Zero Data Retention for advokater — hva det faktisk betyr

Publisert 4. mai 2026 · 6 minutters lesetid · Av GD · LexCodex

Når en advokat sender inn en taushetsbelagt kontraktstekst til en AI-tjeneste, er to spørsmål avgjørende. Lagres teksten et sted, og kan den brukes til å trene fremtidige modeller? Er svaret uklart, er tjenesten i praksis ubrukelig til klientarbeid.

Zero Data Retention (ZDR) er betegnelsen på det forpliktende tiltaket som adresserer begge spørsmålene. Begrepet brukes imidlertid med ulik betydning hos ulike leverandører. Denne teksten beskriver hva ZDR faktisk innebærer hos LexCodex, på hvilke lag det gjelder, og hvor grensene går.

To lag retention

Et dokument du laster opp passerer to systemer. Begge har egne retention-regler.

Lag 1

LLM-leverandøren

LexCodex bruker en LLM-motor fra en leverandør som er sertifisert etter SOC 2 Type II og ISO 27001. Når tekst sendes dit, behandles den av leverandørens infrastruktur. Leverandøren tilbyr et enterprise-vilkår kalt Zero Data Retention: input og output lagres ikke etter at svaret er returnert. Ingen logger, ingen cache, ingen bruk til modelltrening.

Vilkåret er offentlig dokumentert i leverandørens commercial terms og data processing addendum. For forretningspartnere aktiveres ZDR via enterprise-kontrakt. På det åpne konsument-API-et er det ikke aktivt som default.

Lag 2

LexCodex egen infrastruktur

Når LLM-leverandøren har generert svaret, lander det hos LexCodex. Her gjelder vår egen policy: opplastede dokumenter og AI-svar lagres ikke etter at analysen er ferdig. Når du lukker fanen, er dataen borte. Det finnes ingen logger med dokumentinnhold, ingen backup av analyser, ingen arkiver.

Det vi lagrer er sesjonsmetadata: hvem som var innlogget, hvilket verktøy som ble brukt, hvor langt anropet var. Det brukes til rate limiting og debugging. Ingen innhold, ingen sitater, ingen konklusjoner.

Hva det betyr konkret

For deg som advokat eller in-house-jurist:

Taushetsbelagte dokumenter kan analyseres uten at de blir liggende noe sted etter at fanen lukkes. Det gjelder både hos LLM-leverandøren (via ZDR-avtale) og hos LexCodex (via no-store-design).
Klientavtaler med konfidensialitetsklausuler er håndterbare fordi ingen tredjepart arkiverer materialet. Sporbarheten er dokumentert i vår DPA.
GDPR-kravet om dataminimering (Art. 5.1.c) oppfylles i designen snarere enn gjennom prosessuelle rutiner. Det går ikke å minimere data som aldri lagres.
Retten til å bli glemt (Art. 17) er triviell. Det finnes ikke noe å slette.

Vanlig misforståelse

"Leverandøren trener ikke på mine data" er ikke det samme som ZDR. Mange konsument-AI-tjenester har et "ingen trening"-vilkår, men lagrer likevel input og output i flere dager til kvalitetsovervåkning eller abuse detection. For klientmateriale der konfidensialiteten er sentral er det ikke nok.

Forskjellen i klartekst:

"Vi trener ikke på dine data" innebærer at dokumentet ikke havner i neste modellversjon. Det kan likevel lagres i timer, dager eller uker på leverandørens servere.
Zero Data Retention innebærer at dokumentet forsvinner fra leverandørens infrastruktur når svaret er returnert. Ingen mellomlagring.

Spørsmål å stille en AI-leverandør

Før du gjør en AI-tjeneste til en del av byråets arbeidsflyt er det rimelig å spørre:

Har dere ZDR-vilkår fra den underliggende LLM-leverandøren? Er det aktivt på vår konto?
Hvor lenge lagres request og response hos dere før sletting?
Finnes backup eller arkivering av brukerdata? Hvor lenge?
Hvilke logger beholdes? Inneholder de innhold eller bare metadata?
Kan dere signere DPA etter GDPR Art. 28?

For LexCodex er svarene offentlige i vår DPA. Du trenger ikke spørre, du kan lese før du oppretter konto.

Les videre

Hvordan LexCodex unngår hallusinasjoner · EU AI Act for jurister

Personvern & tillit → Tilbake til blogg