expense_management
Pleo
- Leverantör
- Pleo Technologies A/S (Danmark)
- Kategori
- expense_management
- Webbplats
- https://www.pleo.io
- Hosting
- EU-baserat. **Pleo är danskt bolag** — bygger primärt mot EU-regulering, vilket gör compliance-profilen markant annorlunda än US-baserade verktyg.
Vad det är
Företagskort + utgiftshantering med inbyggd AI för kvitto-tolkning och kategorisering. Anställda får fysiska eller virtuella kort, kvitton fångas via mobilapp eller mejl, AI matchar kvittot mot kort-transaktionen och kategoriserar utgiften. Riktar sig till team-baserad utgiftshantering snarare än traditionell expense-process.
Typisk dataaccess
- Korttransaktioner (kortinnehavare, belopp, leverantör, datum, MCC-kod)
- Inscannade kvitton via mobilapp eller mejl ("Fetch"-funktion)
- Vid Fetch: e-postinkorgar skannas för kvitto-bilagor — bara matchande mejl extraheras
- Företagskontering och utgiftspolicies
- Integration med Fortnox, Visma, Hogia, Bokio etc — bokföringsdata flödar in/ut
EU AI Act-bedömning
Risknivå: Limited
Motivering: Smal expense-AI. Inte high-risk under Annex III. Påverkan högre vid eventuella automatiserade beslut om utgiftsgodkännande.
GDPR-överväganden
Datalagring:
- EU-baserat (danskt) → primär jurisdiktion EU
- Fully GDPR-compliant by design
- PCI-DSS certifierat (krävs för kortverksamhet)
- "Fetch": bara kvitto-data extraheras (vendor, belopp, datum, valuta) — full mejl-innehåll lagras inte
- Mejl parses för att hämta kvitton men "läses inte av mänskligt öga" enligt Pleo
Datatransfer: Default EU. Inga uttalade tredjelandsöverföringar för core-funktion.
DPA tillgänglig: Ja, GDPR-compliant DPA tillgängligt: https://www.pleo.io/en/legal/gdpr
Särskilda risker:
- Fetch (e-postintegration) ger Pleo access till hela inbox (för att hitta kvitton) — broad permission scope även om bara kvitton extraheras
- Korttransaktionsdata är finansiellt känsligt — krav på bank-grade säkerhet
- AI för fraud-detection: bedömningar om misstänkt aktivitet kan påverka anställdas konto-tillgång
Vanliga risker
- Anställd kopplar Fetch till privat mejl-konto med blandning av jobb/privat-information
- AI-kategorisering av utgifter kan vara fel → felaktig bokföring eller skatt-implikationer
- Mobilapp-fotografering av kvitton kan inkludera känslig info i bakgrunden (annan klient, annans bord-grupp)
- Integration med bokföringssystem skapar data-flöde som behöver granskas i båda ändarna
Rekommenderade mitigeringar
- Pleo som EU-baserat tool är en compliance-fördel — kan användas där US-baserade verktyg är osäkra
- Granska Fetch-permissions vid setup — specifikt vilka mejl som scannas
- Disable Fetch för anställda med privata mejl-konton kopplade
- Audit log av AI-baserade fraud-detection-beslut
- Verifiera DPA är tecknat innan ibruktagande för byrå med klientmedelsansvar
Branschspecifik vägledning – revision/redovisning
Får användas för:
- Byråns egna utgiftshantering (anställdas resor, lunch, prenumerationer)
- Klient-implementering där klienten själv vill modernisera sin expense-process
- Utgifter som inte rör klientmedel-konton — strikt byråinterna kostnader
Får INTE användas för:
- Klientmedel-konton — separata rutiner enligt revisorslagens 19 §
- Granskningsbevis baserat på Pleo-AI-kategorisering — räknas inte som revisorns självständiga bedömning
- Automatiserade beslut om klient-utgifter (t.ex. flagga som "ej godkänd") utan human review
- Utgifter där exakt klassificering är revisionsmässigt väsentlig — manuell granskning krävs
Särskild försiktighet vid:
- Mobile receipt-fotografering i klient-miljö (samma risk som Bokio/Fortnox)
- Fetch-funktion på mejl-inboxar med klient-kommunikation — inboxen scannas
- Fraud-detection-AI som blockerar transaktioner — kan påverka anställdas möjlighet att utföra arbetsuppgifter
Källor
- Pleo GDPR: https://www.pleo.io/en/legal/gdpr
- Pleo Fetch privacy: https://help.pleo.io/en/support/solutions/articles/103000254824-fetch-privacy-and-security
- Pleo huvudsida: https://www.pleo.io
Specifika frågor att ställa till revisor som hanterar klienter med Pleo:
- Är Pleo etablerat i svenska SMB? Vi anar att det är vanligare i tech-startups än traditionella revisor-klienter.
- AI-kategoriseringens kvalitet: hur ofta måste du rätta Pleos AI-baserade utgiftskategorisering vid bokslutsarbete?
- Klientmedel-hantering: är Pleo lämpligt för klienter med klientmedel-konton, eller alltid separat? Har du sett risk-läge?
- Fetch-funktionen: har du sett klient-mejl eller annan privat info läcka in i Pleo via inbox-scanning?
- Integration med Fortnox/Hogia/Visma: AI-data-flöde mellan Pleo och bokföringsystem — vilka risker har du sett?
- EU-baserad jurisdiktion: är det säljpunkt för era klienter, eller vill ingen kunder bryr sig så länge tjänsten fungerar?
Behöver ni hjälp att tolka detta för er specifika byrå?
Boka 30 min →