Privatliv & tillit
Fortrolighed er ikke en funksjon — det er grunnprinsippet.
LexCodex.ai er utviklet for advokater, in-house team og ledelse som arbejder med taushetsbelagt materiale. Denne siden beskriver nøyaktig hva som skjer med dataene dine, hvilke rettigheter du har, og hvordan du selv kontrollerer dem.
Sammendrag: Materialet dit gemmes aldrig på serverne vores etter analysen. Det bruges aldrig til AI-træning. Du kan slette kontoen din og alle data når som helst — direkte, uden å kontakte oss.
EU AI Act: LexCodex er klassificeret som limited-risk-system efter Art. 6 (ikke Annex III). Opfylder Art. 50 transparenskrav: brugere informeres om AI-interaktion, output markeres som AI-genereret.
🛡 Sikkerhedstest: Sikkerhedstestet mod OWASP Top 10 (intern Tier 1-gennemgang 2026-05-03 — Mozilla Observatory B+, 0 critical/high). Akademisk sikkerhedsgennemgang gennemført Q2 2026. Ekstern penetrationstest kan arrangeres på anmodning for erhvervskunder.
📊 Slik flyter dataene dine
Hver analyse følger samme vei — ingen steg avviker, intet materiale gemmes underveis:
- Du skriver eller uploader tekst i browseren — overføres via TLS / HTTPS
- LexCodex.ai-server i EU-datacenter — dit materiale gemmes ikke på disk eller i cache
- AI-leverandørens API — zero data retention, EU-routing, ingen modeltræning på dine data
- Svaret sendes tilbage til dig
- Analysen forsvinder fra hukommelsen efter svaret — kun din plan, brugernavn og tæller gemmes
🗂 Hva vi gemmer — og hvor lenge
| Datatype | Hvor | Hvor lenge |
|---|---|---|
| Avtaletekst / juridisk innhold | — | Gems ikke |
| AI-analysesvar | — | Gems ikke |
| Kontoopplysninger (navn, e-post, org.) | MySQL i Sverige | Til du sletter kontoen |
| Hashet passord (bcrypt) | MySQL i Sverige | Til du sletter kontoen |
| Bruksteller (antall analyser) | MySQL i Sverige | Nullstilles månedlig |
| Delte analyser (via delelenke) | MySQL i Sverige | Maks 7 dager, slettes så automatisk |
| Overvågningsprofiler (Watch) | MySQL i Sverige | Til du fjerner dem |
| Tilbakemelding du har gitt | MySQL i Sverige | Til du sletter kontoen |
| Sikkerhedslogger (log-indsforsøk, IP) | MySQL i Sverige | Rullende 1 t (rate-limit), 15 min (lockout) |
| Serverlogger (access/error) | Server i Sverige | 30 dager |
⚖️ Dine GDPR-rettigheter — direkte i kontoen
Etter GDPR har du flere rettigheter. De fleste kan du bruke selv uden å kontakte oss:
| Rettighet | Hvordan |
|---|---|
| Art. 15 — Ret til innsyn | Knappen "Last ned mine data" på /da/konto — JSON-fil med alle gemmede data |
| Art. 16 — Retting | E-post support@lexcodex.ai |
| Art. 17 — Sletting ("retten til å bli glemt") | Knappen "Slett kontoen min" på /da/konto — fjerner alt umiddelbart |
| Art. 18 — Begrænsning | Kontakt support@lexcodex.ai |
| Art. 20 — Dataportabilitet | Samme knapp på /da/konto — maskinlesbar JSON |
| Art. 21 — Innsigelse | Kontakt support@lexcodex.ai |
Du har også ret til å klage til Datatilsynet.
🛡 Zero Data Retention — AI-miljøet
- Ingen lagring etter analyse: Avtaletekster, spørgsmål og AI-svar eksisterer kun i minnet under selve anropet — ingen skriving til disk, ingen caching.
- AI-leverandør: AI-leverandøren via API. AI-leverandøren er SOC 2 Type II, ISO 27001, ISO 42001, HIPAA-sertifisert.
- Ingen modelltrening: Etter AI-leverandørens aftale bruges API-trafikk ikke til å træne modeller.
- EU-routing: API-anrop går via AI-leverandørens EU-infrastruktur hvor det er muligt.
- Per-forespørsel-isolasjon: Hvert anrop er helt uafhængigt — ingen kontekst deles mellom brugere eller sessioner.
🚫 Hva vi aldrig gjør
- Selger eller deler opplysningene dine med tredjepart for markedsføring
- Bruger aftalene eller analysene dine til AI-træning — hverken hos oss eller AI-leverandøren
- Gemr aftalene dine etter at analysen er ferdig
- Deler dataene dine mellom brugere, selv innen samme organisasjon (uden dit valg)
- Sender spam eller nyhetsbrev uden dit uttrykkelige samtykke
🔐 Teknisk sikkerhed
- TLS / HTTPS: All trafikk krypteres i transitt. HSTS med preload.
- CSP (Content Security Policy): Aktiv policy mot XSS og datainjeksjon.
- CSRF-beskyttelse: Alle sensitive anrop kræver sesjonsbundet token.
- Bcrypt-hashede passord: Klartekst gemmes aldrig — ikke engang ved registrering.
- MFA / TOTP: Tofaktorautentisering støttes (Google Authenticator, Authy, 1Password).
- Brute force-beskyttelse: Automatisk kontolåsing etter 5 feilaktige forsøg i 15 minut$1.
- Rate limiting: Alle sensitive endepunkter er hastighetsbegrænset per IP.
- Sesjonsugyldiggjøring: Alle aktive sessioner avsluttes ved passordbytte.
- Spam-beskyttelse: tredjeparts anti-bot-tjeneste + honeypot + heuristik mod automatiseret registrering.
- Regelmessige sikkerhedsgjennomganger: Internt P0–P3-klassificeret audit-system.
🧩 Underleverandører
Vi benytter certificerede tredjepartsleverandører til AI-analyse, hosting, betaling og spam-beskyttelse. Alle er certificerede efter brancestandarder (SOC 2 Type II, ISO 27001, PCI DSS Level 1) og bundet af databehandleraftale (DPA).
🚨 Hendelseshåndtering
Ved mistenkt datainnbrudd eller sikkerhedshendelse:
- Melding til berørte kunder innen 72 timer (GDPR art. 34)
- Varsling til Datatilsynet innen 72 timer (GDPR art. 33)
- Transparent rapport om hva som har skjedd, hvilke data som er berørt, og hvilke tiltak som iverksettes
Rapporter mistenkt hendelse eller sikkerhedsbrist: support@lexcodex.ai
📋 Dokumentasjon
- Privatliverklæring — fullstendig håndtering af personopplysninger
- Databehandleraftale (DPA) — etter GDPR art. 28
- Brugervilkår