Nordivé / Sikkerhet

Sikkerhet, bygget for
advokatbransjen.

Datasikkerhet og taushetsplikt er ikke til forhandling. Nordivé er designet fra grunnen av for å oppfylle GDPR, Advokatforeningens retningslinjer og firmaets egne sikkerhetskrav.

Se dokumenter
01
Zero-Data Retention
E-postinnhold lagres aldri – verken hos oss eller hos AI-leverandøren.
02
EU-låst arkitektur
Backend i Norway East (Azure). AI-inferens i Irland (AWS Bedrock eu-west-1). Ingen overføring utenfor EU/EØS.
03
GDPR & taushetsplikt
Databehandleravtale (Art. 28 GDPR) signeres før oppstart.
04
Stateless backend
Vi har ingen database for e-postinnhold. Backend videresender kall – lagrer ingenting.

Slik håndteres dataene dine

Nordivé har ingen database for e-postinnhold. Backend kjører på Azure i Norway East og videresender AI-kall til AWS Bedrock i Irland (eu-west-1) – alt innenfor EU/EØS. E-postinnhold passerer kun i transitt og lagres aldri verken hos oss eller hos AI-leverandøren. Analyse-resultatet lagres kryptert lokalt på advokatens egen maskin med AES-GCM 256-bit, slik at innholdet kun er tilgjengelig der.

AI-modeller og Zero Data Retention

Nordivé bruker Claude Sonnet 4.6 fra Anthropic, levert via AWS Bedrock i Irland (eu-west-1). AWS sin Enterprise-avtale med Anthropic garanterer Zero Data Retention (ZDR). Det betyr:

Bygd på ISO 27001-sertifisert infrastruktur

Microsoft Azure (ISO 27001, SOC 2 Type II)
AWS Bedrock (ISO 27001, SOC 2 Type II)
Vercel (SOC 2 Type II)
GDPR (Art. 28)
Advokatforeningens retningslinjer

Nordivé er ikke selv ISO 27001- eller SOC 2-sertifisert ennå – som tidlig-fase selskap arbeider vi mot SOC 2 Type I i 2026. Det vi leverer i dag er bygd på infrastruktur som er sertifisert: Microsoft Azure (Norway East) for backend, AWS Bedrock for AI-inferens, og Vercel for frontend. Nordivé legger ingen egen lagring oppå dette – vi bruker kun de eksisterende, sertifiserte miljøene. Komplette revisjonsrapporter fra underleverandørene kan deles på forespørsel via deres respektive trust portals.

Tilgangskontroll og innlogging

Innlogging skjer via Single Sign-On med eksisterende Microsoft 365-kontoer. Firmaets eksisterende regler for tilgangskontroll, multifaktor-autentisering og betingede tilgangspolicyer gjelder også for Nordivé. Ingen nye passord, ingen nye kontoer.

OAuth følger PKCE-standarden (uten passord-eksponering hos oss). Refresh-tokens krypteres lokalt med AES-GCM 256 og slettes automatisk ved 8 timer inaktivitet eller eksplisitt utlogging.

Token-revokering ved utlogging – ærlig presisering: Microsoft Graph (Outlook-integrasjonen vår) støtter ikke offentlig revocation av refresh-tokens for SPA-applikasjoner. Når du logger ut sletter Nordivé den lokale kopien umiddelbart, men det underliggende refresh-tokenet hos Microsoft består inntil naturlig utløp (typisk 14–90 dager) eller til IT-ansvarlig hos kunden invaliderer tokenet via Azure AD-konsollen (Sign-in > Revoke sessions, eller Conditional Access-policy). For Google Gmail-modus revokerer vi tokenet hos Google (oauth2.googleapis.com/revoke) ved utlogging.

Browser-sikkerhet

Frontend leveres med strikt Content-Security-Policy som blokkerer eksterne scripts og iframes. X-Content-Type-Options: nosniff hindrer MIME-spoofing, og Permissions-Policy forbyr kamera/mikrofon/lokasjon (vi trenger det ikke). All AI-output rendres via React JSX som auto-escaper innhold – ingen dangerouslySetInnerHTML i kodebasen.

Databehandleravtale

Før oppstart signeres en databehandleravtale i tråd med Art. 28 GDPR. Advokatfirmaet er behandlingsansvarlig – Nordivé er databehandler. Avtalen spesifiserer hvilke data som behandles, hvor lenge, av hvem, og hvordan. Mal kan deles på forespørsel.

Hvordan vi tenker rundt AI-feil

Nordivé genererer kun utkast. Ingenting sendes, lagres eller arkiveres uten advokatens eksplisitte godkjenning. Ansvaret for juridiske vurderinger ligger alltid hos advokaten – vi er et verktøy, ikke en erstatning for faglig skjønn.

Spørsmål om sikkerhet?

