Databehandleraftale (DPA)

Data Processing Agreement etter GDPR art. 28 · Versjon 2 (2026-05-01)

📄 Mal for nedlasting: Dette er en standard-DPA som opfylder GDPR art. 28. For undertegnet version, kontakt support@lexcodex.ai med organisasjonsnummeret deres.

1. Parter

Behandlingsansvarlig: [Kundens selskapsnavn, organisasjonsnummer, adresse]

Databehandler: LexCodex.ai (Nordicbysight)

2. Behandlingens art og formål

Databehandleren behandler personopplysninger for å levere AI-drevet juridisk analyse (aftalegennemgang, NDA-triagering, compliance, AI Act-analyse, juridisk research, aftaleudformning og overvågning) til den Behandlingsansvarlige.

3. Typer personopplysninger

Kontoopplysninger: fornavn, etternavn, e-postadresse, organisasjon
Autentisering: hashet passord (bcrypt), valgfri MFA-nøkkel (hashet)
Bruksdata: antall analyser, hvilke værktøjer (uden innhold)
Sikkerhedslogger: IP-adresse, sesjonsidentifikator, log-indsforsøk
Innhold som sendes til analyse (kan inneholde personopplysninger) — behandles kun i minnet, gemmes ikke

4. Databehandlerens plikter

Databehandleren forplikter seg til å:

Kun behandle opplysninger etter dokumenterte instrukser fra den Behandlingsansvarlige
Sikre at personalet har taushetsplikt
Iverksette egnede tekniske og organisatoriske tiltak (art. 32 GDPR) — TLS, bcrypt, MFA, CSP, HSTS, CSRF, rate-limiting
Bistå den Behandlingsansvarlige ved utøvelse af de registrertes rettigheter (art. 15–21 GDPR)
Melde personopplysningsbrudd innen 72 timer
Slette eller returnere opplysninger ved aftalens opphør
Tilby en selvbetjeningsfunksjon for umiddelbar sletting af konto og tilhørende data (GDPR art. 17)

5. Underdatabehandlere (sub-processors)

Databehandleren anvender certificerede tredjepartsleverandører til AI-behandling, hosting, betalingshåndtering og spam-beskyttelse. Alle er certificerede efter brancestandarder (SOC 2 Type II, ISO 27001, PCI DSS Level 1) og bundet af databehandleraftale (DPA). Fuldstændig liste over underdatabehandlere med navn, funktion, sted og certificeringer leveres til Dataansvarlig under tavshedspligt (NDA) som en del af onboarding eller på forespørgsel.

AI-leverandøren bruger ikke kundens data til modelltrening. Aftaletekster og AI-svar gemmes ikke permanent — hverken hos AI-leverandøren eller hos LexCodex.ai (Zero Data Retention).

Ændringer blandt underdatabehandlere varsles Dataansvarlig mindst 30 dage i forvejen. Dataansvarlig har ret til at protestere — ved protest har parterne 30 dage til at finde en løsning, ellers ret til at opsige aftalen uden omkostninger.

6. Datasikkerhedstiltak

Se Privatliv & tillit for fullstendig redegjørelse af tekniske og organisatoriske tiltak.

7. Lagringstid

Avtaletekster og AI-svar: Gems ikke — behandles kun i minnet under analysen.
Kontoopplysninger: Så lenge kontoen er aktiv. Slettes umiddelbart når den registrerte bruger art. 17-funksjonen eller når aftalen opphører.
Regnskaps- og fakturadata: 5 år etter bokføringsloven § 13 (lovpålagt lagring også etter kontosletting).
Serverlogger: 30 dager.
Rate-limit-logger: 1 time (rullende).

8. Gjeldende ret og tvisteløsning

Svensk ret kommer til anvendelse, med unntak af lovvalgsregler. Tvister skal i første omgang løses gennem forhandling. Derefter afgøres tvist af svensk alminnelig domstol med Helsingborgs tingsrätt som første instans.

Forbrugere har altid ret til at rejse søgsmål ved sit hjemsted samt at henvende sig til Forbrugerombudsmanden eller EUs onlinetvistløsningsplatform (ec.europa.eu/consumers/odr).

9. Kontakt

LexCodex.ai · support@lexcodex.ai