Databeskyttelse
Databehandling
Denne side beskriver APIZ' tilgang til behandling af kundedata, rollefordeling, sikkerhed og databehandlerforhold.
Rollefordeling
Når en kunde anvender APIZ til at behandle egne dokumenter, forespørgsler eller brugerdata, vil kunden typisk være dataansvarlig, mens APIZ behandler oplysninger på kundens vegne som databehandler.
For APIZ' egne forretningsprocesser, eksempelvis kontakt, salg, fakturering og sikker drift af hjemmesiden, er APIZ dataansvarlig.
Behandlingens karakter
APIZ behandler kundedata for at levere juridisk research, dokumentanalyse, svar, kildebaserede noter, søgning, sagsmapper, adgangsstyring og support.
Behandlingen kan omfatte almindelige personoplysninger, professionelle kontaktoplysninger, dokumentindhold, metadata, logdata og brugerhandlinger.
Ingen modeltræning
APIZ bruger ikke kundedata, brugerinput, AI-output eller uploadede dokumenter til at træne eller finjustere AI-modeller.
Ved AI-behandling via Azure OpenAI behandles prompts, svar og embeddings for at levere den konkrete funktion og ikke til modeltræning uden kundens tilladelse eller instruks.
Instruks og formål
Som databehandler behandler APIZ alene kundedata efter kundens dokumenterede instruks og til de formål, der følger af aftalen.
Kundedata anvendes ikke til uvedkommende formål og deles ikke med tredjeparter, medmindre det følger af aftale, lovkrav eller godkendte underdatabehandlere.
Sikkerhed
APIZ arbejder med tekniske og organisatoriske foranstaltninger, der skal beskytte oplysninger mod uautoriseret adgang, tab, misbrug og utilsigtet ændring.
- Adgangsstyring og logisk dataadskillelse.
- Rollebaserede rettigheder, MFA og SSO i Enterprise-aftaler eller roadmap, hvor det er relevant.
- Logning af relevante drifts- og sikkerhedshændelser.
- Kryptering i transit og at rest.
- Procedurer for support, drift og hændelseshåndtering.
Hosting, AI-behandling og underdatabehandlere
APIZ' produktionsarkitektur er Azure-baseret. Kundedata kan behandles i Microsoft Azure-tjenester til drift, lagring, sikkerhed, søgning og AI-behandling.
AI-behandling sker som udgangspunkt via Azure OpenAI. Underdatabehandlere til hosting, infrastruktur, sikkerhed, support, e-mail, AI og søgning skal være underlagt passende kontraktuelle og sikkerhedsmæssige krav.
Den aktuelle oversigt, dataplacering og eventuelle EU/EØS-krav fremgår af compliance-dokumentet og den relevante databehandleraftale.
Opbevaring og sletning
Opbevaringstider fastsættes efter formål, aftalegrundlag og dataminimering.
- Ikke-fastgjorte samtaler: tilgængelige i 90 dage efter seneste aktivitet.
- Fastgjorte samtaler: opbevares, indtil brugeren sletter dem eller kundeaftalen ophører.
- Uploadede dokumenter: 365 dage fra upload som standard.
- Fakturaer og betalingshistorik: 5 år efter bogføringsreglerne.
Sletning og bistand
Ved aftalens ophør slettes eller returneres kundedata efter kundens valg og de konkrete aftalevilkår, medmindre fortsat opbevaring er påkrævet ved lov.
APIZ bistår kunden rimeligt med registreredes rettigheder, sikkerhedshændelser, dokumentation og revision i det omfang, det følger af databehandleraftalen.
