Databehandleravtale (DPA)

Data Processing Agreement etter GDPR art. 28 · Versjon 2 (2026-05-01)

📄 Mal for nedlasting: Dette er en standard-DPA som oppfyller GDPR art. 28. For undertegnet versjon, kontakt support@lexcodex.ai med organisasjonsnummeret deres.

1. Parter

Behandlingsansvarlig: [Kundens selskapsnavn, organisasjonsnummer, adresse]

Databehandler: LexCodex.ai (Nordicbysight)

2. Behandlingens art og formål

Databehandleren behandler personopplysninger for å levere AI-drevet juridisk analyse (avtalegjennomgang, NDA-triagering, etterlevelse, AI Act-analyse, juridisk research, avtaleutforming og overvåkning) til den Behandlingsansvarlige.

3. Typer personopplysninger

Kontoopplysninger: fornavn, etternavn, e-postadresse, organisasjon
Autentisering: hashet passord (bcrypt), valgfri MFA-nøkkel (hashet)
Bruksdata: antall analyser, hvilke verktøy (uten innhold)
Sikkerhetslogger: IP-adresse, sesjonsidentifikator, innloggingsforsøk
Innhold som sendes til analyse (kan inneholde personopplysninger) — behandles kun i minnet, lagres ikke

4. Databehandlerens plikter

Databehandleren forplikter seg til å:

Kun behandle opplysninger etter dokumenterte instrukser fra den Behandlingsansvarlige
Sikre at personalet har taushetsplikt
Iverksette egnede tekniske og organisatoriske tiltak (art. 32 GDPR) — TLS, bcrypt, MFA, CSP, HSTS, CSRF, rate-limiting
Bistå den Behandlingsansvarlige ved utøvelse av de registrertes rettigheter (art. 15–21 GDPR)
Melde personopplysningsbrudd innen 72 timer
Slette eller returnere opplysninger ved avtalens opphør
Tilby en selvbetjeningsfunksjon for umiddelbar sletting av konto og tilhørende data (GDPR art. 17)

5. Underdatabehandlere (sub-processors)

Databehandleren benytter sertifiserte tredjepartsleverandører for AI-behandling, hosting, betalingshåndtering og spam-beskyttelse. Alle er sertifisert etter bransjestandarder (SOC 2 Type II, ISO 27001, PCI DSS Level 1) og bundet av databehandleravtale (DPA). Fullstendig liste over underdatabehandlere med navn, funksjon, sted og sertifiseringer leveres til Behandlingsansvarlig under taushetsplikt (NDA) som del av onboarding eller på forespørsel.

AI-leverandøren bruker ikke kundens data til modelltrening. Avtaletekster og AI-svar lagres ikke permanent — verken hos AI-leverandøren eller hos LexCodex.ai (Zero Data Retention).

Endringer blant underdatabehandlere varsles Behandlingsansvarlig minst 30 dager i forveien. Behandlingsansvarlig har rett til å protestere — ved protest har partene 30 dager å finne løsning, ellers rett til å si opp avtalen uten kostnad.

6. Datasikkerhetstiltak

Se Personvern & tillit for fullstendig redegjørelse av tekniske og organisatoriske tiltak.

7. Lagringstid

Avtaletekster og AI-svar: Lagres ikke — behandles kun i minnet under analysen.
Kontoopplysninger: Så lenge kontoen er aktiv. Slettes umiddelbart når den registrerte bruker art. 17-funksjonen eller når avtalen opphører.
Regnskaps- og fakturadata: 5 år etter bokføringsloven § 13 (lovpålagt lagring også etter kontosletting).
Serverlogger: 30 dager.
Rate-limit-logger: 1 time (rullende).

8. Gjeldende rett og tvisteløsning

Svensk rett kommer til anvendelse, med unntak av lovvalgsregler. Tvister skal i første omgang løses gjennom forhandling. Deretter avgjøres tvist av svensk alminnelig domstol med Helsingborgs tingsrätt som første instans.

Forbrukere har alltid rett til å reise søksmål ved sitt hjemsted samt henvende seg til Forbrukertilsynet eller EUs nettbaserte tvisteløsningsplattform (ec.europa.eu/consumers/odr).

9. Kontakt

LexCodex.ai · support@lexcodex.ai