Vid Fetch: e-postinkorgar skannas för kvitto-bilagor — bara matchande mejl extraheras
  • Företagskontering och utgiftspolicies
  • Integration med Fortnox, Visma, Hogia, Bokio etc — bokföringsdata flödar in/ut

EU AI Act-bedömning

Risknivå: Limited

Motivering: Smal expense-AI. Inte high-risk under Annex III. Påverkan högre vid eventuella automatiserade beslut om utgiftsgodkännande.

GDPR-överväganden

Datalagring:

  • EU-baserat (danskt) → primär jurisdiktion EU
  • Fully GDPR-compliant by design
  • PCI-DSS certifierat (krävs för kortverksamhet)
  • "Fetch": bara kvitto-data extraheras (vendor, belopp, datum, valuta) — full mejl-innehåll lagras inte
  • Mejl parses för att hämta kvitton men "läses inte av mänskligt öga" enligt Pleo

Datatransfer (resolverat via research 2026-05-26): Pleo håller data inom EES om inte överföringsskydd (TIA + EU-rekommenderade åtgärder) tillämpas. Hosting på AWS (Irland), Azure (EU), Google Cloud (EU). Men den publika underbiträdeslistan (https://www.pleo.io/en/sub-processors, uppdaterad 2025-05-29) listar US-baserade: Anthropic, PBC ("AI-product enablement" + analytics), HubSpot (CRM), Grafana (US), Marqeta (US, endast US-kunder). EU/UK: Enfuce (Frankfurt), Saltedge (Frankfurt), Twilio, Freshworks, Notion Labs. → Viss tredjelandsöverföring sker via dessa.

AI-tech-stack (inferens 2026-05-26): LLM-leverantör = Anthropic (Claude), enligt underbiträdeslistans post "AI-product enablement". Pleo publicerar ingen marknadsförings-text som namnger modellen; underbiträdeslistan är primärkällan.

DPA tillgänglig: Ja — direkt PDF (uppdaterad 2025-10-14): https://www.pleo.io/legal-documents/pleo-data-processing-addendum-en.pdf · GDPR-sida: https://www.pleo.io/en/legal/gdpr · Underbiträdeslista: https://www.pleo.io/en/sub-processors

Certifieringar: PCI-DSS (bekräftat), Google CASA, HackerOne bug bounty, CAIQ self-assessment, GDPR. SOC 2 och ISO 27001 ej bekräftade på Pleos officiella Trust & Security-sida (https://www.pleo.io/en/trust-and-security) — be om intyg.

Särskilda risker:

  • Fetch (e-postintegration) ger Pleo access till hela inbox (för att hitta kvitton) — broad permission scope även om bara kvitton extraheras
  • Korttransaktionsdata är finansiellt känsligt — krav på bank-grade säkerhet
  • AI för fraud-detection: bedömningar om misstänkt aktivitet kan påverka anställdas konto-tillgång

Vanliga risker

  • Anställd kopplar Fetch till privat mejl-konto med blandning av jobb/privat-information
  • AI-kategorisering av utgifter kan vara fel → felaktig bokföring eller skatt-implikationer
  • Mobilapp-fotografering av kvitton kan inkludera känslig info i bakgrunden (annan klient, annans bord-grupp)
  • Integration med bokföringssystem skapar data-flöde som behöver granskas i båda ändarna

Rekommenderade mitigeringar

  • Pleo som EES-baserat tool är en compliance-fördel — men inte rent EU: AI-funktionerna går till Anthropic (US) och CRM/analytics till HubSpot/Grafana (US). Granska underbiträdeslistan och dokumentera dessa tredjelandsflöden; överväg att stänga av AI-insikter för känsligast data.
  • Granska Fetch-permissions vid setup — specifikt vilka mejl som scannas
  • Disable Fetch för anställda med privata mejl-konton kopplade
  • Audit log av AI-baserade fraud-detection-beslut
  • Verifiera DPA är tecknat innan ibruktagande för byrå med klientmedelsansvar

Branschspecifik vägledning – revision/redovisning

Får användas för:

  • Byråns egna utgiftshantering (anställdas resor, lunch, prenumerationer)
  • Klient-implementering där klienten själv vill modernisera sin expense-process
  • Utgifter som inte rör klientmedel-konton — strikt byråinterna kostnader

Får INTE användas för:

  • Klientmedel-konton — separata rutiner enligt revisorslagens 19 §
  • Granskningsbevis baserat på Pleo-AI-kategorisering — räknas inte som revisorns självständiga bedömning
  • Automatiserade beslut om klient-utgifter (t.ex. flagga som "ej godkänd") utan human review
  • Utgifter där exakt klassificering är revisionsmässigt väsentlig — manuell granskning krävs

Särskild försiktighet vid:

  • Mobile receipt-fotografering i klient-miljö (samma risk som Bokio/Fortnox)
  • Fetch-funktion på mejl-inboxar med klient-kommunikation — inboxen scannas
  • Fraud-detection-AI som blockerar transaktioner — kan påverka anställdas möjlighet att utföra arbetsuppgifter

Källor

Specifika frågor att ställa till revisor som hanterar klienter med Pleo:

  1. Är Pleo etablerat i svenska SMB? Vi anar att det är vanligare i tech-startups än traditionella revisor-klienter.
  2. AI-kategoriseringens kvalitet: hur ofta måste du rätta Pleos AI-baserade utgiftskategorisering vid bokslutsarbete?
  3. Klientmedel-hantering: är Pleo lämpligt för klienter med klientmedel-konton, eller alltid separat? Har du sett risk-läge?
  4. Fetch-funktionen: har du sett klient-mejl eller annan privat info läcka in i Pleo via inbox-scanning?
  5. Integration med Fortnox/Hogia/Visma: AI-data-flöde mellan Pleo och bokföringsystem — vilka risker har du sett?
  6. EU-baserad jurisdiktion: är det säljpunkt för era klienter, eller vill ingen kunder bryr sig så länge tjänsten fungerar?

Relaterade verktyg

Andra verktyg i samma kategori och fas — kan ha liknande överväganden.

Behöver ni hjälp att tolka detta för er specifika byrå?

Boka 30 min →