Personvern & tillit
Konfidensialitet er ikke en funksjon — det er grunnprinsippet.
LexCodex.ai er utviklet for advokater, in-house team og ledelse som arbeider med taushetsbelagt materiale. Denne siden beskriver nøyaktig hva som skjer med dataene dine, hvilke rettigheter du har, og hvordan du selv kontrollerer dem.
Sammendrag: Materialet ditt lagres aldri på serverne våre etter analysen. Det brukes aldri til AI-trening. Du kan slette kontoen din og alle data når som helst — direkte, uten å kontakte oss.
Sammenligner du juridiske AI-plattformer? Les hvorfor LexCodex er det nordiske valget →
📊 Slik flyter dataene dine
Hver analyse følger samme vei — ingen steg avviker, intet materiale lagres underveis:
1. Du skriver/laster opp tekst i nettleseren
│
▼ (TLS 1.3, HTTPS)
2. LexCodex.ai-server i Sverige (Easywebbhotell)
│
│ ◄── Ingen lagring av materialet ditt
▼
3. Anthropic (zero data retention, EU-routing)
│
│ ◄── Ingen modelltrening på dataene dine
▼
4. Svaret sendes tilbake til deg
│
▼
5. Analysen forsvinner fra minnet etter svaret
(Bare planen din, brukernavn og teller lagres)
🗂 Hva vi lagrer — og hvor lenge
| Datatype | Hvor | Hvor lenge |
|---|---|---|
| Avtaletekst / juridisk innhold | — | Lagres ikke |
| AI-analysesvar | — | Lagres ikke |
| Kontoopplysninger (navn, e-post, org.) | MySQL i Sverige | Til du sletter kontoen |
| Hashet passord (bcrypt) | MySQL i Sverige | Til du sletter kontoen |
| Bruksteller (antall analyser) | MySQL i Sverige | Nullstilles månedlig |
| Delte analyser (via delelenke) | MySQL i Sverige | Maks 7 dager, slettes så automatisk |
| Overvåkningsprofiler (Watch) | MySQL i Sverige | Til du fjerner dem |
| Tilbakemelding du har gitt | MySQL i Sverige | Til du sletter kontoen |
| Sikkerhetslogger (innloggingsforsøk, IP) | MySQL i Sverige | Rullende 1 t (rate-limit), 15 min (lockout) |
| Serverlogger (access/error) | Server i Sverige | 30 dager |
⚖️ Dine GDPR-rettigheter — direkte i kontoen
Etter GDPR har du flere rettigheter. De fleste kan du bruke selv uten å kontakte oss:
| Rettighet | Hvordan |
|---|---|
| Art. 15 — Rett til innsyn | Knappen "Last ned mine data" på /no/konto — JSON-fil med alle lagrede data |
| Art. 16 — Retting | E-post support@lexcodex.ai |
| Art. 17 — Sletting ("retten til å bli glemt") | Knappen "Slett kontoen min" på /no/konto — fjerner alt umiddelbart |
| Art. 18 — Begrensning | Kontakt support@lexcodex.ai |
| Art. 20 — Dataportabilitet | Samme knapp på /no/konto — maskinlesbar JSON |
| Art. 21 — Innsigelse | Kontakt support@lexcodex.ai |
Du har også rett til å klage til Datatilsynet.
🛡 Zero Data Retention — AI-miljøet
- Ingen lagring etter analyse: Avtaletekster, spørsmål og AI-svar eksisterer kun i minnet under selve anropet — ingen skriving til disk, ingen caching.
- AI-leverandør: Anthropic via API. Anthropic er SOC 2 Type II, ISO 27001, ISO 42001, HIPAA-sertifisert.
- Ingen modelltrening: Etter Anthropics avtale brukes API-trafikk ikke til å trene modeller.
- EU-routing: API-anrop går via Anthropics EU-infrastruktur der det er mulig.
- Per-forespørsel-isolasjon: Hvert anrop er helt uavhengig — ingen kontekst deles mellom brukere eller sesjoner.
🚫 Hva vi aldri gjør
- Selger eller deler opplysningene dine med tredjepart for markedsføring
- Bruker avtalene eller analysene dine til AI-trening — verken hos oss eller Anthropic
- Lagrer avtalene dine etter at analysen er ferdig
- Deler dataene dine mellom brukere, selv innen samme organisasjon (uten ditt valg)
- Sender spam eller nyhetsbrev uten ditt uttrykkelige samtykke
🔐 Teknisk sikkerhet
- TLS 1.3 / HTTPS: All trafikk krypteres i transitt. HSTS med preload.
- CSP (Content Security Policy): Aktiv policy mot XSS og datainjeksjon.
- CSRF-beskyttelse: Alle sensitive anrop krever sesjonsbundet token.
- Bcrypt-hashede passord: Klartekst lagres aldri — ikke engang ved registrering.
- MFA / TOTP: Tofaktorautentisering støttes (Google Authenticator, Authy, 1Password).
- Brute force-beskyttelse: Automatisk kontolåsing etter 5 feilaktige forsøk i 15 minutter.
- Rate limiting: Alle sensitive endepunkter er hastighetsbegrenset per IP.
- Sesjonsugyldiggjøring: Alle aktive sesjoner avsluttes ved passordbytte.
- Spam-beskyttelse: reCAPTCHA v3 + honeypot + heuristikk mot automatisert registrering.
- Regelmessige sikkerhetsgjennomganger: Internt P0–P3-klassifisert audit-system.
🧩 Underleverandører (sub-processors)
Vi benytter følgende tredjepartsleverandører for å drive tjenesten. Alle er sertifisert for sine respektive funksjoner:
| Leverandør | Funksjon | Sted | Sertifisering |
|---|---|---|---|
| Anthropic | AI-analyse (Claude) | USA / EU (routing) | SOC 2 Type II, ISO 27001, ISO 42001, HIPAA |
| Easywebbhotell | Hosting (server + DB) | Sverige | GDPR-kompatibelt, svensk/EU-jurisdiksjon |
| Stripe | Betaling | EU / USA | PCI DSS Level 1 |
| Google reCAPTCHA | Spam-beskyttelse ved registrering | EU / USA | ISO 27001, 27017, 27018 |
Merk: LexCodex.ai er ikke selv ISO 27001-sertifisert. Tjenesten bygger på standardisert webteknologi og tredjepartssertifiserte leverandører for kritiske funksjoner. For bedriftskunder med strenge krav tilbyr vi DPA, utvidet dokumentasjon og Enterprise-plan.
🚨 Hendelseshåndtering
Ved mistenkt datainnbrudd eller sikkerhetshendelse:
- Melding til berørte kunder innen 72 timer (GDPR art. 34)
- Varsling til Datatilsynet innen 72 timer (GDPR art. 33)
- Transparent rapport om hva som har skjedd, hvilke data som er berørt, og hvilke tiltak som iverksettes
Rapporter mistenkt hendelse eller sikkerhetsbrist: support@lexcodex.ai
📋 Dokumentasjon
- Personvernerklæring — fullstendig håndtering av personopplysninger
- Databehandleravtale (DPA) — etter GDPR art. 28
- Security Whitepaper — teknisk oversikt (arkitektur, dataflyt)
- Brukervilkår