Personvernerklæring for Lexolve KI-verktøy Låvli

Sist oppdatert 13. april 2026

1. Behandlingsansvarlig

Lexolve AS, org.nr. 918 567 852 Kongens gate 3, 0153 Oslo E-post: contact @ lexolve. com

Lexolve er behandlingsansvarlig for personopplysninger vi samler inn om deg som sluttbruker (identitetsdata, autentisering, tekniske logger). For virksomhetskunder som bruker Lexolve KI for sine ansatte, er virksomheten behandlingsansvarlig for data som legges inn i tjenesten. Forholdet mellom Lexolve og virksomheten reguleres i en egen databehandleravtale.

Lexolves databehandleravtale finner du her.

Denne personvernserklæringen gjelder behandlingen av persondata hvor

2. Hvilke personopplysninger vi behandler

Vi behandler følgende personopplysninger om deg som sluttbruker:

• Identitetsdata: Navn, e-postadresse, rolle/tilgangsnivå
• Autentiseringsdata: Innloggingsmetode (SSO/Entra ID), sesjonstokens, IP-adresse
• Interaksjonsdata: Brukerhenvendelser (chat-meldinger), KI-genererte svar, tidsstempel
• Tekniske data: Trafikkdata, nettlesertype, operasjonelle logger

Vi bruker ikke tredjeparts markedsføringscookies. Kun strengt nødvendige cookies for autentisering, sesjonshåndtering og sikkerhet (CSRF).

3. Formål og rettslig grunnlag

• Levering av tjenesten og innlogging, jf. GDPR art. 6 nr. 1 bokstav b (nødvendig for å oppfylle avtalen med deg)
• Automatisk logging for drift og sikkerhet, jf. GDPR art. 6 nr. 1 bokstav f (berettiget interesse i å sikre tjenestens stabilitet og sikkerhet)
• Kommunikasjon med deg om tjenesten, jf. GDPR art. 6 nr. 1 bokstav b (nødvendig for å oppfylle avtalen)
• Kvalitetsvurdering av chathistorikk for å forbedre juridisk KI (forskningsprosjekt med SINTEF, støttet av Norges forskningsråd – se punkt 5 for detaljer) jf. GDPR art. 6 nr. 1 bokstav f, jf. art. 89 og personopplysningsloven § 8 (berettiget interesse i forskning og kvalitetssikring)
• Statistikk og innsikt (anonymisert) jf. Ikke personopplysninger etter anonymisering

4. Særlig om bruk av KI-tjenester

Anthropic (Claude)

Lexolve KI benytter Anthropics Claude-modell som en del av tjenesten. Modellene kjøres via Vertex AI i Google Cloud, slik at all KI-prosessering skjer innenfor EU/EØS. Anthropic opptrer som underdatabehandler under Lexolves enterprise-avtale:

• Data forblir i Lexolves isolerte miljø
• Ingen bruk av dine data til trening av KI-modeller
• Behandling skjer kun etter Lexolves instrukser
• Modellene kjøres via Vertex AI i Google Cloud, region Belgia (europe-west1)
• All KI-prosessering skjer innenfor EU/EØS

5. Bruk av data til forskningsformål

Lexolve gjennomfører et forskningsprosjekt sammen med SINTEF AS, støttet av Norges forskningsråd (prosjektperiode 1. september 2025 – 1. september 2027). Formålet er å utvikle metoder for kvalitetssikret juridisk KI for SMB-markedet, blant annet gjennom conformal prediction, kildevalidering og menneskelig tilsyn.

Hva behandlingen innebærer: Navngitte forskere hos Lexolve og SINTEF gjennomgår chathistorikk for å evaluere juridisk presisjon i KI-agentens svar og utvikle bedre metoder for kvalitetssikring. Reelle brukerinteraksjoner er nødvendig fordi syntetiske data ikke fanger bredden og kompleksiteten i faktiske juridiske spørsmål.

Rettslig grunnlag: GDPR art. 6 nr. 1 bokstav f (berettiget interesse), jf. GDPR art. 89 og personopplysningsloven § 8 om behandling for forskningsformål. Lexolve har gjennomført en skriftlig interesseavveining.

Garantier:

• Kun navngitte forskere hos Lexolve og SINTEF har tilgang. Alle har signert taushetserklæring.
• All tilgang logges med tidspunkt og brukeridentitet.
• Data minimeres – tekniske metadata og autentiseringsdata inngår ikke i forskningsgjennomgangen.
• Ved uttak til forskningspublikasjoner anonymiseres personopplysninger.
• Data fra saker som eskaleres til advokat holdes teknisk adskilt og gjøres kun tilgjengelig for forskere dersom brukeren har gitt eksplisitt fritak fra advokattaushet.
• Chathistorikk til forskningsformål slettes senest 1. mars 2028 (6 måneder etter prosjektets utløp).
• Interesseavveiningen gjennomgås årlig.

Din rett til å protestere: Du kan når som helst protestere mot at dine data brukes til forskning, jf. GDPR art. 21. Send en henvendelse til [email protected], så ekskluderes dine data fra forskningsgjennomgangen. Du kan fortsette å bruke tjenesten som normalt.

Etter prosjektperioden: Videre bruk av data til forsknings- eller forbedringsformål etter 1. september 2027 krever samtykke fra den registrerte (GDPR art. 6 nr. 1 bokstav a). Berettiget interesse benyttes kun i den avgrensede forskningsperioden.

