For advokat-segmentet
Sikkerhetsarkitektur · April 2026

Hvor lever dataene dine
når du bruker Nordivé?

Et kort, ærlig dokument om hvordan vi har bygget Nordivé. Hvor data passerer, hvor de stopper, og hva vi har gjort for at advokatsekretessen forblir intakt.

«Det enkleste sikkerhetsgrepet er å ikke ha dataene.»
Nordivé har ingen database for klient­e-poster. Innholdet passerer kun i transitt — fra Outlook/Gmail, gjennom AI-modellen, tilbake til deg. Vi kan ikke lekke det vi ikke lagrer.
Dokument-versjon 1.0 · 26. april 2026
For Advokat-tilknyttede behandlere
Utstedt av Nordivé Acquisition AS
Klassifisering Ekstern · Kan deles fritt
Sikkerhetsarkitektur
01

Arkitekturen i ett blikk

Hver komponent — fra advokatens skjerm til AI-en — har en spesifikk rolle og en kort levetid. Diagrammet under viser hver vei dataene tar.

ADVOKATENS ENHET EU-CLOUD (TRANSIT — INGEN LAGRING) EKSTERNE Browser / Outlook add-in Kjører Nordivé-frontenden React + TypeScript PKCE OAuth HTTPS only Lokal kryptert cache AI-analyser, AES-GCM 256-bit Nøkkel: PBKDF2 fra brukerens OID Ligger kun på advokatens egen maskin OAuth-tokens Access-token: 1 time Refresh-token: AES-GCM-kryptert ⚠ Slettes ved 8t inaktivitet + logout Frontend hostes på Vercel Statisk JS/HTML + strikt CSP-header Ingen runtime-tilgang til brukerdata 📍 EU edge Azure Functions (vår backend) Stateless — videresender kall til AI eller Microsoft Graph Ingen database 📍 Norway East AWS Bedrock — Claude Sonnet 4.6 EU-låst inferens Ingen treningsdata fra dine kall SOC 2 Type II 📍 Irland (eu-west-1) Det vi IKKE har: ✗ Database for e-postinnhold ✗ Logger med klientdata ✗ Persistente refresh-tokens ✗ Backup av brukerdata ✗ Treningsdata til AI-modeller ✗ Tredjeparts analytics-trackere Vi kan ikke lekke det vi ikke har. Microsoft 365 Outlook · Graph API DPA: signert 📍 EU-region Google Workspace Gmail API DPA: signert 📍 EU-region Anthropic Claude Sonnet 4.6 via AWS Bedrock 📍 EU (Irland) direkte e-post-fetch AI-prompt inferens

Hver pil viser én datavei. Boksene markert med stiplet kant er eksterne behandlere som du har egen DPA med (Microsoft, Google, AWS).

Nordivé Acquisition AS · 932 184 762 Side 2 av 7
Sikkerhetsarkitektur
02

Hva skjer når du analyserer en e-post?

Følg en enkelt e-post fra du klikker på den, til AI-svaret er ferdig — og hvor vi har null tilgang.

1
Bruker logger inn med Microsoft- eller Google-kontoPKCE OAuth Browser snakker direkte med Microsoft/Google. Vi får tilbake et access-token (varer 1 time) og et refresh-token som vi krypterer med AES-GCM 256 og lagrer kun på advokatens egen maskin. Refresh-tokenet brukes til stille fornying så advokaten slipper å logge inn på nytt hver time. Slettes automatisk ved 8 timer inaktivitet eller eksplisitt utlogging — utlogging revokerer i tillegg tokenet hos Microsoft/Google.
2
Browser henter e-post-listen direkte fra Microsoft Graph / Gmail APIdirekte E-post-innholdet går rett fra Microsoft/Google til advokatens browser. Backend-en vår er ikke involvert i det hele tatt.
3
Bruker åpner en e-post og ber om AI-analysebehandling starter Browser sender e-posttekst + en analysebestilling til vår Azure Function-backend. Datapakken er HTTPS-kryptert i transit.
4
Backend videresender til AWS Bedrock i Irland (eu-west-1)~3 sek AWS kjører Claude Sonnet 4.6, returnerer strukturert JSON (tags, sammendrag, frister, action points). Hverken AWS eller Anthropic bruker dataene til trening — kontraktsbundet i SLA.
5
Backend videresender JSON-svaret tilbake til browserstateless Backend logger ikke innholdet. Etter at responsen er sendt, har serveren null minne om at kallet skjedde — annet enn anonyme metrikker (responstid, status-kode).
6
Browser krypterer AI-analysen lokaltAES-GCM 256 Analysen lagres på advokatens egen maskin med en nøkkel utledet fra brukerens unike Microsoft/Google-OID. Selv om noen får tak i localStorage uten å ha brukerens identitet, kan de ikke dekryptere.

