Sikkerhet og regelverk, bygget for norsk regnskap
Regnskap krever tillit. Denne siden er Trust Center, der vi sier hva som er på plass, hva som er under arbeid, og hva som er mål. Trenger du DPA eller en samtale med vår sikkerhetsansvarlig, finner du knappene nederst.
Lovgrunnlaget Staple bygger på
Fire rammer som styrer hvordan vi behandler data og bygger AI.
GDPR
Hele plattformen er bygget på prinsippene om dataminimering, formålsbegrensning og brukerrettigheter. Databehandleravtale etter GDPR art. 28 er tilgjengelig som del av kundeavtalen, ikke et tillegg. Vi er ikke sertifisert etter en GDPR-ordning, men følger forordningens krav.
Bokføringsloven § 5-8, revisjonsspor
Hver bokføring, endring, godkjenning og AI-handling logges med hvem, hva, når og hvorfor. Revisjonssporet er manipulasjonssikret og oppbevares i lovkrevd periode.
Personopplysningsloven
Norsk lovgrunnlag i tillegg til GDPR. Egen prosess for innsynsbegjæringer, retting, sletting og dataportabilitet, både fra bedrift, byrå og sluttbruker.
EU AI Act, high-risk
Staple Copilot er klassifisert som high-risk under EU AI Act fordi den brukes i regnskapsføring. Vi følger transparens-, audit- og menneskelig-overstyring-kravene.
Hvor ligger dine data?
Konkret om datalokasjon, ikke en luftig formulering.
Hoved-region: EU
Primær datalokasjon er Azure North Europe (Irland) eller tilsvarende EU-region hos hosting-leverandøren vår. Ingen data forlater EU/EØS i normal drift.
Valgfri norsk lokasjon
Byrå og bedrifter med spesifikke krav, for eksempel kommunalt eierskap eller offentlig sektor, kan be om datasenter i Norge. Tilgjengelig som tilvalg på Byrå og Enterprise.
Sub-processors er listet
Alle underleverandører som behandler personopplysninger er listet og oppdateres minst kvartalsvis. Endringer varsles 30 dager i forveien.
Sikkerhetstiltakene i bunn
Tekniske og organisatoriske kontroller. Det vi viser revisor og IT.
Tenant-isolasjon med row-level security
Hver klient ligger i sin egen tenant med RLS-policyer i databasen. Ingen forespørsel kan returnere data på tvers av kunder, selv ved feil i applikasjonslaget.
Kryptering i ro og under transport
AES-256 for data i ro, TLS 1.3 for all trafikk. Backup-volumer er kryptert separat, og nøkler roteres etter fast plan.
Backup-policy: RPO 1 t, RTO 4 t (mål)
Målsetning: tap av maks én time data (RPO), gjenoppretting innen fire timer (RTO). Daglige snapshots og ukentlige fullbackuper er på plass. Månedlig disaster-recovery-test er planlagt for 2026.
Ni-rolle tilgangsstyring
Granular tilgangskontroll fra super_admin og byrå-eier ned til kunde-bruker og read_only. Tilgang per modul, per kunde og per handling.
Revisjonsspor på alt
Hver endring i regnskap, lønn, faktura og oppdrag logges. Loggene er skriv-én-gang og kan eksporteres for revisor eller Skatteetaten.
MFA og SSO
Multifaktor (TOTP, passkeys) som krav for byrå-roller. SSO via Microsoft Entra ID og Google Workspace tilgjengelig for Byrå-plan og Enterprise.
Sertifiseringer og dokumenter
Status i klartekst, ikke en logo-fasade.
| Sertifisering eller dokument | Status | Detalj |
|---|---|---|
| ISO 27001 | På veikartet | Vi er ikke sertifisert. Vi følger ISO 27001-rammeverket internt, gap-analyse pågår 2026, ekstern sertifisering Q1 2027 som målsetning. |
| SOC 2 Type II | Vurderes for 2027 | Vi er ikke SOC 2-sertifisert. Programmet vurderes for 2027 dersom etterspørselen fra byrå og kunder tilsier det. |
| GDPR-DPA | Tilgjengelig | Databehandleravtale tilgjengelig som signert PDF eller via DocuSign på forespørsel. |
| Personvernpolicy | Publisert | Lest av besøkende, oppdatert ved hver vesentlig endring i behandlingen. |
| Databehandleravtale | Mal tilgjengelig | Standardmal som kan tilpasses byråets eller bedriftens kontrakt. |
| NSM-tilknytning | Mål | Tilknytning til Nasjonal sikkerhetsmyndighet og BITS-medlemskap på veikartet for 2027. |
Sub-processors
Underleverandører som behandler personopplysninger på vegne av Staple. Foreløpig liste, oppdateres minst kvartalsvis.
| Leverandør | Rolle | Region og avtale |
|---|---|---|
| Vercel | Hosting og edge-deploy | EU-region (Frankfurt), GDPR DPA signert |
| Supabase | Database, autentisering, lagring | EU-region (Frankfurt), GDPR DPA signert |
| Resend | Transaksjonell e-post | EU-region, GDPR DPA signert |
| pg-boss | Jobbkø, planlagte oppgaver | Kjører i Staples egen EU-database, ingen ekstern overføring |
Compliance for AI
Staple Copilot er klassifisert som high-risk under EU AI Act fordi den brukes i regnskapsføring. Vi følger transparens-, audit- og menneskelig-overstyring-kravene. AI bokfører aldri uten din godkjenning.
Audit-trail på hver AI-handling
Hvert forslag, hver godkjenning, hver kilde Copilot brukte, lagres i revisjonssporet. Du kan alltid spore hvorfor en bokføring ble gjort.
Ingen hallusinerte tall
Copilot henter tall fra klientens egen base og skriver ikke tall som ikke finnes. Mangler data, sier den fra, og spør deg om hva som skal gjøres.
Menneskelig overstyring
Hver autonom handling kan slås av eller settes til obligatorisk godkjenning. Byrået eier reglene, AI er en foreslår-motor.
Penetrasjonstest, årlig som mål
Mål for 2026 er minst én ekstern penetrasjonstest fra en uavhengig norsk sikkerhetsleverandør, med oppfølgingstest 90 dager etter. Resultat-sammendrag deles med byrå på Byrå- og Enterprise-plan.
Bug bounty, planlagt
Privat bug-bounty-program planlegges lansert Q3 2026 via en etablert plattform. Inntil da: ansvarlig rapportering til sikkerhet@staple.no, anerkjennelse og rapportstatus innen 7 dager.
Trenger byrået eller bedriften dypere svar?
Last ned malen for databehandleravtale, eller snakk direkte med vår sikkerhetsansvarlig om byråets krav, audit-spørsmål og roadmap mot ISO 27001.