Databehandleravtale (DPA)

Data Processing Agreement etter GDPR art. 28 · Versjon 2 (2026-05-01)

📄 Mal for nedlasting: Dette er en standard-DPA som oppfyller GDPR art. 28. For undertegnet versjon, kontakt support@lexcodex.ai med organisasjonsnummeret deres.

1. Parter

Behandlingsansvarlig: [Kundens selskapsnavn, organisasjonsnummer, adresse]

Databehandler: LexCodex.ai (Nordicbysight)

2. Behandlingens art og formål

Databehandleren behandler personopplysninger for å levere AI-drevet juridisk analyse (avtalegjennomgang, NDA-triagering, etterlevelse, AI Act-analyse, juridisk research, avtaleutforming og overvåkning) til den Behandlingsansvarlige.

3. Typer personopplysninger

Kontoopplysninger: fornavn, etternavn, e-postadresse, organisasjon
Autentisering: hashet passord (bcrypt), valgfri MFA-nøkkel (hashet)
Bruksdata: antall analyser, hvilke verktøy (uten innhold)
Sikkerhetslogger: IP-adresse, sesjonsidentifikator, innloggingsforsøk
Innhold som sendes til analyse (kan inneholde personopplysninger) — behandles kun i minnet, lagres ikke

4. Databehandlerens plikter

Databehandleren forplikter seg til å:

Kun behandle opplysninger etter dokumenterte instrukser fra den Behandlingsansvarlige
Sikre at personalet har taushetsplikt
Iverksette egnede tekniske og organisatoriske tiltak (art. 32 GDPR) — TLS 1.3, bcrypt, MFA, CSP, HSTS, CSRF, rate-limiting
Bistå den Behandlingsansvarlige ved utøvelse av de registrertes rettigheter (art. 15–21 GDPR)
Melde personopplysningsbrudd innen 72 timer
Slette eller returnere opplysninger ved avtalens opphør
Tilby en selvbetjeningsfunksjon for umiddelbar sletting av konto og tilhørende data (GDPR art. 17)

5. Underdatabehandlere (sub-processors)

Databehandleren benytter følgende underdatabehandlere:

Leverandør	Funksjon	Sted	Sertifisering
Anthropic PBC	AI-behandling (Claude API)	USA / EU-routing	SOC 2 Type II, ISO 27001, ISO 42001, HIPAA, EU-US DPF
Easywebbhotell	Hosting (server + database)	Sverige	GDPR-kompatibelt, svensk/EU-jurisdiksjon
Stripe Inc.	Betalingshåndtering	USA / Irland	PCI DSS Level 1, SCC
Google LLC	reCAPTCHA, Analytics (med samtykke)	USA / EU	ISO 27001, 27017, 27018, SCC

Anthropic bruker ikke kundens data til modelltrening. Avtaletekster og AI-svar lagres ikke permanent — verken hos Anthropic eller hos LexCodex.ai.

6. Overføring til tredjeland

Data kan overføres til USA (Anthropic, Stripe, Google) under EU-US Data Privacy Framework samt Standard Contractual Clauses (SCC) etter Kommisjonens beslutning 2021/914. Ingen overføring skjer uten egnede beskyttelsestiltak.

7. Datasikkerhetstiltak

Se vår Security Whitepaper og Personvern & tillit for fullstendig redegjørelse av tekniske og organisatoriske tiltak.

8. Lagringstid

Avtaletekster og AI-svar: Lagres ikke — behandles kun i minnet under analysen.
Kontoopplysninger: Så lenge kontoen er aktiv. Slettes umiddelbart når den registrerte bruker art. 17-funksjonen eller når avtalen opphører.
Regnskaps- og fakturadata: 5 år etter bokføringsloven § 13 (lovpålagt lagring også etter kontosletting).
Serverlogger: 30 dager.
Rate-limit-logger: 1 time (rullende).

9. Gjeldende rett

Denne avtalen er underlagt svensk rett. Tvister skal avgjøres av svensk alminnelig domstol med Malmö tingsrätt som første instans.

10. Kontakt

LexCodex.ai · support@lexcodex.ai