Dataskydd & Förtroende
Konfidentialitet är inte en funktion — det är grundprincipen.
LexCodex.ai är utvecklat för jurister, inhouse-team och företagsledning som arbetar med sekretessbelagt material. Den här sidan beskriver exakt vad som händer med din data, vilka rättigheter du har, och hur du själv kontrollerar dem.
Sammanfattning: Ditt material sparas aldrig på våra servrar efter analys. Det används aldrig för AI-träning. Du kan radera ditt konto och all data när som helst — direkt, utan att kontakta oss.
EU AI Act: LexCodex är klassificerad som limited-risk-system enligt Art. 6 (ej Annex III). Uppfyller Art. 50 transparenskrav: användare informeras om AI-interaktion, output märks som AI-genererad.
🛡 Säkerhetstestning: Säkerhetstestad mot OWASP Top 10 (intern Tier 1-genomgång 2026-05-03 — Mozilla Observatory B+, 0 critical/high). Akademisk säkerhetsgranskning genomförd Q2 2026. Extern penetrationstest kan arrangeras på begäran för företagskunder.
📊 Så flödar din data
Varje analys följer samma väg — inget steg avviker, inget material sparas mellanliggande:
- Du skriver eller laddar upp text i webbläsaren — överförs via TLS / HTTPS
- LexCodex.ai-server i EU-datacenter — ditt material lagras inte på disk eller i cache
- AI-leverantörens API — zero data retention, EU-routing, ingen modellträning på dina data
- Svaret skickas tillbaka till dig
- Analysen försvinner från minnet efter svaret — endast din plan, användarnamn och räknare sparas
🗂 Vad vi sparar — och hur länge
| Datatyp | Var | Hur länge |
|---|---|---|
| Avtalstext / juridiskt innehåll | — | Sparas inte |
| AI-analyssvar | — | Sparas inte |
| Kontouppgifter (namn, e-post, org.) | MySQL i Sverige | Tills du raderar kontot |
| Hashat lösenord (bcrypt) | MySQL i Sverige | Tills du raderar kontot |
| Användningsräknare (antal analyser) | MySQL i Sverige | Nollställs månadsvis |
| Delade analyser (via delningslänk) | MySQL i Sverige | Max 7 dagar, sedan raderas automatiskt |
| Bevakningsprofiler (Watch) | MySQL i Sverige | Tills du tar bort dem |
| Feedback du lämnat | MySQL i Sverige | Tills du raderar kontot |
| Säkerhetsloggar (inloggningsförsök, IP) | MySQL i Sverige | Rullande 1 h (rate-limit), 15 min (låsning) |
| Serverloggar (access/error) | Server i Sverige | 30 dagar |
⚖️ Dina GDPR-rättigheter — direkt i kontot
Enligt GDPR har du flera rättigheter. De flesta kan du använda själv utan att kontakta oss:
| Rättighet | Hur |
|---|---|
| Art. 15 — Rätt till insyn | Knappen "Ladda ner min data" på /account — JSON-fil med all din lagrade data |
| Art. 16 — Rättelse | Mejla support@lexcodex.ai |
| Art. 17 — Radering ("rätten att bli glömd") | Knappen "Radera mitt konto" på /account — tar bort allt direkt |
| Art. 18 — Begränsning | Kontakta support@lexcodex.ai |
| Art. 20 — Dataportabilitet | Samma knapp på /account — maskinläsbar JSON |
| Art. 21 — Invändning | Kontakta support@lexcodex.ai |
Du har också rätt att klaga till IMY — Integritetsskyddsmyndigheten.
🛡 Zero Data Retention — AI-miljön
- Ingen lagring efter analys: Avtalstexter, frågor och AI-svar existerar bara i minnet under själva anropet — ingen skrivning till disk, ingen cachning.
- AI-leverantör: AI-leverantören via API. AI-leverantören är SOC 2 Type II, ISO 27001, ISO 42001, HIPAA-certifierade.
- Ingen modellträning: Enligt AI-leverantörens avtal används API-trafik inte för att träna modeller.
- EU-routing: API-anrop går via AI-leverantörens EU-infrastruktur där det är möjligt.
- Per-förfrågan-isolering: Varje anrop är helt oberoende — ingen kontext delas mellan användare eller sessioner.
🚫 Vad vi aldrig gör
- Säljer eller delar dina uppgifter med tredje part för marknadsföring
- Använder dina avtal eller analyser för AI-träning — varken hos oss eller AI-leverantören
- Lagrar dina avtal efter att analysen är klar
- Delar din data mellan användare, även inom samma organisation (utan ditt val)
- Skickar spam eller nyhetsbrev utan ditt uttryckliga samtycke
🔐 Teknisk säkerhet
- TLS / HTTPS: All trafik krypteras i transit. HSTS med preload.
- CSP (Content Security Policy): Aktiv policy mot XSS och datainjektion.
- CSRF-skydd: Alla känsliga anrop kräver sessionsbunden token.
- Bcrypt-hashade lösenord: Klartext sparas aldrig — inte ens vid registrering.
- MFA / TOTP: Tvåfaktorsautentisering stöds (Google Authenticator, Authy, 1Password).
- Brute force-skydd: Automatisk kontolåsning efter 5 felaktiga försök i 15 minuter.
- Rate limiting: Alla känsliga endpoints är hastighetsbegränsade per IP.
- Session-invalidering: Alla aktiva sessioner termineras vid lösenordsbyte.
- Spam-skydd: tredjeparts anti-bot-tjänst + honeypot + heuristik mot automatiserad registrering.
- Regelbundna säkerhetsgranskningar: Internt P0–P3-klassificerat audit-system.
🧩 Underleverantörer
Vi anlitar certifierade tredjepartsleverantörer för AI-analys, hosting, betalning och spam-skydd. Samtliga är certifierade enligt branschstandarder (SOC 2 Type II, ISO 27001, PCI DSS Level 1) och bundna av databehandlaravtal (DPA).
🚨 Incidenthantering
Vid misstänkt dataintrång eller säkerhetsincident:
- Meddelande till drabbade kunder inom 72 timmar (GDPR art. 34)
- Notifiering till IMY inom 72 timmar (GDPR art. 33)
- Transparent rapport om vad som hänt, vilken data som påverkats, och vilka åtgärder som vidtas
Rapportera misstänkt incident eller säkerhetsbrist: support@lexcodex.ai
📋 Dokumentation
- Integritetspolicy — fullständig personuppgiftshantering
- Personuppgiftsbiträdesavtal (DPA) — enligt GDPR art. 28
- Användarvillkor