Underleverandørliste for SmartSite

Sist oppdatert: 02.06.2026 SmartSite bruker underleverandører for å levere, drifte, sikre og videreutvikle tjenesten. Denne listen beskriver leverandører som kan behandle personopplysninger på vegne av SmartSite eller SmartSites kunder. Enkelte leverandører brukes bare dersom kunden aktiverer bestemte moduler eller integrasjoner. Leverandør: Railway Status: Aktiv (produksjon). Verifisering: railway.toml, nixpacks.toml og scripts/start-railway.sh i SmartSite-repoet bekrefter at backend (FastAPI/uvicorn) og batch-jobber (database-backup, fil-inventar, restore-drill) deployes på Railway. Formål: Drift av backend, applikasjon, API, batch-/cron-jobber, servermiljø og infrastruktur. Behandlingssted: Må bekreftes i Railway-kontoen / deploy-region. Railway kan benytte underleverandører og internasjonal infrastruktur. Faktisk behandlingssted avhenger av valgt region og Railway sitt gjeldende oppsett. Data: Tekniske logger, applikasjonsdata, kundedata, brukerdata, prosjektdata, sikkerhetshendelser og øvrige data som behandles av SmartSite-backend. Overføringsgrunnlag: Må bekreftes mot Railway sin gjeldende Data Processing Addendum og faktisk regionvalg. Ved behandling utenfor EU/EØS skal overføring skje på gyldig grunnlag, for eksempel EU-kommisjonens standard personvernbestemmelser eller annet gyldig overføringsgrunnlag. Leverandør: PostgreSQL-database (Railway-driftet) Status: Aktiv (produksjon). Verifisering: DATABASE_URL/RAILWAY_DATABASE_URL i .env.example og backend/db/session.py viser at SmartSite kjører Postgres som primær applikasjonsdatabase. Formål: Lagring av relasjonsdata: brukere, tenants, prosjekter, tilbud, kalkyler, rapporter, HMS/KS, fakturagrunnlag, integrasjonsmetadata, logger, audit-spor og øvrige driftsdata. Behandlingssted: Avhenger av valgt Railway-region. Må bekreftes i Railway-kontoen / deploy-konfigurasjonen. Data: Alle relasjonsdata som SmartSite behandler på vegne av kunden, samt SmartSites egne driftsdata. Overføringsgrunnlag: Følger Railway-avtalen. Må bekreftes mot Railway sin databehandleravtale og faktisk regionvalg. Leverandør: S3-kompatibel objektlagring (filopplasting, bilder, PDF-er, backup) Status: Konfigurerbar – aktiv når STORAGE_BACKEND=s3 og/eller BACKUP_S3_BUCKET er satt. Verifisering: backend/core/config.py og .env.example dokumenterer at SmartSite støtter S3-kompatibel lagring (AWS S3, Cloudflare R2, MinIO, DigitalOcean Spaces, Backblaze B2) for både prosjektfiler og backup. Faktisk valgt leverandør og region for SmartSite-produksjon må bekreftes i deploy-konfigurasjonen. Formål: Filopplasting, bilder, dokumenter, tilbuds-PDF-er, rapportvedlegg, prosjektfiler, eksportfiler, signerte token-bundler, daglig database-backup og fil-inventar. Behandlingssted: Avhenger av valgt leverandør og bucket-region (eu-north-1, EU, US, eller annet). Må bekreftes i SmartSites S3-/R2-konto. Data: Kundedata, prosjektdata, brukerdata, filer, bilder, dokumentasjon, rapporter, tilbud, PDF-er, eksportbundler, logger og tekniske metadata. Overføringsgrunnlag: Må bekreftes mot valgt leverandørs gjeldende databehandleravtale og faktisk regionvalg. Ved overføring utenfor EU/EØS skal gyldig overføringsgrunnlag benyttes. Leverandør: E-postleverandør (utgående e-post fra SmartSite-plattformen) Status: Konfigurerbar – ingen produksjonsleverandør er bekreftet i denne repoens kode i dag. Verifisering: backend/core/config.py viser at SmartSite støtter EMAIL_PROVIDER med