Hva betyr "stateless backend" i praksis?

Hvis vi blir kompromittert i dette øyeblikk og en angriper får full tilgang til vår Azure-backend, finner de null brukerdata. Ingen e-poster, ingen tokens som virker (alle utløper på 1 time), ingen analyser. Det de finner er kildekoden vår — som likevel er offentlig vurderbar etter forespørsel.

Nordivé Acquisition AS · 932 184 762 Side 3 av 7
Sikkerhetsarkitektur
03

Hva vi har — og hva vi ikke har

Mange leverandører lover «vi tar sikkerhet på alvor» uten å spesifisere. Her er den ærlige versjonen for advokat-segmentet.

Tekniske grep vi har

  • HTTPS + TLS 1.3 overalt
  • OAuth 2.0 + PKCE — null passord lagret hos oss
  • EU-only AI-inferens via AWS Bedrock i Irland (eu-west-1) med EU-cross-region fail-over
  • AES-GCM 256-bit kryptert refresh-tokens og AI-cache
  • PBKDF2-utledet nøkkel fra brukerens stabile OID
  • Strikt Content-Security-Policy — blokkerer eksterne scripts og iframes
  • X-Content-Type-Options + Permissions-Policy headers satt
  • 1-times access-token + 90-dagers refresh-token
  • 8-timers idle-timeout — sletter alle tokens ved inaktivitet
  • Logout revokerer tokens hos Microsoft/Google
  • Ingen dangerouslySetInnerHTML — React JSX auto-escaper alt brukerinnhold
  • CORS-restriksjon til våre Vercel-domener
  • Innebygde Azure-secrets kryptert at-rest

Det vi ikke har — bevisst

  • Database for e-postinnhold
  • Logger med personidentifiserbare data
  • Refresh-tokens lagret server-side
  • Backup av analyser i vår infrastruktur
  • Treningsdata fra dine e-poster
  • Tredjeparts analytics-script (ingen Google Analytics, Hotjar, etc.)
  • Cookies på frontend-en (ren localStorage)
  • Mulighet til å lese mailen din når app er lukket
  • Inline JavaScript fra eksterne kilder (CSP blokkerer)

Compliance-rammeverk

  • GDPR — full implementasjon, signert DPA
  • Advokatforskriften § 4-12 om databehandling
  • NIS2 kompatibel arkitektur
  • Schrems II ivaretatt — ingen overføring til USA
  • Data Processing Agreement med Microsoft, Google, AWS
  • DPIA dokumentert og oppdatert ved arkitekturendring

Sertifiseringer hos leverandørene

  • AWS Bedrock: SOC 2 Type II · ISO 27001 · GDPR-kompatibel
  • Microsoft Azure: SOC 2 · ISO 27001 · ISO 27018 · NIS2
  • Microsoft Graph: signert DPA · EU-region tilgjengelig
  • Anthropic (via AWS): no-training-on-data, EU-locked
  • Vercel (frontend hosting): SOC 2 Type II · GDPR DPA
  • Nordivé som selskap: SOC 2 under planlegging
Nordivé Acquisition AS · 932 184 762 Side 4 av 7
Sikkerhetsarkitektur
04

Subprosessorer og tredjeparter

For å levere produktet bruker vi disse leverandørene. Hver har en spesifikk rolle — og lever helt eller hovedsakelig i EU.

Leverandør Tjeneste Hva de prosesserer Region DPA
Microsoft Azure Functions (vår backend) HTTP-trafikk, ingen lagring av brukerdata Norway East
Microsoft Microsoft Graph (Outlook-data) E-post — kunden eier EU
Google Gmail API E-post — kunden eier EU
AWS Bedrock (Claude Sonnet 4.6) E-post-innhold (kun i transit, ingen lagring) Irland (eu-west-1)
Anthropic AI-modell (via AWS Bedrock) E-post-innhold for inferens — kontraktsfestet ingen trening Irland (via AWS)
Vercel Statisk frontend-hosting HTML/JS-filer — ingen brukerdata EU edge

Hva betyr dette i praksis?

Når en advokat bruker Nordivé, har klientens data potensielt kontakt med disse leverandørene. Alle har signert databehandleravtaler (DPA-er) som forbyr bruk utenfor formålet, krever EU-region, og forplikter dem til umiddelbar varsling ved hendelse. Dette er den samme leverandørkjeden som mange advokat­firmaer allerede har via Office 365 — vi legger ikke på et nytt tillitslag, vi bruker det som allerede er der.

