Vilkår, personvern og sikkerhet

1. Om tjenesten

Lexera er en skybasert plattform for KI-styring levert av Lexera AS, med hovedkontor i Norge. Plattformen hjelper organisasjoner med å kartlegge, risikovurdere og styre bruken av KI-verktøy i henhold til GDPR og EU AI Act.

Ved å opprette en konto eller bruke plattformen aksepterer du disse vilkårene. Hvis du bruker Lexera på vegne av en organisasjon, bekrefter du at du har myndighet til å binde organisasjonen til disse vilkårene.

2. Brukerkontoer

Tilgang til Lexera krever en brukerkonto opprettet av en administrator i din organisasjon, eller via innlogging med Microsoft Entra ID eller Google. Du er ansvarlig for å holde påloggingsinformasjonen din konfidensiell.

Administratorer i din organisasjon kan tildele roller og tilganger som bestemmer hvilke funksjoner du har tilgang til. Lexera tilbyr rollebasert tilgangskontroll med over 40 granulære tillatelser.

3. Akseptabel bruk

Du samtykker i å bruke Lexera i samsvar med gjeldende lover og disse vilkårene. Du skal ikke:

• Forsøke å få uautorisert tilgang til andre kontoer eller systemer
• Bruke plattformen til å lagre eller behandle sensitive personopplysninger utover det som er nødvendig for risikovurderinger
• Automatisere tilgang til plattformen uten skriftlig samtykke fra Lexera
• Dekompilere, reversere eller kopiere noen del av plattformen

4. Dataeierskap

Din organisasjon eier alle data som legges inn i Lexera, inkludert risikovurderinger, verktøybeskrivelser, opplæringsresultater og konfigurasjoner. Lexera behandler disse dataene som databehandler på vegne av din organisasjon.

Ved opphør av avtalen kan din organisasjon be om en komplett dataeksport. Data slettes fra våre systemer innen 90 dager etter oppsigelse, med unntak av det som kreves av lovpålagt oppbevaringsplikt.

5. Tilgjengelighet og ansvar

Vi tilstreber høy tilgjengelighet, men garanterer ikke uavbrutt tilgang. Planlagt vedlikehold varsles på forhånd. Lexera er ikke ansvarlig for indirekte tap, tapt fortjeneste eller konsekvenstap som følge av bruk eller manglende tilgang til plattformen.

Lexera erstatter ikke juridisk rådgivning. Risikovurderinger og samsvarsskårer er veiledende verktøy og utgjør ikke juridisk vurdering. Din organisasjon er ansvarlig for endelige beslutninger om KI-styring.

6. Oppsigelse

Organisasjoner kan si opp sitt abonnement når som helst. Tilgang opphører ved utløp av gjeldende faktureringsperiode. Lexera kan suspendere eller avslutte kontoer ved brudd på disse vilkårene, med rimelig varsel.

Ved oppsigelse beholder du rett til dataeksport i 30 dager. Etter dette slettes alle organisasjonsdata permanent fra våre systemer.

7. Lovvalg

Disse vilkårene er underlagt norsk lov. Eventuelle tvister skal løses ved Oslo tingrett som verneting.

1. Behandlingsansvarlig

Lexera AS er behandlingsansvarlig for personopplysninger som samles inn via lexera.no og Lexera-plattformen. Når Lexera brukes av en organisasjon, opptrer Lexera AS som databehandler på vegne av organisasjonen (behandlingsansvarlig).

For spørsmål om personvern, kontakt oss på support@lexera.no.

2. Hvilke opplysninger vi samler inn

Vi samler inn følgende personopplysninger for å levere tjenesten:

• Navn og e-postadresse (ved kontoopprettelse eller OAuth-innlogging)
• Organisasjonstilhørighet, avdeling og rolle
• Profilbilde (fra Google/Microsoft-konto, eller opplastet)
• Aktivitetslogg: risikovurderinger, godkjenninger, opplæringsfremdrift, verktøytilganger
• Teknisk informasjon: IP-adresse, nettlesertype og innloggingstidspunkt (i logger)

3. Rettslig grunnlag

Vi behandler personopplysninger basert på følgende grunnlag:

• Avtale – behandling som er nødvendig for å oppfylle avtalen om bruk av plattformen (GDPR art. 6(1)(b))
• Berettiget interesse – sikkerhetslogging, feilsøking og produktforbedring (GDPR art. 6(1)(f))
• Rettslig forpliktelse – oppbevaring av revisjonslogger som påkrevd av tilsynsmyndigheter (GDPR art. 6(1)(c))

4. Underdatabehandlere

Vi bruker følgende tredjeparter for å levere tjenesten:

• Microsoft Azure – skyinfrastruktur, database og hemmelighetsforvaltning (EU/EØS-region)
• Google Identity Services – autentisering via Google-konto (kun ved bruk av Google-innlogging)
• Microsoft Entra ID – autentisering via bedriftskonto (kun ved bruk av Microsoft-innlogging)
• Anthropic (Claude API) – KI-assistanse i risikovurderinger og DPA-analyse (USA, med EU Standard Contractual Clauses og databehandleravtale). Data brukes ikke til modellopplæring.

