Databehandleraftale (DPA)

Data Processing Agreement etter GDPR art. 28 · Versjon 2 (2026-05-01)

📄 Mal for nedlasting: Dette er en standard-DPA som opfylder GDPR art. 28. For undertegnet version, kontakt support@lexcodex.ai med organisasjonsnummeret deres.

1. Parter

Behandlingsansvarlig: [Kundens selskapsnavn, organisasjonsnummer, adresse]

Databehandler: LexCodex.ai (Nordicbysight)

2. Behandlingens art og formål

Databehandleren behandler personopplysninger for å levere AI-drevet juridisk analyse (aftalegennemgang, NDA-triagering, compliance, AI Act-analyse, juridisk research, aftaleudformning og overvågning) til den Behandlingsansvarlige.

3. Typer personopplysninger

Kontoopplysninger: fornavn, etternavn, e-postadresse, organisasjon
Autentisering: hashet passord (bcrypt), valgfri MFA-nøkkel (hashet)
Bruksdata: antall analyser, hvilke værktøjer (uden innhold)
Sikkerhedslogger: IP-adresse, sesjonsidentifikator, log-indsforsøk
Innhold som sendes til analyse (kan inneholde personopplysninger) — behandles kun i minnet, gemmes ikke

4. Databehandlerens plikter

Databehandleren forplikter seg til å:

Kun behandle opplysninger etter dokumenterte instrukser fra den Behandlingsansvarlige
Sikre at personalet har taushetsplikt
Iverksette egnede tekniske og organisatoriske tiltak (art. 32 GDPR) — TLS 1.3, bcrypt, MFA, CSP, HSTS, CSRF, rate-limiting
Bistå den Behandlingsansvarlige ved utøvelse af de registrertes rettigheter (art. 15–21 GDPR)
Melde personopplysningsbrudd innen 72 timer
Slette eller returnere opplysninger ved aftalens opphør
Tilby en selvbetjeningsfunksjon for umiddelbar sletting af konto og tilhørende data (GDPR art. 17)

5. Underdatabehandlere (sub-processors)

Databehandleren benytter følgende underdatabehandlere:

Leverandør	Funksjon	Sted	Sertifisering
Anthropic PBC	AI-behandling (Claude API)	USA / EU-routing	SOC 2 Type II, ISO 27001, ISO 42001, HIPAA, EU-US DPF
Easywebbhotell	Hosting (server + database)	Sverige	GDPR-kompatibelt, svensk/EU-jurisdiktion
Stripe Inc.	Betalingshåndtering	USA / Irland	PCI DSS Level 1, SCC
Google LLC	reCAPTCHA, Analytics (med samtykke)	USA / EU	ISO 27001, 27017, 27018, SCC

Anthropic bruger ikke kundens data til modelltrening. Avtaletekster og AI-svar gemmes ikke permanent — hverken hos Anthropic eller hos LexCodex.ai.

6. Overføring til tredjeland

Data kan overføres til USA (Anthropic, Stripe, Google) under EU-US Data Privacy Framework samt Standard Contractual Clauses (SCC) etter Kommisjonens beslutning 2021/914. Ingen overførsel skjer uden egnede beskyttelsestiltak.

7. Datasikkerhedstiltak

Se vår Security Whitepaper og Privatliv & tillit for fullstendig redegjørelse af tekniske og organisatoriske tiltak.

8. Lagringstid

Avtaletekster og AI-svar: Gems ikke — behandles kun i minnet under analysen.
Kontoopplysninger: Så lenge kontoen er aktiv. Slettes umiddelbart når den registrerte bruger art. 17-funksjonen eller når aftalen opphører.
Regnskaps- og fakturadata: 5 år etter bokføringsloven § 13 (lovpålagt lagring også etter kontosletting).
Serverlogger: 30 dager.
Rate-limit-logger: 1 time (rullende).

9. Gjeldende ret

Denne aftalen er underlagt svensk ret. Tvister skal avgjøres af svensk alminnelig domstol med Malmö tingsrätt som første instans.

10. Kontakt

LexCodex.ai · support@lexcodex.ai