Zero Data Retention for advokater — hva det faktisk betyr

Publisert 4. mai 2026 · 6 minutters lesetid · Av GD · LexCodex

Når en advokat sender en taushetsbelagt kontraktstekst til en AI-tjeneste, kommer to spørsmål på bordet: lagres teksten et sted, og kan den brukes til å trene fremtidige modeller? Begge spørsmålene må ha tydelige svar — ellers kan tjenesten ikke brukes til klientarbeid.

Zero Data Retention (ZDR) er betegnelsen på det forpliktende tiltaket som adresserer begge spørsmålene. Men ZDR betyr ulike ting hos ulike leverandører, og det er ikke alltid åpenbart hvilket nivå som faktisk gjelder. Denne artikkelen forklarer presist hva ZDR innebærer hos LexCodex — på to lag — og hva det ikke dekker.

To lag retention-spørsmål

Når du som bruker av LexCodex laster opp et dokument, går det gjennom to systemer. Begge må ha tydelige retention-regler.

Lag 1

Anthropic Claude (LLM-leverandør)

LexCodex bruker Anthropic Claude som AI-motor. Når tekst sendes til Claude, er det Anthropics infrastruktur som behandler den. Anthropic tilbyr et enterprise-vilkår kalt Zero Data Retention: input og output lagres ikke etter at svaret er returnert. Ingen logger, ingen cache, ingen bruk for modelltrening.

Dette er offentlig dokumentert i Anthropics commercial terms og deres data processing addendum. For forretningspartnere (som LexCodex) er ZDR aktivert via enterprise-kontrakt — ikke automatisk på konsument-API-et.

Lag 2

LexCodex-applikasjonen (vår infrastruktur)

Når teksten har generert et svar fra Anthropic, lander den hos LexCodex. Her gjelder vår egen retention-policy: opplastede dokumenter og AI-svar lagres ikke etter at analysen er ferdig. Når du lukker fanen eller klikker "Ny analyse", er dataen borte. Vi har ingen logger med dokumentinnhold, ingen backup av analyser, ingen arkiver.

Det eneste som lagres er sesjonsmetadata (hvem var innlogget, hvilket verktøy ble brukt, hvor lang requesten var) — for rate limiting og debugging. Ingen innhold, ingen sitater, ingen konklusjoner.

Hva dette betyr konkret

For deg som advokat eller in-house-jurist er de praktiske konsekvensene:

Taushetsbelagte dokumenter kan analyseres — de finnes ikke noe sted etter at fanen lukkes. Dette gjelder både hos Anthropic (ZDR-avtale) og hos LexCodex (no-store-policy).
Klientavtaler med konfidensialitetsklausuler er håndterbare — ingen tredjepart lagrer materialet. Du har dokumentert sporbarhet via DPA.
GDPR Art. 5(1)(c) — "data minimisation" — oppfylles av designen, ikke av prosessuell håndtering. Det finnes ingen data å minimere hvis den aldri ble lagret.
GDPR Art. 17 — "rett til å bli glemt" — er triviell. Det finnes ikke noe å slette.

Den vanlige misforståelsen

"AI-leverandøren trener ikke på mine data" er ikke det samme som ZDR. Mange konsument-AI-tjenester har "ingen modelltrening"-vilkår, men lagrer likevel input/output i flere dager for "kvalitetsovervåkning" eller "abuse detection". Det rekker ikke for advokat-klientprivilegium.

Forskjellen:

"Vi trener ikke på dine data": Dokumentene dine havner ikke i neste modellversjon. Men de kan fortsatt lagres i timer/dager/uker på leverandørens servere.
Zero Data Retention: Dokumentene dine forsvinner fra leverandørens infrastruktur så snart svaret er returnert. Ingen mellomlagring.

For klientmateriale der konfidensialiteten er sentral, må det være det siste. ZDR er ikke et markedsføringsargument — det er et baseline-krav.

Hva ZDR IKKE beskytter mot

For balansens skyld, hva ZDR ikke dekker:

Trafikk-i-transit. Mellom nettleseren din og LexCodex går trafikken over internett. Vi bruker TLS 1.2+ med HSTS preload, men det er likevel "trafikk på veien" — ikke endelig beskyttelse hvis noen har root-tilgang til rutere underveis.
Dine egne lokale kopier. Du har kanskje kopiert kontraktsteksten fra en e-post, har den i Word-cache, eller eksportert analysen til PDF. ZDR gjelder LexCodex og Anthropic-infrastrukturen — ikke din egen.
Klientens kildesikkerhet. Hvis dokumentet allerede finnes i klientens Sharepoint uten kryptering, er ZDR i AI-kjeden ikke det svakeste leddet.
Insider-trussel på LexCodex-siden. Vi har strikte tilgangskontroller, men teoretisk kunne en illvillig medarbeider hos LexCodex avlese data i øyeblikket før ZDR-trinnene tar over. Det er derfor vi har eksplisitte sikkerhetskontroller dokumentert og bygger etter ISO/IEC 27001:2022.

ZDR er "belt-and-suspenders" på datalagring. Det er ikke absolutt sikkerhet — men det eliminerer en hel kategori av risiko som ellers ville måtte håndteres gjennom prosessuelle kontroller (DPA-vedlegg om sletting, periodiske audit-logger, retention-overvåkning).

Hvordan du verifiserer ZDR i praksis

Spørsmål du som jurist kan stille til en hvilken som helst AI-leverandør:

Har dere ZDR-vilkår fra deres underliggende LLM-leverandør? Er det aktivt på vår konto?
Hvor lenge lagres request/response hos dere før sletting?
Har dere backup/arkivering av brukerdata? Hvor lenge?
Finnes det logger med innhold? Hvilke logger beholdes og hvor lenge?
Kan dere signere DPA etter GDPR Art. 28?

For LexCodex er svarene offentlige i vår DPA og Security Whitepaper. Du trenger ikke spørre — du kan lese vilkårene selv før du oppretter konto.

Sammendrag

Zero Data Retention er ikke en markedsføringsetikett — det er en arkitekturell egenskap som må gjelde på to lag (LLM-leverandør + applikasjonsleverandør) for å være meningsfull. For advokater som skal analysere klientmateriale i en AI-tjeneste er ZDR forutsetningen, ikke tillegget.

LexCodex har ZDR på begge lag. Anthropic via enterprise-kontrakt, LexCodex via egen no-store-design. Det er derfor vi kan si "last opp klientavtaler" uten å legge inn mengder med disclaimer-stjerner.

Vil du lese mer? Vår Security Whitepaper går gjennom hele datamodellen i detalj — inkludert subprocessors, krypterings-standarder og incident response. Eller les DPA-teksten direkte.

Les videre

Hvordan LexCodex unngår hallusinasjoner · EU AI Act for jurister

Personvern & tillit → Tilbake til blogg

⚠ Generell informasjon om Zero Data Retention og GDPR — ikke juridisk rådgivning. For spesifikke etterlevelses-spørsmål i ditt eget verktøyvalg, konsulter kvalifisert jurist eller DPO.