Alle underdatabehandlere er bundet av databehandleravtaler som sikrer behandling i henhold til GDPR. For overføring til USA benyttes EUs standardkontraktsklausuler (SCCs) som overføringsgrunnlag.

5. Oppbevaring

Personopplysninger oppbevares så lenge din organisasjon har en aktiv avtale med Lexera. Ved oppsigelse slettes data innen 90 dager, med unntak av revisjonslogger som kan oppbevares i opptil 3 år i henhold til lovkrav.

Automatiske databasesikkerhetskopier oppbevares i opptil 35 dager og slettes deretter automatisk.

6. Dine rettigheter

I henhold til GDPR har du følgende rettigheter:

• Innsyn – be om kopi av dine personopplysninger
• Retting – be om korrigering av uriktige opplysninger
• Sletting – be om sletting av dine opplysninger (med forbehold om lovpålagt oppbevaring)
• Dataportabilitet – motta dine data i et strukturert, maskinlesbart format
• Klage – du kan klage til Datatilsynet dersom du mener dine rettigheter ikke er ivaretatt

For å utøve dine rettigheter, kontakt din organisasjonsadministrator eller send e-post til support@lexera.no.

7. Informasjonskapsler

Lexera bruker kun nødvendige informasjonskapsler for å sikre funksjonalitet:

• Sesjonskapsel – JWT-basert autentiseringstoken (HTTPOnly, Secure)
• Organisasjonsvalg – midlertidig kapsel for bytte mellom organisasjoner
• Temavalg – lagrer preferanse for lyst/mørkt tema (localStorage, ikke kapsel)

Vi bruker ikke analyse- eller sporingskapsler. Ingen data deles med annonsenettverk.

8. Endringer

Vi kan oppdatere denne personvernerklæringen ved behov. Vesentlige endringer varsles til organisasjonsadministratorer via e-post og i plattformen. Dato for siste oppdatering vises alltid øverst på denne siden.

1. Infrastruktur

Lexera kjører på Microsoft Azure med databehandling i EU/EØS-regionen:

• Azure App Service med dedikerte ressurser og automatisk skalering
• Azure Database for PostgreSQL med automatisk kryptering og daglige sikkerhetskopier
• Azure Key Vault for hemmelighetsforvaltning (API-nøkler, databasetilkoblinger, OAuth-hemmeligheter)
• Nettverksisolasjon med brannmurregler og VNet-integrasjon

2. Autentisering og tilgangskontroll

Vi bruker flere lag med autentisering og autorisering:

• OAuth 2.0 med Microsoft Entra ID og Google for bedriftsinnlogging
• Passord hashes med bcrypt (ved bruk av e-post/passord-innlogging)
• JWT-baserte sesjoner med HTTPOnly og Secure-flagg
• Rollebasert tilgangskontroll (RBAC) med over 30 granulære tillatelser

3. Kryptering

Alle data er kryptert både under overføring og ved lagring:

• TLS 1.2+ for all kommunikasjon mellom klient og server
• AES-256-kryptering av data i databasen (Azure-administrert)
• HTTPS påkrevd i alle miljøer – HTTP-forespørsler omdirigeres automatisk

4. Applikasjonssikkerhet

Vi følger OWASP-retningslinjer og implementerer flere beskyttelsesmekanismer:

• Content Security Policy (CSP) for å forhindre XSS-angrep
• CSRF-beskyttelse via autentiseringsrammeverket
• SQL-injeksjonsbeskyttelse gjennom parameteriserte spørringer (Prisma ORM)
• HTTP-sikkerhetsheadere: HSTS, X-Frame-Options, X-Content-Type-Options
• Hastighetsbegrensning på innloggingsforsøk for å forhindre brute force-angrep

5. Overvåking og revisjon

Vi overvåker plattformen kontinuerlig:

• Azure Application Insights for sanntidsovervåking og feilsporing
• Komplett revisjonslogg over alle brukerhandlinger (hvem, hva, når)
• Automatiske varsler ved uvanlig aktivitet eller feil

6. Hendelseshåndtering

Vi har etablerte prosedyrer for sikkerhetshendelser. Ved et bekreftet databrudd varsles berørte organisasjoner innen 72 timer i henhold til GDPR art. 33.

Hendelsesrapporter dokumenteres og gjennomgås for å forhindre gjentakelse. Vi gjennomfører jevnlige sikkerhetsgjennomganger av infrastruktur og applikasjonskode.

7. Ansvarlig rapportering

Finner du en sårbarhet i Lexera? Vi setter pris på ansvarlig rapportering. Send detaljer til support@lexera.no, og vi vil svare innen 48 timer. Vi ber om at du ikke offentliggjør sårbarheten før vi har hatt mulighet til å utbedre den.