Privatliv & tillit
Fortrolighed er ikke en funksjon — det er grunnprinsippet.
LexCodex.ai er utviklet for advokater, in-house team og ledelse som arbejder med taushetsbelagt materiale. Denne siden beskriver nøyaktig hva som skjer med dataene dine, hvilke rettigheter du har, og hvordan du selv kontrollerer dem.
Sammendrag: Materialet dit gemmes aldrig på serverne vores etter analysen. Det bruges aldrig til AI-træning. Du kan slette kontoen din og alle data når som helst — direkte, uden å kontakte oss.
Sammenligner du juridiske AI-platforme? Les hvorfor LexCodex er det nordiske valget →
🪞 EU AI Act: LexCodex er klassificeret som limited-risk-system etter Art. 6 (ikke Annex III). Vi brukte vores eget AI Act-værktøjer på oss selv 2026-05-03. Oppfyller Art. 50 transparenskrav: brugere informeres om AI-interaksjon, output merkes som AI-generert. Se compliance-roadmap →
🛡 Sikkerhedstesting: Sikkerhedstestet mod OWASP Top 10 (intern Tier 1-gennemgang 2026-05-03 — Mozilla Observatory B+, 0 critical/high). Akademisk sikkerhedsgranskning gennemført Q2 2026. Ekstern penetrasjonstest planlagt etter compliance-roadmap.
📊 Slik flyter dataene dine
Hver analyse følger samme vei — ingen steg avviker, intet materiale gemmes underveis:
1. Du skriver/laster opp tekst i nettleseren
│
▼ (TLS 1.3, HTTPS)
2. LexCodex.ai-server i Sverige (Easywebbhotell)
│
│ ◄── Ingen lagring af materialet dit
▼
3. Anthropic (zero data retention, EU-routing)
│
│ ◄── Ingen modelltrening på dataene dine
▼
4. Svaret sendes tilbake til deg
│
▼
5. Analysen forsvinner fra minnet etter svaret
(Bare planen din, brugernavn og teller gemmes)
🗂 Hva vi gemmer — og hvor lenge
| Datatype | Hvor | Hvor lenge |
|---|---|---|
| Avtaletekst / juridisk innhold | — | Gems ikke |
| AI-analysesvar | — | Gems ikke |
| Kontoopplysninger (navn, e-post, org.) | MySQL i Sverige | Til du sletter kontoen |
| Hashet passord (bcrypt) | MySQL i Sverige | Til du sletter kontoen |
| Bruksteller (antall analyser) | MySQL i Sverige | Nullstilles månedlig |
| Delte analyser (via delelenke) | MySQL i Sverige | Maks 7 dager, slettes så automatisk |
| Overvågningsprofiler (Watch) | MySQL i Sverige | Til du fjerner dem |
| Tilbakemelding du har gitt | MySQL i Sverige | Til du sletter kontoen |
| Sikkerhedslogger (log-indsforsøk, IP) | MySQL i Sverige | Rullende 1 t (rate-limit), 15 min (lockout) |
| Serverlogger (access/error) | Server i Sverige | 30 dager |
⚖️ Dine GDPR-rettigheter — direkte i kontoen
Etter GDPR har du flere rettigheter. De fleste kan du bruke selv uden å kontakte oss:
| Rettighet | Hvordan |
|---|---|
| Art. 15 — Ret til innsyn | Knappen "Last ned mine data" på /da/konto — JSON-fil med alle gemmede data |
| Art. 16 — Retting | E-post support@lexcodex.ai |
| Art. 17 — Sletting ("retten til å bli glemt") | Knappen "Slett kontoen min" på /da/konto — fjerner alt umiddelbart |
| Art. 18 — Begrænsning | Kontakt support@lexcodex.ai |
| Art. 20 — Dataportabilitet | Samme knapp på /da/konto — maskinlesbar JSON |
| Art. 21 — Innsigelse | Kontakt support@lexcodex.ai |
Du har også ret til å klage til Datatilsynet.
