KIMISUITE Team

Dina företagsdata bör inte passera genom 20 olika företag

De flesta företag lägger mycket tid på att välja affärsprogramvara. Väldigt få ställer den enklaste frågan: hur många andra företag kommer att behandla våra data?

Dina företagsdata bör inte passera genom 20 olika företag

Vem har egentligen tillgång till ditt företag?

De flesta företag lägger mycket tid på att välja affärsprogramvara. De jämför funktioner, priser, design, AI-funktioner och integrationer.

Men väldigt få ställer en förvånansvärt viktig fråga.

Hur många andra företag kommer att behandla våra data?

Det är den sortens fråga som de flesta programvaruleverantörer i tysthet hoppas att du inte ställer.

Den moderna SaaS-stacken

Moderna SaaS-plattformar ser ofta ut som en enda produkt. Bakom inloggningsskärmen förlitar de sig ofta på många separata företag — där varje företag hanterar en annan del av din verksamhet.

Identitet, fillagring, kundsupport, analys, övervakning, e-postleverans, pushnotiser, AI-bearbetning — varje del kan ha en egen leverantör. Var och en med sina egna villkor, sin egen integritetspolicy och sin egen plats för databehandling.

Det är inte alltid något dåligt. Specialiserade leverantörer kan vara utmärkta på det de gör. Men när en typisk SaaS-produkt är beroende av tjugo av dem samtidigt förändras helhetsbilden.

Vad "behandling av tredje part" faktiskt betyder

När en leverantör säger att de "använder partners för att leverera tjänsten" är det sällan en fotnot. Det betyder vanligtvis att delar av dina data fysiskt passerar genom dessa partners system.

Det kan omfatta kundnamn, e-postadresser, filer, kommunikation, supportärenden, beteendemönster, AI-indata och AI-utdata, och till och med faktureringsuppgifter beroende på arkitekturen.

Du skrev inget avtal med partnern. Det gjorde leverantören. Men din företagsinformation passerar ändå genom dem.

Varför detta spelar roll 2026

Tillsynsmyndigheter har i allt högre grad en strängare syn på varje ytterligare företag som hanterar personuppgifter. Enligt UK GDPR och EU GDPR måste varje underbiträde redovisas, kontrolleras och bindas genom avtal — och den personuppgiftsansvarige (ofta ditt företag) bär ansvaret för hela den kedjan.

Ju fler företag som är inblandade, desto svårare blir det att uppfylla det ansvaret.

Det är ingen teoretisk risk. Revisionsfynd, förfrågningar från tillsynsmyndigheter och kundklagomål börjar ofta med samma fråga som vi ställde i början: "Vem behandlar mina data?"

Den dolda sammansatta effekten

Ett enskilt avbrott slår sällan ut en SaaS-produkt helt. Men när en produkt är byggd på tjugo andra kan ett litet problem hos någon av dem bli ett märkbart problem för din verksamhet.

En lagringsleverantör tar en databas offline för underhåll. En tjänst för e-postleverans har en regional incident. En analysleverantör ändrar priser över en natt. En kundsupportplattform blir uppköpt och ändrar sina API:er.

Var och en av dessa saker är någon annans problem att lösa. Din verksamhet är den som tyst får lida under tiden.

Hur KIMISUITE hanterar detta annorlunda

När vi utformade KIMISUITE valde vi uttryckligen att minska antalet företag som är involverade i driften av plattformen.

De flesta av plattformens kärnfunktioner — autentisering, affärsapplikationerna, dokumentgenerering och intern infrastruktur — drivs av vårt eget team. Inte för att vi trodde att vi kunde överträffa varje specialiserad leverantör på varje område, utan för att vi ansåg att enkelhet var värd att försvara.

Där en tredjepartstjänst verkligen krävs — global betalningsinlösen är ett rimligt exempel — väljer vi noggrant, dokumenterar det transparent och använder den endast för den funktion den valdes för.

Enbart bekvämlighet är inte ett tillräckligt skäl.

Vad detta betyder i praktiken

En typisk SaaS-arbetsyta kan omfatta:

  • Autentisering: extern identitetsleverantör
  • Fillagring: stor molnleverantör
  • Utskick av e-post: dedikerad e-postleverantör
  • Supportchatt: extern SaaS-tjänst
  • Analys: tredjepartsplattform
  • AI-funktioner: externt API
  • Övervakning: extern observability-leverantör
  • Kundkommunikation: ännu en leverantör

KIMISUITE ersätter de flesta av dessa med interna tjänster som vi driver själva. Dina företagsdata behöver inte passera genom en lång kedja av leverantörer för att göra sitt jobb.

Mindre angreppsyta, mindre risk

Säkerhetsproffs använder ofta ett uttryck: "du kan inte säkra det du inte kan se".

Varje externt system i en programvarustack är något du inte direkt kan granska, logga in i eller åtgärda. Att minska antalet sådana system eliminerar inte risk — men det gör de system du faktiskt har mycket lättare att förstå.

Insyn är en förutsättning för förtroende. Vi optimerar plattformen utifrån det.

Att se till det långsiktiga

En plattform som bygger på tjugo leverantörer är i grunden exponerad för tjugo produktplaner, tjugo prisbeslut och tjugo möjliga uppköp. Inget av detta ligger inom din kontroll. Få saker ligger ens inom leverantörens kontroll.

En plattform som främst är byggd internt har en kortare och mer förutsägbar lista över beroenden. Vi kan planera för år, inte för kvartal av osäkerhet från leverantörer.

Det är en del av hur vi ser till att KIMISUITE finns kvar — till förutsägbara priser och med förutsägbart beteende — på lång sikt.

Avslutande tankar

Nästa gång du utvärderar en affärsprogramvara, se bortom funktionslistan.

Fråga vem som behandlar dina data. Fråga vem du är beroende av, utöver företaget du betalar.

Om det ärliga svaret är "många företag du aldrig har hört talas om", är det information värd att känna till.

Om det ärliga svaret är "främst vi, med ett litet antal tydligt redovisade undantag", är det också information värd att känna till.

Vi anser att det andra svaret är hur affärsprogramvara borde se ut.


Fortsätt läsa Trust Series:

← Föregående: Byggt, inte sammansatt — Därför byggde vi KIMISUITE annorlunda
→ Nästa: Vem kan få tillgång till dina företagsdata?

Börja din 14-dagars gratis provperiod · Se priser för KIMISUITE