Personvern og AI møteassistent: Komplett sjekkliste for norske bedrifter
Slik sikrer du GDPR-compliance med AI møteassistent. 15-punkts sjekkliste for norske bedrifter, dataflyt-oversikt, og vurdering av 8 verktøy.
Stadig flere norske bedrifter tar i bruk AI-møteassistenter for å transkribere og oppsummere møter. Men personvern er ikke valgfritt. det er lovpålagt.
GDPR, arbeidsmiljøloven og den nye KI-forordningen (AI Act) stiller krav som mange overser. Og konsekvensene kan være alvorlige: Datatilsynet har ilagt bøter opp til 200 millioner kroner for GDPR-brudd i Norge.
Denne guiden gir deg en komplett sjekkliste for å ta i bruk AI-møteassistent uten å bryte loven.
Hvorfor personvern er spesielt viktig for møteverktøy
Møter inneholder noen av de mest sensitive dataene i en bedrift:
- Ansattdata: Lønnsforhandlinger, medarbeidersamtaler, HR-saker
- Kundedata: Behov, budsjetter, strategier
- Forretningshemmeligheter: Produktplaner, prising, konkurranseanalyser
- Helseopplysninger: I helsesektoren, NAV-samtaler, forsikringssaker
- Personopplysninger: Navn, stillinger, meninger, stemmer
Når du tar opp et møte med AI, behandler du personopplysninger om alle deltakere. ikke bare de som har installert verktøyet.
GDPR: De 5 viktigste reglene for AI-møteverktøy
1. Behandlingsgrunnlag (GDPR art. 6)
Du trenger et lovlig grunnlag for å transkribere møter. De vanligste for bedrifter:
- Berettiget interesse (art. 6(1)(f)): Bedriften har en berettiget interesse i effektiv møtedokumentasjon. Krever interesseavveining.
- Samtykke (art. 6(1)(a)): Alle deltakere samtykker til transkribering. Vanskelig i praksis. samtykke må være frivillig, og det er det sjelden i arbeidsforhold.
Anbefaling for norske bedrifter: Bruk berettiget interesse som grunnlag, men informer alltid alle deltakere om at møtet transkriberes.
2. Informasjonsplikt (GDPR art. 13/14)
Du må informere møtedeltakere om:
- At møtet transkriberes
- Hvem som er behandlingsansvarlig (din bedrift)
- Formålet (møtedokumentasjon)
- Hvem som har tilgang til transkripsjonen
- Hvor lenge data lagres
- Deres rettigheter (innsyn, sletting, protest)
Praktisk tips: Legg inn en standardsetning i møteinnkallingen: «Dette møtet transkriberes med AI for intern dokumentasjon. Transkripsjonen lagres i [EU/Norge] og slettes etter [X måneder]. Kontakt [navn] for spørsmål.»
3. Dataminimering (GDPR art. 5(1)(c))
Behandle kun det som er nødvendig. Praktisk betyr dette:
- Ikke lagre lydopptak med mindre du har en spesifikk grunn
- Slett transkripsjoner som ikke lenger er relevante
- Begrens tilgang til de som faktisk trenger det
- Anonymiser data i oppsummeringer der det er mulig
4. Tredjelandsoverføring (GDPR kap. V / Schrems II)
Hvis møtedataene sendes til en leverandør utenfor EU/EØS (typisk USA), gjelder strenge regler:
- EU-US Data Privacy Framework: Leverandører sertifisert under DPF kan motta data, men dette er omstridt etter Schrems I og II
- Standard Contractual Clauses (SCC): Kreves som minimum, men Datatilsynet forventer tilleggstiltak
- Praktisk realitet: Data lagret i EU/EØS er tryggere og enklere å forsvare overfor Datatilsynet
5. Databehandleravtale (GDPR art. 28)
Du må ha en databehandleravtale (DPA) med AI-møteverktøyleverandøren. Sjekk at den dekker:
- Formål og varighet
- Type personopplysninger og kategorier registrerte
- Leverandørens forpliktelser (sikkerhet, varsling, sletting)
- Underleverandører (hvem får tilgang?)