verdiene "noop" (default), "smtp", "postmark", "resend" og "sendgrid". Hvilken leverandør SmartSite faktisk benytter i produksjon må bekreftes i deploy-konfigurasjonen og oppdateres her. Formål: Utsending av tjenestemeldinger, varsler, invitasjoner, tilbud, rapporter, support-e-post, MFA- og passordhåndtering, samt eventuell e-postsporing/integrasjon. Behandlingssted: Må bekreftes per e-postleverandør og valgt region. Data: Navn, e-postadresse, emnefelt, meldingsinnhold, mottakere, avsendere, metadata, vedlegg og tekniske leveringslogger. Overføringsgrunnlag: Må bekreftes mot valgt e-postleverandørs databehandleravtale. Leverandør: Microsoft / Microsoft Graph (e-postintegrasjon, OAuth) Status: Valgfri integrasjon – aktiveres per tenant via OAuth. Verifisering: backend/core/config.py og .env.example beskriver MICROSOFT_GRAPH_CLIENT_ID/SECRET/REDIRECT_URL/TENANT/BASE_URL. Integrasjonen er kode-støttet og brukes når en kunde aktiverer e-postintegrasjon mot Microsoft 365. Formål: E-postintegrasjon for utsending fra kundens egen Microsoft 365-postboks, e-postsporing og synkronisering av e-post mot prosjekt-/leadshistorikk. Behandlingssted: Avhenger av kundens Microsoft 365-tenant og Microsofts gjeldende regionoppsett. Må bekreftes per kunde. Data: Navn, e-postadresse, emnefelt, meldingsinnhold, mottakere, avsendere, vedlegg, metadata og OAuth-tokens (kryptert i SmartSite). Overføringsgrunnlag: Microsoft Products and Services Data Protection Addendum og EU-kommisjonens standard personvernbestemmelser der relevant. Leverandør: OpenAI Status: Konfigurerbar – kode-støttet AI-leverandør, aktiveres via Superadmin-plattforminnstillinger (DB-drevet per-tenant). Verifisering: backend/services/reports/ai_providers/openai_provider.py refererer https://api.openai.com/v1 som AI-endepunkt. AI_ENCRYPTION_KEY i .env.example brukes til å kryptere lagrede API-nøkler. AI er ikke aktivert med mindre en gyldig OpenAI-nøkkel er lagret av Superadmin og kunden bruker AI-funksjoner. Formål: AI-assistert funksjonalitet, for eksempel rapporthjelp, tekstforslag, sammendrag, transkripsjon, bildeanalyse, veiledning og forslag i SmartSite. Behandlingssted: Må bekreftes mot OpenAI sin gjeldende Data Processing Addendum og aktuell tjeneste/region. Data: Innhold brukeren sender til AI-funksjoner, for eksempel tekst, rapportutkast, beskrivelser, bilder, dokumenter, metadata og teknisk kontekst som er nødvendig for å levere funksjonen. Overføringsgrunnlag: OpenAI sin Data Processing Addendum og standard personvernbestemmelser der relevant. Merknad: SmartSite skal ikke bruke kundedata til å trene egne generelle AI-modeller uten særskilt avtale eller gyldig behandlingsgrunnlag. OpenAI opplyser at kundedata fra API/business-tjenester som standard ikke brukes til å trene modeller, med mindre kunden eksplisitt har valgt å dele data til dette formålet. Leverandør: Fiken Status: Valgfri integrasjon – aktiveres per tenant via personlig API-token (kryptert lagring). Verifisering: backend/services/invoicing/providers/fiken_draft.py refererer https://api.fiken.no/api/v2 som Fiken-endepunkt. Tenant-credentials lagres kryptert i tenant_invoicing_provider_configs. Formål: Synkronisering av faktura, fakturagrunnlag, kunder, betalingsstatus og regnskapsdata mellom SmartSite og kundens Fiken-konto. Behandlingssted: Norge / EU (Fiken er en norsk leverandør). Må bekreftes mot Fiken sin gjeldende avtale. Data: Kundeopplysninger, kontaktpersoner, fakturadata, bilag, betalingsdata, regnskapsdata, prosjekt-/ordredata