Vi svarer gjerne på konkrete spørsmål fra IT-sikkerhetsansvarlige eller compliance-team. Send en e-post til kontakt@nordiveai.no så kobler vi deg direkte mot teamet.

Sertifiseringer

Status og veikart for compliance.

Vi tar compliance på alvor. Her er hvor vi står og hva vi jobber mot.

Aktiv
GDPR (Art. 28)
Databehandleravtale signeres med alle kunder før produksjonsbruk. Behandlingsansvarlig forblir advokatfirmaet – Nordivé er databehandler.
Siden 2025 · Mal tilgjengelig på forespørsel
Aktiv
Advokatforeningens retningslinjer
Bygd etter Advokatforeningens veileder for bruk av kunstig intelligens i advokatpraksis (2024). Taushetsplikt etter dl. § 218 ivaretatt gjennom kryptert lokal lagring og EU-lukket inferens.
Compliance-self-attestation
Q3 2026
SOC 2 Type I
Tredje-parts revisjon av sikkerhetskontroller (security, availability, confidentiality). Vi starter pre-audit i Q1 2026 med en uavhengig CPA-firma godkjent av AICPA.
Estimert rapport: september 2026
Q2 2027
SOC 2 Type II
Operasjonell auditering over 6 måneder – bekrefter at kontrollene faktisk virker over tid, ikke bare designet. Standard for enterprise-legaltech.
Forventet rapport: september 2027
Q4 2027
ISO 27001:2022
Internasjonalt anerkjent informasjonssikkerhets-standard. Gap-analyse igangsatt 2026. Sertifisering tilstrebes når SOC 2 Type II er på plass.
Forventet sertifisert: tidlig 2028
Underleverandører
ISO 27001 + SOC 2 (arvet)
All Nordivé-infrastruktur kjører på sertifisert tredjepart: Microsoft Azure (ISO 27001, ISO 27017, ISO 27018, SOC 2 Type II), AWS Bedrock (samme), Vercel (SOC 2 Type II).
Revisjonsrapporter på forespørsel via Trust Center

Underbehandlere (sub-processors)

Følgende tredjeparter behandler kundedata på Nordivés vegne. Listen oppdateres ved endringer og varsel sendes kunder 30 dager før nye underbehandlere tas i bruk (jf. databehandleravtale § 4).

Underbehandler Tjeneste Datasenter Sertifisering
Microsoft Corporation Azure Functions, Storage, Entra ID, Microsoft Graph (Outlook/OneDrive) Norway East (Oslo) ISO 27001, ISO 27018, SOC 2 Type II
Amazon Web Services, Inc. AWS Bedrock (AI-inferens via Claude) eu-west-1 (Dublin, Irland) ISO 27001, SOC 2 Type II
Anthropic PBC Claude AI-modell (kjøres via AWS Bedrock med Zero Data Retention) Via AWS – ingen direkte data-tilgang SOC 2 Type II
Vercel Inc. Frontend-hosting (statisk innhold for app.nordiveai.no) EU-regioner (Frankfurt, Dublin) SOC 2 Type II

All data behandles i EU/EØS. Ingen overføring til tredjeland (USA, India eller andre) skjer i normal drift. Sub-processor-listen i fullversjon finnes i offisielt dokument.

Krypteringsoversikt

Alle data krypteres både under overføring (in transit) og ved lagring (at rest). Krypteringsnøkler administreres av kundens egen Microsoft 365-tenant, ikke av Nordivé.

Datatype I transitt I hvile Nøkkelhåndtering
E-postinnhold (under analyse) TLS 1.3 (Microsoft Graph → Nordivé → AWS Bedrock) Aldri lagret hos Nordivé n/a
Chat-historikk TLS 1.3 AES-GCM 256-bit i kundens egen OneDrive Nøkkel derivert fra brukerens Microsoft OID – kun kunden kan dekryptere
Vault-dokumenter TLS 1.3 Forblir i kundens OneDrive (AES-256, Microsoft-administrert) Microsoft tenant-keys
Saker, maler, workflows TLS 1.3 JSON i kundens OneDrive AppFolder Microsoft tenant-keys
OAuth-tokens (refresh) TLS 1.3 (PKCE) AES-GCM 256 i browser localStorage Brukerderivert nøkkel
Backend-logger TLS 1.3 → Azure Monitor AES-256, Azure Storage Azure-administrert (Microsoft-managed keys)

Penetrasjonstesting og sårbarhetsskanning

Vi gjennomfører periodiske sikkerhetstester og skanninger for å identifisere og lukke sårbarheter før de utnyttes. Funn rapporteres i tråd med vår incident-response-prosedyre (se nedenfor) når relevant for kunder.