Undersøk selv
Microsoft: aka.ms/dpa · AWS: aws.amazon.com/compliance/eu-data-protection · Anthropic: anthropic.com/legal/aws-bedrock-amendment · Vercel: vercel.com/legal/dpa
Endringer
Vi varsler skriftlig 30 dager før vi legger til eller bytter en subprosessor. Du kan da ha rett til å si opp avtalen.
Nordivé Acquisition AS · 932 184 762 Side 5 av 7
Sikkerhetsarkitektur
05

Hva skjer hvis det skjer?

Selv med god arkitektur er ingenting 100% sikkert. Her er vår hendelsesplan.

Når Hva vi gjør Hva du gjør
0–2 timer
Hendelse oppdaget		 Slå av berørt komponent. Roter alle nøkler. Dokumenter omfang. Du varsles via e-post + telefon hvis vi har grunn til å tro din data er berørt.
2–24 timer
Vurdering		 Forensisk gjennomgang sammen med AWS/Microsoft. Klassifiser alvorlighetsgrad. Motta en foreløpig rapport (omfang, tidslinje, konkret risiko for din data).
24–72 timer
Varsling		 Datatilsynet varsles. Tilsynsrådet for advokatvirksomhet kontaktes hvis advokat-spesifikk hendelse. Motta full skriftlig rapport + anbefalte tiltak (varsle dine klienter? bytte passord?).
1–4 uker
Etterarbeid		 Rotårsaksanalyse. Forsikring engasjeres. Arkitekturen oppdateres. Motta endelig rapport + dokumentasjon for advokatklienter eller tilsynet.
06

Hvordan Nordivé sammenligner

ChatGPT direkte Lexolve / lignende Nordivé
Data-region USA hovedsakelig EU EU (Irland, eu-west-1)
Treningsdata Ja (med mindre opt-out) Nei Nei
E-post lagret server-side Logger 30+ dager Variere — sjekk DPA Nei — kun i transit
OAuth med PKCE Ikke relevant Variere Ja
Native Outlook-integrasjon Nei Vanligvis ikke Ja (sertifisert add-in)
Kostnad per advokat / mnd $20 (ChatGPT Plus) 2-3000 NOK 800-1500 NOK

Sammenligningen er Nordivés egen vurdering basert på offentlig tilgjengelig informasjon per april 2026. Vi oppfordrer deg til å verifisere selv hos hver leverandør.

Nordivé Acquisition AS · 932 184 762 Side 6 av 7
Sikkerhetsarkitektur
07

Hva vi forplikter oss til

Transparens
Vi publiserer arkitekturen vår og delene vi avhenger av. Hvis det endrer seg, varsler vi 30 dager i forveien.
Min-tilgang
Vi ber kun om OAuth-scopes vi faktisk trenger: Mail.Read, Mail.Send, Calendars.ReadWrite, offline_access.
Session-levetid
Access-token utløper hver time og fornyes stille i bakgrunnen. 8 timer uten aktivitet → automatisk utlogging, refresh-token slettes lokalt og revokeres hos Microsoft/Google. Maks 90 dager fra første pålogging.
Browser-sikkerhet
Strikt Content-Security-Policy blokkerer eksterne scripts og iframes. X-Content-Type-Options: nosniff hindrer MIME-spoofing. Permissions-Policy forbyr kamera/mikrofon/lokasjon (vi trenger det ikke). All AI-output rendres via React JSX — ingen dangerouslySetInnerHTML i hele kodebasen.
EU-only
All databehandling skjer innenfor EU/EØS. Hvis dette endrer seg, varsler vi 90 dager i forveien — du har da rett til å si opp.
No training
Klientdata brukes aldri til å trene AI-modeller. Dette er kontraktsfestet med Anthropic via AWS.
Sletting
Når du logger ut eller sletter kontoen din: localStorage tømmes, og alle eventuelle midlertidige logger hos oss slettes innen 30 dager.
Penetrasjonstest
Vi gjennomfører ekstern pen-test før første betalende advokat-kunde. Rapporten kan deles under NDA.
Hendelsesvarsling
Innen 24 timer ved enhver hendelse som potensielt påvirker dine data. Datatilsynet varsles innen 72 timer per GDPR Art 33.
Forsikring
Cyber-forsikring som dekker hendelsesrespons, juridisk bistand og varslingskostnader.

Mer informasjon

Dette dokumentet er et høynivå-overblikk. Følgende juridiske dokumenter dypdykker:

Alle tilgjengelig på nordive.no/legal eller på forespørsel.

Spørsmål om sikkerhet?

Vi svarer på alle spørsmål — også fra IT-sikkerhetsansvarlig hos klienten din.

Kontakt oss →
Nordivé Acquisition AS · 932 184 762 · sindre@nordiveacquisition.com Side 7 av 7