Personvern & tillit
Konfidensialitet er ikke en funksjon — det er grunnprinsippet.
LexCodex.ai er utviklet for advokater, in-house team og ledelse som arbeider med taushetsbelagt materiale. Denne siden beskriver nøyaktig hva som skjer med dataene dine, hvilke rettigheter du har, og hvordan du selv kontrollerer dem.
Sammendrag: Materialet ditt lagres aldri på serverne våre etter analysen. Det brukes aldri til AI-trening. Du kan slette kontoen din og alle data når som helst — direkte, uten å kontakte oss.
EU AI Act: LexCodex er klassifisert som limited-risk-system etter Art. 6 (ikke Annex III). Oppfyller Art. 50 transparenskrav: brukere informeres om AI-interaksjon, output merkes som AI-generert.
🛡 Sikkerhetstesting: Sikkerhetstestet mot OWASP Top 10 (intern Tier 1-gjennomgang 2026-05-03 — Mozilla Observatory B+, 0 critical/high). Akademisk sikkerhetsgransking gjennomført Q2 2026. Ekstern penetrasjonstest kan arrangeres på forespørsel for bedriftskunder.
📊 Slik flyter dataene dine
Hver analyse følger samme vei — ingen steg avviker, intet materiale lagres underveis:
- Du skriver eller laster opp tekst i nettleseren — overføres via TLS / HTTPS
- LexCodex.ai-server i EU-datasenter — materialet ditt lagres ikke på disk eller i cache
- AI-leverandørens API — zero data retention, EU-routing, ingen modelltrening på dataene dine
- Svaret sendes tilbake til deg
- Analysen forsvinner fra minnet etter svaret — bare planen din, brukernavn og teller lagres
🗂 Hva vi lagrer — og hvor lenge
| Datatype | Hvor | Hvor lenge |
|---|---|---|
| Avtaletekst / juridisk innhold | — | Lagres ikke |
| AI-analysesvar | — | Lagres ikke |
| Kontoopplysninger (navn, e-post, org.) | MySQL i Sverige | Til du sletter kontoen |
| Hashet passord (bcrypt) | MySQL i Sverige | Til du sletter kontoen |
| Bruksteller (antall analyser) | MySQL i Sverige | Nullstilles månedlig |
| Delte analyser (via delelenke) | MySQL i Sverige | Maks 7 dager, slettes så automatisk |
| Overvåkningsprofiler (Watch) | MySQL i Sverige | Til du fjerner dem |
| Tilbakemelding du har gitt | MySQL i Sverige | Til du sletter kontoen |
| Sikkerhetslogger (innloggingsforsøk, IP) | MySQL i Sverige | Rullende 1 t (rate-limit), 15 min (lockout) |
| Serverlogger (access/error) | Server i Sverige | 30 dager |
⚖️ Dine GDPR-rettigheter — direkte i kontoen
Etter GDPR har du flere rettigheter. De fleste kan du bruke selv uten å kontakte oss:
| Rettighet | Hvordan |
|---|---|
| Art. 15 — Rett til innsyn | Knappen "Last ned mine data" på /no/konto — JSON-fil med alle lagrede data |
| Art. 16 — Retting | E-post support@lexcodex.ai |
| Art. 17 — Sletting ("retten til å bli glemt") | Knappen "Slett kontoen min" på /no/konto — fjerner alt umiddelbart |
| Art. 18 — Begrensning | Kontakt support@lexcodex.ai |
| Art. 20 — Dataportabilitet | Samme knapp på /no/konto — maskinlesbar JSON |
| Art. 21 — Innsigelse | Kontakt support@lexcodex.ai |
Du har også rett til å klage til Datatilsynet.
🛡 Zero Data Retention — AI-miljøet
- Ingen lagring etter analyse: Avtaletekster, spørsmål og AI-svar eksisterer kun i minnet under selve anropet — ingen skriving til disk, ingen caching.
- AI-leverandør: AI-leverandøren via API. AI-leverandøren er SOC 2 Type II, ISO 27001, ISO 42001, HIPAA-sertifisert.
- Ingen modelltrening: Etter AI-leverandørens avtale brukes API-trafikk ikke til å trene modeller.
- EU-routing: API-anrop går via AI-leverandørens EU-infrastruktur der det er mulig.
- Per-forespørsel-isolasjon: Hvert anrop er helt uavhengig — ingen kontekst deles mellom brukere eller sesjoner.
🚫 Hva vi aldri gjør
- Selger eller deler opplysningene dine med tredjepart for markedsføring
- Bruker avtalene eller analysene dine til AI-trening — verken hos oss eller AI-leverandøren
- Lagrer avtalene dine etter at analysen er ferdig
- Deler dataene dine mellom brukere, selv innen samme organisasjon (uten ditt valg)
- Sender spam eller nyhetsbrev uten ditt uttrykkelige samtykke
🔐 Teknisk sikkerhet
- TLS / HTTPS: All trafikk krypteres i transitt. HSTS med preload.
- CSP (Content Security Policy): Aktiv policy mot XSS og datainjeksjon.
- CSRF-beskyttelse: Alle sensitive anrop krever sesjonsbundet token.
- Bcrypt-hashede passord: Klartekst lagres aldri — ikke engang ved registrering.
- MFA / TOTP: Tofaktorautentisering støttes (Google Authenticator, Authy, 1Password).
- Brute force-beskyttelse: Automatisk kontolåsing etter 5 feilaktige forsøk i 15 minutter.
- Rate limiting: Alle sensitive endepunkter er hastighetsbegrenset per IP.
- Sesjonsugyldiggjøring: Alle aktive sesjoner avsluttes ved passordbytte.
- Spam-beskyttelse: tredjeparts anti-bot-tjeneste + honeypot + heuristikk mot automatisert registrering.
- Regelmessige sikkerhetsgjennomganger: Internt P0–P3-klassifisert audit-system.
🧩 Underleverandører
Vi benytter sertifiserte tredjepartsleverandører for AI-analyse, hosting, betaling og spam-beskyttelse. Alle er sertifisert etter bransjestandarder (SOC 2 Type II, ISO 27001, PCI DSS Level 1) og bundet av databehandleravtale (DPA).
🚨 Hendelseshåndtering
Ved mistenkt datainnbrudd eller sikkerhetshendelse:
- Melding til berørte kunder innen 72 timer (GDPR art. 34)
- Varsling til Datatilsynet innen 72 timer (GDPR art. 33)
- Transparent rapport om hva som har skjedd, hvilke data som er berørt, og hvilke tiltak som iverksettes
Rapporter mistenkt hendelse eller sikkerhetsbrist: support@lexcodex.ai
📋 Dokumentasjon
- Personvernerklæring — fullstendig håndtering av personopplysninger
- Databehandleravtale (DPA) — etter GDPR art. 28
- Brukervilkår