og tekniske synkroniseringslogger. Overføringsgrunnlag: Fiken sin databehandleravtale. Leverandør: PowerOffice (Go) Status: Valgfri integrasjon – aktiveres per tenant via API-credentials (kryptert lagring). Verifisering: backend/services/invoicing/providers/poweroffice.py refererer https://goapi.poweroffice.net/v2 (produksjon) og https://goapi.poweroffice.net/demo/v2 (demo). Tenant-credentials lagres kryptert. Formål: Synkronisering av faktura, fakturagrunnlag, lønn (timer/lønnslinjer), kunder, betalingsstatus og regnskapsdata mellom SmartSite og kundens PowerOffice-konto. Behandlingssted: Norge / EU (PowerOffice er en norsk leverandør). Må bekreftes mot PowerOffice sin gjeldende avtale. Data: Kundeopplysninger, kontaktpersoner, fakturadata, lønnslinjer/timer, bilag, betalingsdata, regnskapsdata, prosjekt-/ordredata og tekniske synkroniseringslogger. Overføringsgrunnlag: PowerOffice sin databehandleravtale. Leverandør: Google Maps Platform Status: Aktiv i frontend. Verifisering: frontend/package.json inkluderer @googlemaps/markerclusterer som direkte avhengighet. SmartSite bruker Google Maps i Site map, prosjektkart og relaterte visninger. Formål: Kartvisning, geokoding, lokasjonsvisning, prosjektkart, Site map, rute-/navigasjonsfunksjoner og adressesøk. Behandlingssted: Avhenger av Google sin gjeldende infrastruktur. Må bekreftes mot Google Maps Platform sin gjeldende avtale. Data: Tekniske data, kart-/lokasjonsdata, IP-adresse, brukeragent, prosjektlokasjon, koordinater og adresser. Overføringsgrunnlag: Google Maps Platform sine gjeldende databehandlingsvilkår og EU-kommisjonens standard personvernbestemmelser der relevant. Leverandør: BIM/3D-/reality capture / filkonverterings­leverandører Status: Må bekreftes – støttes som modul i SmartSite, men ingen ekstern produksjonsleverandør er bekreftet i denne repoens kode i dag. Formål: BIM/3D-prosessering, reality capture, filbehandling og relaterte funksjoner dersom modulen aktiveres med en ekstern leverandør. Behandlingssted: Må bekreftes når en konkret leverandør tas i bruk. Data: Modell-/filmetadata, prosjektlokasjon, koordinater og data kunden behandler i relevante moduler. Overføringsgrunnlag: Må bekreftes når en konkret leverandør tas i bruk. Leverandør: Observability / logging / feilsporing / support Status: Må bekreftes – ingen ekstern observability- eller feilsporings­leverandør (Sentry, Datadog, PostHog e.l.) er bekreftet i denne repoens kode i dag. Loggene behandles av SmartSites egen backend og Railway sin standard logginfrastruktur. Mulige kategorier dersom en slik leverandør tas i bruk senere: - supportverktøy - feillogging - applikasjonslogger - ytelsesmåling - incident management - analyse av driftsstabilitet Formål: Support, feilsporing, sikkerhet, hendelseshåndtering, driftsovervåking og forbedring av tjenesten. Behandlingssted: Må bekreftes per leverandør. Data: Tekniske logger, feilmeldinger, brukerhenvendelser, navn, e-postadresse, IP-adresse, brukeragent, hendelsesdata og relevant teknisk kontekst. Overføringsgrunnlag: Må bekreftes mot valgt leverandørs databehandleravtale. SmartSite kan oppdatere underleverandørlisten ved endringer i leverandører, behandlingssted, formål eller tjenesteleveranse. Vesentlige endringer varsles i samsvar med databehandleravtalen. Kunder kan kontakte SmartSite på kontakt@smartsite.no for spørsmål om underleverandører eller for å motta informasjon om vesentlige endringer.