Automatisert sårbarhetsskanning
  • Dependabot – kontinuerlig CVE-scanning av JavaScript-avhengigheter (frontend + backend)
  • GitHub Advanced Security – secret scanning, code scanning (CodeQL), push protection
  • npm audit i CI-pipeline – bygg feiler ved kjente HIGH/CRITICAL CVEer
  • Azure Defender for App Service – kontinuerlig overvåkning av backend-runtime
Tredje-parts penetrasjonstesting
  • Q1 2027 (planlagt): Initial OWASP-basert pen-test av webapplikasjon og API-endepunkter, utført av norsk uavhengig sikkerhetspartner
  • Årlig: Pen-test gjentas hver 12. måned eller ved vesentlige arkitekturendringer
  • Pre-Enterprise: Enterprise-kunder kan be om sammendragsrapport (eksekutiv) som del av onboarding
  • Vi følger OWASP Top 10 og OWASP ASVS Level 2 som baseline-rammeverk
Code review og release-prosess
  • Alle endringer går via Pull Request med minimum én reviewer
  • Ingen direkte commits til main-branch
  • CI-pipeline kjører unit tests, type-check, linting og bygg før deploy
  • Backend-deploy går via Azure Functions deployment slots med rollback-mulighet
  • Database-migreringer (sjeldne – kun for usage-tracking) krever signed-off plan
Bug bounty (vurderes 2027)
  • Vi planlegger å lansere et offentlig bug bounty-program via HackerOne eller Intigriti når brukermassen tilsier det
  • Inntil da: responsible disclosure-policy på kontakt@nordiveai.no (emne «Sikkerhetsrapport»)
  • Forskere som rapporterer i god tro og holder funn konfidensielt mottar takknemlighet i hall-of-fame (når lansert)

Hendelsesrespons (Incident Response)

Ved sikkerhetsbrudd har vi etablerte prosedyrer for raskt deteksjon, kommunikasjon og utbedring. Vi følger GDPR Art. 33–34 sin 72-timers varslingsplikt mot Datatilsynet og berørte registrerte.

KlassifiseringEksempelInitial responsKundevarsel
P0 – KritiskBekreftet data-tap, vedvarende nedetid > 1t< 15 min< 4 timer
P1 – HøySårbarhet utnyttet, autentiseringsfeil< 1 time< 24 timer
P2 – MediumDegradert ytelse, ikke-kritisk feilkonfigurasjon< 4 timerStatusside-oppdatering
P3 – LavLogging-anomali, cosmetic-issues< 24 timerMånedsrapport (Enterprise)

For P0/P1-hendelser som potensielt påvirker personopplysninger sender vi varsel direkte til behandlingsansvarlig (advokatfirmaet) per e-post, samt registrerer på status.nordiveai.no (lanseres 2026). Datatilsynet varsles innen 72 timer i tråd med GDPR.

Tilgjengelighet og oppetid

Backend kjører i Azure Norway East med automatisk skalering. SLA-garanti gis avhengig av abonnementsnivå:

PakkeTilgjengelighet (SLA)Maintenance-vinduStatusvarsel
Light / Standard / AdvancedBest-effort 99.5%Annonsert 7 dager førE-post + statusside
Enterprise99.9% kontraktfestetAnnonsert 14 dager før, off-peakDirekte til kontakt + statusside

Bakgrunns-SLA: RTO < 4 timer (recovery time objective) og RPO < 1 time (recovery point objective) ved katastrofal failure. Backups av Azure-konfigurasjon og kode i Git (immutable, replicated EU-Vest).

Compliance-matrise

Hvilke krav og rammeverk Nordivé adresserer, og hvor du finner dokumentasjon:

Krav / rammeverkHva det dekkerStatusDokumentasjon
GDPR / personopplysningslovenPersonvern, rettighet til registrerte, dataminimeringCompliantPersonvernerklæring
Databehandleravtale (GDPR Art. 28)Behandler-ansvarlig-forholdetSigneres per kundeMal på forespørsel
Domstolloven § 218 (advokat-taushetsplikt)Klient-konfidensialitetDesignet innSikkerhetsarkitektur-dokumentet
Advokatforeningens retningslinjer for KIBruk av KI i advokatpraksisCompliantSelf-attestation
NSM Grunnprinsipper for IKT-sikkerhetNorsk sikkerhetsbaselineImplementert (relevante kontroller)Sikkerhetsarkitektur-dokumentet
OWASP Top 10 / ASVS L2Webapp-sikkerhetBaselinePen-test-rapport (Q1 2027)
SOC 2 Type ISikkerhetskontroller (design)I prosessForventet Q3 2026
SOC 2 Type IISikkerhetskontroller (operasjonell)PlanlagtForventet 2027
ISO 27001:2022InformasjonssikkerhetsstyringRoadmapForventet 2028

Offisielle dokumenter

Følgende dokumenter beskriver Nordivés sikkerhets- og personvern-praksis i detalj. De oppdateres ved vesentlige endringer; gjeldende versjon vises i header.