6. Ditt ansvar som bruker

Når du bruker Lexolve KI til å behandle andres personopplysninger (f.eks. i dokumenter eller KI-funksjoner), er du selv – eller din arbeidsgiver – behandlingsansvarlig for disse opplysningene. For å unngå unødvendig behandling av persondata anbefaler vi at spørsmål stilles uten identifiserende opplysninger om enkeltpersoner. Det innebærer at du bør:

• Stille spørsmål på generelt grunnlag uten identifiserende opplysninger om enkeltpersoner
• Vurdere om opplysningene er egnet for KI-behandling
• Verifisere nøyaktigheten av KI-generert innhold, inkludert juridiske vurderinger, lovhenvisninger, datoer og frister

6. Mottakere av personopplysninger

Personopplysningene dine kan deles med følgende kategorier mottakere:

• Anthropic (via Vertex AI) – Underdatabehandler for KI-prosessering. Lokasjon: EU (Belgia).
• Google Cloud (GCP) – Databehandler for infrastruktur, database og Vertex AI. Lokasjon: Belgia (europe-west1).
• Cloudflare – Databehandler for sikkerhet, DDoS-beskyttelse og WAF. Lokasjon: EU-routing.
• LangChain (LangSmith) – Databehandler for teknisk overvåkning. Lokasjon: EU-instans.

Vi deler ikke personopplysninger med andre tredjeparter med mindre det er påkrevd ved lov.

7. Overføring til land utenfor EØS

Lexolve prioriterer europeisk infrastruktur. All data lagres og behandles innenfor EU/EØS. Hele plattformen kjører på Google Cloud i Belgia (europe-west1), inkludert KI-prosessering: Anthropics modeller kjøres via Vertex AI i samme region. Cloudflare benyttes med EU-only routing. Ingen personopplysninger overføres til land utenfor EØS.

8. Tekniske og organisatoriske sikkerhetstiltak

• All trafikk filtreres gjennom Cloudflare for DDoS-beskyttelse og Web Application Firewall (WAF)
• Kryptering: Alle data lagres kryptert (at rest) og all dataoverføring er kryptert med SSL/TLS (in transit)
• Tilgangskontroll: MFA/SSO, prinsippet om minste privilegium (Principle of Least Privilege)
• Tenant-segregering: Hver kundes data er logisk adskilt fra andre kunders data
• Ingen tredjeparts markedsføringscookies – kun nødvendige cookies for autentisering og sikkerhet
• Operasjonelle logger slettes automatisk etter 30 dager
• Nødbrems (Kill Switch): Umiddelbar deaktivering av KI-agenten ved behov
• Rate Limiting: Tekniske begrensninger på antall meldinger per bruker for å hindre misbruk
• Alle ansatte som behandler personopplysninger har signert konfidensialitetsavtale

9. Håndtering av personvernbrudd

Lexolve har etablerte rutiner for håndtering av personvernbrudd basert på EDPB Guidelines 9/2022. Ved mistanke om eller oppdaget brudd på personopplysningssikkerheten følger vi en strukturert prosess:

• Risikovurdering – automatisk beregning av alvorlighetsgrad for å avgjøre om bruddet skal meldes til Datatilsynet
• Melding til Datatilsynet – ferdig utfylt meldingsskjema i henhold til GDPR art. 33, klar til innsending innen 72-timersfristen
• Internlogg – alle brudd dokumenteres, også de som ikke meldes, jf. GDPR art. 33(5), med tidsstempel, begrunnelse og tiltak
• Varsling av berørte – ved høy risiko for de registrertes rettigheter og friheter varsles de berørte i henhold til GDPR art. 34

Lexolve har utviklet et eget digitalt verktøy for personvernbrudd (databrudd.lexolve.com) som støtter hele prosessen fra oppdagelse til arkivering. For virksomhetskunder vil eventuelle brudd også varsles i henhold til databehandleravtalen.

10. Lagring og sletting

• Chat-data (samtalehistorikk): 30 dager (standard).
• Operasjonelle logger: 30 dager.
• Brukerdata (identitet, interaksjoner): Så lenge avtalen består. Konfigurerbar via admin-panel.
• Autentiseringsdata (sesjoner): Sesjonsvarighet. Ikke konfigurerbar.
• Anonymisert statistikk: Ubegrenset. Ikke relevant (ikke PII).

Virksomhetskunder kan selv konfigurere lagringstid og initiere sletting via administrasjonspanelet. Ved opphør av avtalen slettes alle personopplysninger innen 30 dager, med mindre lovpålagt oppbevaringsplikt krever noe annet.

11. Rettigheter for registrerte

Lexolve KI er en B2B-tjeneste. Dersom du benytter tjenesten gjennom din arbeidsgiver, er det din arbeidsgiver som er behandlingsansvarlig for personopplysninger som legges inn i tjenesten. Henvendelser om innsyn, retting, sletting, begrensning, dataportabilitet eller protest (GDPR art. 15–21) rettes til din arbeidsgiver.

Lexolve bistår virksomhetskunder med å oppfylle sine forpliktelser overfor de registrerte i henhold til databehandleravtalen, herunder:

• Tilrettelegging for innsyn, retting og sletting av data i tjenesten
• Eksport av data i strukturert format ved forespørsel
• Sletting av alle data ved opphør av avtaleforholdet

For individuelle brukere som ikke benytter tjenesten gjennom en virksomhet, kan henvendelser om personvern rettes direkte til [email protected]. Vi svarer innen 30 dager.

12. Klage til tilsynsmyndighet

Dersom du mener at vi behandler personopplysninger i strid med regelverket, kan du klage til:

Datatilsynet Postboks 458 Sentrum, 0105 Oslo datatilsynet.no

13. Endringer i denne erklæringen

Vi kan oppdatere denne personvernerklæringen ved endringer i tjenesten eller regelverket. Vesentlige endringer vil bli varslet via tjenesten eller per e-post.