🛡 Zero Data Retention — AI-miljøet
- Ingen lagring etter analyse: Avtaletekster, spørgsmål og AI-svar eksisterer kun i minnet under selve anropet — ingen skriving til disk, ingen caching.
- AI-leverandør: Anthropic via API. Anthropic er SOC 2 Type II, ISO 27001, ISO 42001, HIPAA-sertifisert.
- Ingen modelltrening: Etter Anthropics aftale bruges API-trafikk ikke til å træne modeller.
- EU-routing: API-anrop går via Anthropics EU-infrastruktur der det er mulig.
- Per-forespørsel-isolasjon: Hvert anrop er helt uafhængigt — ingen kontekst deles mellom brugere eller sessioner.
🚫 Hva vi aldrig gjør
- Selger eller deler opplysningene dine med tredjepart for markedsføring
- Bruger aftalene eller analysene dine til AI-træning — hverken hos oss eller Anthropic
- Gemr aftalene dine etter at analysen er ferdig
- Deler dataene dine mellom brugere, selv innen samme organisasjon (uden dit valg)
- Sender spam eller nyhetsbrev uden dit uttrykkelige samtykke
🔐 Teknisk sikkerhed
- TLS 1.3 / HTTPS: All trafikk krypteres i transitt. HSTS med preload.
- CSP (Content Security Policy): Aktiv policy mot XSS og datainjeksjon.
- CSRF-beskyttelse: Alle sensitive anrop kræver sesjonsbundet token.
- Bcrypt-hashede passord: Klartekst gemmes aldrig — ikke engang ved registrering.
- MFA / TOTP: Tofaktorautentisering støttes (Google Authenticator, Authy, 1Password).
- Brute force-beskyttelse: Automatisk kontolåsing etter 5 feilaktige forsøg i 15 minut$1.
- Rate limiting: Alle sensitive endepunkter er hastighetsbegrænset per IP.
- Sesjonsugyldiggjøring: Alle aktive sessioner avsluttes ved passordbytte.
- Spam-beskyttelse: reCAPTCHA v3 + honeypot + heuristikk mot automatisert registrering.
- Regelmessige sikkerhedsgjennomganger: Internt P0–P3-klassificeret audit-system.
🧩 Underleverandører (sub-processors)
Vi benytter følgende tredjepartsleverandører for å drive tjenesten. Alle er sertifisert for sine respektive funksjoner:
| Leverandør | Funksjon | Sted | Sertifisering |
|---|---|---|---|
| Anthropic | AI-analyse (Claude) | USA / EU (routing) | SOC 2 Type II, ISO 27001, ISO 42001, HIPAA |
| Easywebbhotell | Hosting (server + DB) | Sverige | GDPR-kompatibelt, svensk/EU-jurisdiktion |
| Stripe | Betaling | EU / USA | PCI DSS Level 1 |
| Google reCAPTCHA | Spam-beskyttelse ved registrering | EU / USA | ISO 27001, 27017, 27018 |
Merk: LexCodex.ai er ikke selv ISO 27001-sertifisert. Tjenesten bygger på standardisert webteknologi og tredjepartssertifiserte leverandører for kritiske funksjoner. For bedriftskunder med strenge krav tilbyder vi DPA, utvidet dokumentasjon og Enterprise-plan.
🚨 Hendelseshåndtering
Ved mistenkt datainnbrudd eller sikkerhedshendelse:
- Melding til berørte kunder innen 72 timer (GDPR art. 34)
- Varsling til Datatilsynet innen 72 timer (GDPR art. 33)
- Transparent rapport om hva som har skjedd, hvilke data som er berørt, og hvilke tiltak som iverksettes
Rapporter mistenkt hendelse eller sikkerhedsbrist: support@lexcodex.ai
📋 Dokumentasjon
- Privatliverklæring — fullstendig håndtering af personopplysninger
- Databehandleraftale (DPA) — etter GDPR art. 28
- Security Whitepaper — teknisk oversikt (arkitektur, dataflyt)
- Brugervilkår