PDF
Sikkerhetsarkitektur
Teknisk beskrivelse av dataflyt, kryptering, autentisering, sub-processors. Versjon 2.0.
v2.0 · 8 s.
PDF
Personvernerklæring
Hvilke personopplysninger vi behandler, formål, lagringstid, rettigheter etter GDPR. Versjon 2.0.
v2.0 · 6 s.
PDF
Liste over underbehandlere
Komplett liste over alle tredjeparter som behandler kundedata, med dataresidens og sertifisering. Versjon 2.0.
v2.0 · 4 s.
PDF
Schrems II Transfer Impact Assessment
Per-vendor risikovurdering av amerikanskeide underbehandlere (Microsoft, AWS, Anthropic, Vercel) etter EDPB Recommendations 01/2020. Versjon 1.0.
v1.0 · 7 s.
PDF
Sikkerhetserklæring
Overordnet sikkerhetspolicy – tilgangskontroll, logging, hendelsesrespons, ansatte. Versjon 2.0.
v2.0 · 6 s.
PDF
Bruksvilkår
Generelle vilkår for bruk av Nordivé-tjenesten, inkludert ansvarsbegrensning og brukers plikter. Versjon 2.0.
v2.0 · 6 s.
PDF
Lagring og cookies
Hvilke cookies og lokal-lagring (localStorage) Nordivé bruker. Versjon 2.0.
v2.0 · 6 s.
DPA
Databehandleravtale (DPA)
Standardavtalevilkår etter GDPR art. 28 nr. 3, basert på Datatilsynets uoffisielle mal. Signeres individuelt med hvert advokatfirma — ta kontakt for å motta mal.
Be om mal →
SOC
SOC 2 Type I-rapport
Tredje-parts revisjon av sikkerhetskontroller. Tilgjengelig under NDA for Enterprise-kunder.
Forventet Q3 2026
PEN
Penetrasjonstest-rapport (sammendrag)
Eksekutiv versjon av siste pen-test. Full rapport under NDA for Enterprise-kunder.
Forventet Q1 2027

Intern sikkerhet

Sikkerhet starter med menneskene som bygger og drifter Nordivé. Vi har følgende interne kontroller:

Tilgangskontroll for ansatte
  • Prinsipp om minste privilegium – hver ansatt har kun den tilgang som er strengt nødvendig for sin rolle
  • Produksjonstilgang krever multifaktor-autentisering (FIDO2 hardware-nøkler)
  • Tilgang til kunde-data krever eksplisitt godkjenning fra CTO og logges
  • Onboarding: signert taushetserklæring + sikkerhetsopplæring før systemtilgang
  • Offboarding: all tilgang revokeres innen 4 timer etter avslutning
Utstyrs- og endpoint-sikkerhet
  • Alle utviklere bruker firmaadministrerte enheter (full-disk-kryptering aktivert)
  • Automatiske OS- og applikasjons-oppdateringer påkrevd
  • Antivirus / EDR aktivert (Microsoft Defender for Business)
  • Mobile enheter krever MDM-konfigurasjon før firma-tilgang
  • Tapt/stjålet utstyr fjernslettes umiddelbart
Bakgrunnssjekk og opplæring
  • Alle utviklere med produksjonstilgang gjennomgår politiattest-sjekk før ansettelse
  • Årlig obligatorisk sikkerhetsopplæring (phishing, social engineering, secret handling)
  • Kvartalsvise interne phishing-simuleringer
  • Eksplisitt taushetsplikt om kunde-data nedfelt i ansettelseskontrakt
Secret- og nøkkelhåndtering
  • Alle API-nøkler og credentials lagres i Azure Key Vault – aldri i kode eller config-filer
  • Secret-rotasjon hver 90. dag (automatisert der det er mulig)
  • Ingen secrets eksponeres i logger, error-meldinger eller frontend-bundle
  • GitHub secret scanning aktivert – push protection blokkerer accidental commits

Rapporter et sikkerhetsavvik

Har du oppdaget en sårbarhet eller mistenker et sikkerhetsproblem? Vi tar alle rapporter på alvor og responderer innen 24 timer.

Ansvarlig rapportering

Send detaljer til kontakt@nordiveai.no med emne «Sikkerhetsrapport». Inkluder:

  • Beskrivelse av sårbarheten og hvor den er observert
  • Stegene for å reprodusere problemet
  • Potensiell konsekvens hvis utnyttet
  • Eventuelle PoC-vedlegg

Vi forplikter oss til å ikke iverksette rettslige tiltak mot forskere som rapporterer i god tro og holder funn konfidensielt inntil utbedring. Bug bounty kommer Q2 2027.

Klar til å teste?

Prøv Nordivé
gratis i 14 dager.

Databehandleravtale på plass før du logger inn første gang.

Start gratis prøveperiode