Dataskydd & Förtroende
Konfidentialitet är inte en funktion — det är grundprincipen.
LexCodex.ai är utvecklat för jurister, inhouse-team och företagsledning som arbetar med sekretessbelagt material. Den här sidan beskriver exakt vad som händer med din data, vilka rättigheter du har, och hur du själv kontrollerar dem.
Sammanfattning: Ditt material sparas aldrig på våra servrar efter analys. Det används aldrig för AI-träning. Du kan radera ditt konto och all data när som helst — direkt, utan att kontakta oss.
📊 Så flödar din data
Varje analys följer samma väg — inget steg avviker, inget material sparas mellanliggande:
1. Du skriver/laddar upp text i webbläsaren
│
▼ (TLS 1.3, HTTPS)
2. LexCodex.ai-server i Sverige (Easywebbhotell)
│
│ ◄── Ingen lagring av ditt material
▼
3. Anthropic (zero data retention, EU-routing)
│
│ ◄── Ingen modellträning på dina data
▼
4. Svaret skickas tillbaka till dig
│
▼
5. Analysen försvinner från minnet efter svaret
(Endast din plan, användarnamn och räknare sparas)
🗂 Vad vi sparar — och hur länge
| Datatyp | Var | Hur länge |
|---|---|---|
| Avtalstext / juridiskt innehåll | — | Sparas inte |
| AI-analyssvar | — | Sparas inte |
| Kontouppgifter (namn, e-post, org.) | MySQL i Sverige | Tills du raderar kontot |
| Hashat lösenord (bcrypt) | MySQL i Sverige | Tills du raderar kontot |
| Användningsräknare (antal analyser) | MySQL i Sverige | Nollställs månadsvis |
| Delade analyser (via delningslänk) | MySQL i Sverige | Max 7 dagar, sedan raderas automatiskt |
| Bevakningsprofiler (Watch) | MySQL i Sverige | Tills du tar bort dem |
| Feedback du lämnat | MySQL i Sverige | Tills du raderar kontot |
| Säkerhetsloggar (inloggningsförsök, IP) | MySQL i Sverige | Rullande 1 h (rate-limit), 15 min (låsning) |
| Serverloggar (access/error) | Server i Sverige | 30 dagar |
⚖️ Dina GDPR-rättigheter — direkt i kontot
Enligt GDPR har du flera rättigheter. De flesta kan du använda själv utan att kontakta oss:
| Rättighet | Hur |
|---|---|
| Art. 15 — Rätt till insyn | Knappen "Ladda ner min data" på /account — JSON-fil med all din lagrade data |
| Art. 16 — Rättelse | Mejla support@lexcodex.ai |
| Art. 17 — Radering ("rätten att bli glömd") | Knappen "Radera mitt konto" på /account — tar bort allt direkt |
| Art. 18 — Begränsning | Kontakta support@lexcodex.ai |
| Art. 20 — Dataportabilitet | Samma knapp på /account — maskinläsbar JSON |
| Art. 21 — Invändning | Kontakta support@lexcodex.ai |
Du har också rätt att klaga till IMY — Integritetsskyddsmyndigheten.
🛡 Zero Data Retention — AI-miljön
- Ingen lagring efter analys: Avtalstexter, frågor och AI-svar existerar bara i minnet under själva anropet — ingen skrivning till disk, ingen cachning.
- AI-leverantör: Anthropic via API. Anthropic är SOC 2 Type II, ISO 27001, ISO 42001, HIPAA-certifierade.
- Ingen modellträning: Enligt Anthropics avtal används API-trafik inte för att träna modeller.
- EU-routing: API-anrop går via Anthropics EU-infrastruktur där det är möjligt.
- Per-förfrågan-isolering: Varje anrop är helt oberoende — ingen kontext delas mellan användare eller sessioner.
🚫 Vad vi aldrig gör
- Säljer eller delar dina uppgifter med tredje part för marknadsföring
- Använder dina avtal eller analyser för AI-träning — varken hos oss eller Anthropic
- Lagrar dina avtal efter att analysen är klar
- Delar din data mellan användare, även inom samma organisation (utan ditt val)
- Skickar spam eller nyhetsbrev utan ditt uttryckliga samtycke
🔐 Teknisk säkerhet
- TLS 1.3 / HTTPS: All trafik krypteras i transit. HSTS med preload.
- CSP (Content Security Policy): Aktiv policy mot XSS och datainjektion.
- CSRF-skydd: Alla känsliga anrop kräver sessionsbunden token.
- Bcrypt-hashade lösenord: Klartext sparas aldrig — inte ens vid registrering.
- MFA / TOTP: Tvåfaktorsautentisering stöds (Google Authenticator, Authy, 1Password).
- Brute force-skydd: Automatisk kontolåsning efter 5 felaktiga försök i 15 minuter.
- Rate limiting: Alla känsliga endpoints är hastighetsbegränsade per IP.
- Session-invalidering: Alla aktiva sessioner termineras vid lösenordsbyte.
- Spam-skydd: reCAPTCHA v3 + honeypot + heuristik mot automatiserad registrering.
- Regelbundna säkerhetsgranskningar: Internt P0–P3-klassificerat audit-system.
🧩 Underleverantörer (sub-processors)
Vi anlitar följande tredjepartsleverantörer för att driva tjänsten. Samtliga är certifierade för sina respektive funktioner:
| Leverantör | Funktion | Plats | Certifiering |
|---|---|---|---|
| Anthropic | AI-analys (Claude) | USA / EU (routing) | SOC 2 Type II, ISO 27001, ISO 42001, HIPAA |
| Easywebbhotell | Hosting (server + DB) | Sverige | GDPR-kompatibelt, svensk jurisdiktion |
| Stripe | Betalning | EU / USA | PCI DSS Level 1 |
| Google reCAPTCHA | Spam-skydd vid registrering | EU / USA | ISO 27001, 27017, 27018 |
Notera: LexCodex.ai är ej självt ISO 27001-certifierat. Tjänsten bygger på standardiserad webbteknik och tredjepartscertifierade leverantörer för kritiska funktioner. För företagskunder med strikta krav erbjuder vi DPA, utökad dokumentation och Enterprise-plan.
🚨 Incidenthantering
Vid misstänkt dataintrång eller säkerhetsincident:
- Meddelande till drabbade kunder inom 72 timmar (GDPR art. 34)
- Notifiering till IMY inom 72 timmar (GDPR art. 33)
- Transparent rapport om vad som hänt, vilken data som påverkats, och vilka åtgärder som vidtas
Rapportera misstänkt incident eller säkerhetsbrist: support@lexcodex.ai
📋 Dokumentation
- Integritetspolicy — fullständig personuppgiftshantering
- Personuppgiftsbiträdesavtal (DPA) — enligt GDPR art. 28
- Security Whitepaper — teknisk översikt (arkitektur, dataflöden)
- Användarvillkor