Datasikkerhet og taushetsplikt er ikke til forhandling. Nordivé er designet fra grunnen av for å oppfylle GDPR, Advokatforeningens retningslinjer og firmaets egne sikkerhetskrav.
Nordivé har ingen database for e-postinnhold. Backend kjører på Azure i Norway East og videresender AI-kall til AWS Bedrock i Irland (eu-west-1) — alt innenfor EU/EØS. E-postinnhold passerer kun i transitt og lagres aldri verken hos oss eller hos AI-leverandøren. AI-analyser krypteres lokalt på advokatens egen maskin med AES-GCM 256-bit, og er kun tilgjengelig der.
Nordivé bruker Claude Sonnet 4.6 fra Anthropic, levert via AWS Bedrock i Irland (eu-west-1). AWS sin Enterprise-avtale med Anthropic garanterer Zero Data Retention (ZDR). Det betyr:
Sertifiseringene arves fra de underliggende leverandørene — Microsoft Azure (backend) og AWS Bedrock (AI-inferens). Nordivé legger ingen egen lagring oppå dette og bruker kun de eksisterende, sertifiserte miljøene.
Innlogging skjer via Single Sign-On med eksisterende Microsoft 365- eller Google Workspace-kontoer. Firmaets eksisterende regler for tilgangskontroll, multifaktor-autentisering og betingede tilgangspolicyer gjelder også for Nordivé. Ingen nye passord, ingen nye kontoer.
OAuth følger PKCE-standarden (uten passord-eksponering hos oss). Refresh-tokens krypteres lokalt med AES-GCM 256, slettes automatisk ved 8 timer inaktivitet eller eksplisitt utlogging — utlogging revokerer i tillegg tokenet hos Microsoft/Google.
Frontend leveres med strikt Content-Security-Policy som blokkerer eksterne scripts og iframes. X-Content-Type-Options: nosniff hindrer MIME-spoofing, og Permissions-Policy forbyr kamera/mikrofon/lokasjon (vi trenger det ikke). All AI-output rendres via React JSX som auto-escaper innhold — ingen dangerouslySetInnerHTML i kodebasen.
Før oppstart signeres en databehandleravtale i tråd med Art. 28 GDPR. Advokatfirmaet er behandlingsansvarlig — Nordivé er databehandler. Avtalen spesifiserer hvilke data som behandles, hvor lenge, av hvem, og hvordan. Mal kan deles på forespørsel.
Nordivé genererer kun utkast. Ingenting sendes, lagres eller arkiveres uten advokatens eksplisitte godkjenning. Ansvaret for juridiske vurderinger ligger alltid hos advokaten — vi er et verktøy, ikke en erstatning for faglig skjønn.
Vi svarer gjerne på konkrete spørsmål fra IT-sikkerhetsansvarlige eller compliance-team. Send en e-post til sikkerhet@nordiveai.no så kobler vi deg direkte mot teamet.
Databehandleravtale på plass før du logger inn første gang.