Zero Data Retention for advokater — hva det faktisk betyr

Publisert 4. mai 2026 · 6 minut$1s lesetid · Af GD · LexCodex

Når en advokat sender en taushetsbelagt kontraktstekst til en AI-service, kommer to spørgsmål på bordet: gemmes teksten et sted, og kan den bruges til å træne fremtidige modeller? Begge spørgsmålene må ha tydelige svar — ellers kan tjenesten ikke bruges til klientarbeid.

Zero Data Retention (ZDR) er betegnelsen på det forpliktende tiltaket som adresserer begge spørgsmålene. Men ZDR betyr ulike ting hos ulike leverandører, og det er ikke alltid åpenbart hvilket nivå som faktisk gælder. Denne artikkelen forklarer presist hva ZDR innebærer hos LexCodex — på to lag — og hva det ikke dekker.

To lag retention-spørgsmål

Når du som bruger af LexCodex laster opp et dokument, går det gjennom to systemer. Begge må ha tydelige retention-regler.

Lag 1

Anthropic Claude (LLM-leverandør)

LexCodex bruger Anthropic Claude som AI-motor. Når tekst sendes til Claude, er det Anthropics infrastruktur som behandler den. Anthropic tilbyder et enterprise-vilkår kalt Zero Data Retention: input og output gemmes ikke etter at svaret er returnert. Ingen logger, ingen cache, ingen bruk for modelltrening.

Dette er offentlig dokumentert i Anthropics commercial terms og deres data processing addendum. For forretningspartnere (som LexCodex) er ZDR aktivert via enterprise-kontrakt — ikke automatisk på konsument-API-et.

Lag 2

LexCodex-applikasjonen (vår infrastruktur)

Når teksten har generert et svar fra Anthropic, lander den hos LexCodex. Her gælder vår egen retention-policy: uploadede dokumenter og AI-svar gemmes ikke etter at analysen er ferdig. Når du lukker fanen eller klikker "Ny analyse", er dataen borte. Vi har ingen logger med dokumentinnhold, ingen backup af analyser, ingen arkiver.

Det eneste som gemmes er sesjonsmetadata (hvem var innlogget, hvilket værktøjer ble brukt, hvor lang requesten var) — for rate limiting og debugging. Ingen innhold, ingen sitater, ingen konklusjoner.

Hva dette betyr konkret

For deg som advokat eller in-house-jurist er de praktiske konsekvensene:

Taushetsbelagte dokumenter kan analyseres — de finnes ikke noe sted etter at fanen lukkes. Dette gælder både hos Anthropic (ZDR-aftale) og hos LexCodex (no-store-policy).
Klientaftaler med konfidensialitetsklausuler er håndterbare — ingen tredjepart gemmer materialet. Du har dokumentert sporbarhet via DPA.
GDPR Art. 5(1)(c) — "data minimisation" — opfyldes af designen, ikke af prosessuell håndtering. Det finnes ingen data å minimere hvis den aldrig ble gemt.
GDPR Art. 17 — "ret til å bli glemt" — er triviell. Det finnes ikke noe å slette.

Den vanlige misforståelsen

"AI-leverandøren træner ikke på mine data" er ikke det samme som ZDR. Mange konsument-AI-services har "ingen modelltrening"-vilkår, men gemmer likevel input/output i flere dager for "kvalitetsovervågning" eller "abuse detection". Det rekker ikke for advokat-klientprivilegium.

Forskjellen:

"Vi træner ikke på dine data": Dokumentene dine havner ikke i neste modellversjon. Men de kan fortsatt gemmes i timer/dager/uker på leverandørens servere.
Zero Data Retention: Dokumentene dine forsvinner fra leverandørens infrastruktur så snart svaret er returnert. Ingen mellomlagring.

For klientmateriale der konfidensialiteten er sentral, må det være det siste. ZDR er ikke et markedsføringsargument — det er et baseline-krav.

Hva ZDR IKKE beskytter mot

For balansens skyld, hva ZDR ikke dekker:

Trafikk-i-transit. Mellom nettleseren din og LexCodex går trafikken over internett. Vi bruger TLS 1.2+ med HSTS preload, men det er likevel "trafikk på veien" — ikke endelig beskyttelse hvis noen har root-tilgang til rutere underveis.
Dine egne lokale kopier. Du har kanskje kopiert kontraktsteksten fra en e-post, har den i Word-cache, eller eksportert analysen til PDF. ZDR gælder LexCodex og Anthropic-infrastrukturen — ikke din egen.
Klientens kildesikkerhed. Hvis dokumentet allerede finnes i klientens Sharepoint uden kryptering, er ZDR i AI-kjeden ikke det svakeste leddet.
Insider-trussel på LexCodex-siden. Vi har strikte tilgangskontroller, men teoretisk kunne en illvillig medarbeider hos LexCodex avlese data i øyeblikket før ZDR-trinnene tar over. Det er derfor vi har eksplisitte sikkerhedskontroller dokumentert og bygger etter ISO/IEC 27001:2022.

ZDR er "belt-and-suspenders" på datalagring. Det er ikke absolutt sikkerhed — men det eliminerer en hel kategori af risiko som ellers ville måtte håndteres gjennom prosessuelle kontroller (DPA-vedlegg om sletting, periodiske audit-logger, retention-overvågning).

Hvordan du verificérer ZDR i praksis

Spørgsmål du som jurist kan stille til en hvilken som helst AI-leverandør:

Har jer ZDR-vilkår fra deres underliggende LLM-leverandør? Er det aktivt på vår konto?
Hvor lenge gemmes request/response hos jer før sletting?
Har jer backup/arkivering af brugerdata? Hvor lenge?
Finnes det logger med innhold? Hvilke logger beholdes og hvor lenge?
Kan jer signere DPA etter GDPR Art. 28?

For LexCodex er svarene offentlige i vår DPA og Security Whitepaper. Du trenger ikke spørge — du kan lese vilkårene selv før du opretter konto.

Sammendrag

Zero Data Retention er ikke en markedsføringsetikett — det er en arkitekturell egenskap som må gjelde på to lag (LLM-leverandør + applikasjonsleverandør) for å være meningsfull. For advokater som skal analysere klientmateriale i en AI-service er ZDR forutsetningen, ikke tillegget.

LexCodex har ZDR på begge lag. Anthropic via enterprise-kontrakt, LexCodex via egen no-store-design. Det er derfor vi kan si "last opp klientaftaler" uden å legge inn mengder med disclaimer-stjerner.

Vil du lese mer? Vår Security Whitepaper går gjennom hele datamodellen i detalj — inkludert subprocessors, krypterings-standarder og incident response. Eller les DPA-teksten direkte.

Les videre

Hvordan LexCodex unngår hallusinasjoner · EU AI Act for jurister

Privatliv & tillit → Tilbake til blogg

⚠ Generell informasjon om Zero Data Retention og GDPR — ikke juridisk rådgivning. For specifikke compliances-spørgsmål i dit eget værktøjervalg, konsulter kvalificeret jurist eller DPO.