Zero Data Retention för advokater — vad det faktiskt betyder

Publicerad 4 maj 2026 · 6 minuters läsning · Av GD · LexCodex

När en advokat skickar in en sekretessbelagd avtalstext till en AI-tjänst är två frågor avgörande. Lagras texten någonstans, och kan den användas för att träna framtida modeller? Är svaret oklart är tjänsten i praktiken oanvändbar för klientarbete.

Zero Data Retention (ZDR) är benämningen på det åtagande som adresserar båda frågorna. Termen används dock med olika innebörd hos olika leverantörer. Den här texten beskriver vad ZDR faktiskt innebär hos LexCodex, på vilka lager det gäller, och var gränserna går.

Två lager retention

Ett dokument som du laddar upp passerar två system. Båda har egna retention-regler.

Lager 1

LLM-leverantören

LexCodex använder en LLM-motor från en leverantör som är certifierad enligt SOC 2 Type II och ISO 27001. När text skickas dit processas den av leverantörens infrastruktur. Leverantören erbjuder ett enterprise-villkor som heter Zero Data Retention: input och output sparas inte efter att svaret returnerats. Inga loggar, ingen cache, ingen användning för modellträning.

Villkoret är publikt dokumenterat i leverantörens commercial terms och data processing addendum. För affärspartners aktiveras ZDR via enterprise-kontrakt. På det publika konsument-API:et är det inte aktivt som default.

Lager 2

LexCodex egen infrastruktur

När LLM-leverantören har genererat svaret landar det hos LexCodex. Här gäller vår egen policy: uppladdade dokument och AI-svar lagras inte efter att analysen är klar. När du stänger fliken är datat borta. Det finns inga loggar med dokumentinnehåll, ingen backup av analyser, inga arkiv.

Det vi sparar är sessionsmetadata: vem som var inloggad, vilket verktyg som användes, hur långt anropet var. Det används för rate limiting och debugging. Inget innehåll, inga citat, inga slutsatser.

Vad det betyder konkret

För dig som advokat eller in-house-jurist:

Sekretessbelagda dokument kan analyseras utan att de blir kvar någonstans efter att fliken stängs. Det gäller både hos LLM-leverantören (via ZDR-avtal) och hos LexCodex (via no-store-design).
Klientavtal med konfidentialitetsklausuler är hanterbara eftersom ingen tredje part arkiverar materialet. Spårbarheten är dokumenterad i vår DPA.
GDPR-kravet på dataminimering (Art. 5.1.c) uppfylls i designen snarare än genom processuella rutiner. Det går inte att minimera data som aldrig sparas.
Rätten att bli glömd (Art. 17) är trivial. Det finns inget att radera.

Vanlig missuppfattning

"Leverantören tränar inte på mina data" är inte samma sak som ZDR. Många konsument-AI-tjänster har ett "ingen träning"-villkor men sparar ändå input och output i flera dagar för kvalitetsövervakning eller abuse detection. För klientmaterial där sekretessen är central räcker det inte.

Skillnaden i klartext:

"Vi tränar inte på dina data" innebär att dokumentet inte hamnar i nästa modellversion. Det kan ändå lagras i timmar, dagar eller veckor på leverantörens servrar.
Zero Data Retention innebär att dokumentet försvinner från leverantörens infrastruktur när svaret har returnerats. Ingen mellanlagring.

Frågor att ställa till en AI-leverantör

Innan du gör en AI-tjänst till en del av byråns arbetsflöde är det rimligt att fråga:

Har ni ZDR-villkor från den underliggande LLM-leverantören? Är det aktivt på vårt konto?
Hur länge sparas request och response på er sida innan radering?
Finns backup eller arkivering av användardata? Hur länge?
Vilka loggar behålls? Innehåller de innehåll eller bara metadata?
Kan ni signera DPA enligt GDPR Art. 28?

För LexCodex är svaren publika i vår DPA. Du behöver inte fråga, du kan läsa innan du registrerar konto.

Läs vidare

Hur LexCodex undviker hallucinationer · EU AI Act för jurister

Säkerhet & Trust → Tillbaka till blogg