- Overføringsmekanismer for tredjeland
Den norske dimensjonen: Straffeloven og arbeidsmiljøloven
GDPR er ikke det eneste regelverket. I Norge gjelder også:
Straffeloven § 205: Ulovlig opptak
Det er lovlig å ta opp en samtale du selv deltar i, uten å informere andre. Men:
- Det er ulovlig å ta opp samtaler du ikke deltar i
- I arbeidsforhold anbefaler Datatilsynet åpenhet. selv om lovlig, er skjult opptak dårlig praksis
- For AI-møteverktøy: informer alltid deltakerne
Arbeidsmiljøloven: Kontrolltiltak
AI-møtetranskribering kan anses som et kontrolltiltak etter arbeidsmiljøloven kapittel 9:
- Tiltaket må ha saklig grunn i virksomhetens behov
- Det skal ikke være uforholdsmessig belastende for ansatte
- Ansatte og tillitsvalgte skal drøftes med før innføring (§ 9-2)
- Tiltaket skal evalueres etter innføring
Praktisk tips: Diskuter innføringen med tillitsvalgt/ansatte før du ruller ut. Lag en intern policy som forklarer hva som transkriberes, hvem som har tilgang, og hva data brukes til.
KI-forordningen (AI Act): Hva gjelder?
EUs AI Act trådte i kraft 1. august 2025, med gradvis implementering frem til 2027. For AI-møteassistenter:
- Risikoklassifisering: De fleste AI-møteverktøy faller i kategorien «minimal risiko» eller «begrenset risiko»
- Transparenskrav: Brukere og deltakere skal informeres om at de interagerer med et AI-system
- Forbudte praksiser: Manipulasjon, sosial scoring, og ulovlig biometrisk identifikasjon er forbudt
For norske bedrifter: Transparenskravet forsterker informasjonsplikten fra GDPR. Sørg for at det er tydelig at et AI-system transkriberer møtet.
Personvernprofiler: 8 AI-møteassistenter sammenlignet
| Verktøy | Data lagres | Lydlagring | AI-trening | Bot i møte | DPA tilgjengelig |
|---|---|---|---|---|---|
| Dara | 🇸🇪 Sverige (EU) | ❌ Aldri | ❌ Aldri | ❌ Usynlig | ✅ |
| Granola | 🇺🇸 USA | ❌ Nei | ⚠️ Standard (opt-out Enterprise) | ❌ Usynlig | ✅ |
| Otter.ai | 🇺🇸 USA | ✅ Ja | ⚠️ Standard | ❌ Bot (søksmål 2025) | ✅ |
| Fireflies | 🇺🇸 USA | ✅ Ja | ⚠️ Standard (opt-out) | ❌ Bot | ✅ |
| Jamie | 🇩🇪 Tyskland (EU) | ❌ Nei | ❌ Nei | ❌ Usynlig | ✅ |
| tl;dv | 🇪🇺 EU (Frankfurt) | ✅ Ja | ⚠️ Standard | ❌ Bot | ✅ |
| Microsoft Copilot | 🇪🇺 EU | ⚠️ Retention-avhengig | ⚠️ Avhengig av lisens | ❌ Integrert | ✅ |
| Read AI | 🇺🇸 USA | ✅ Ja | ⚠️ Standard | ❌ Bot | ✅ |
Hva betyr dette?
- EU-datalagring (Dara, Jamie, tl;dv, Copilot): Enklest å forsvare overfor Datatilsynet
- Ingen lydlagring (Dara, Granola, Jamie): Minimerer personvernrisiko drastisk
- Ingen AI-trening (Dara, Jamie): Dine møtedata forblir dine
- Usynlig/ingen bot (Dara, Granola, Jamie): Unngår samtykkeproblematikk fra deltakere
15-punkts sjekkliste: Før du tar i bruk AI-møteassistent
Juridisk grunnlag
- Velg behandlingsgrunnlag (berettiget interesse anbefales for arbeidsforhold)
- Gjennomfør interesseavveining og dokumenter den
- Vurder om DPIA er nødvendig (anbefalt for bedrifter over 50 ansatte eller i regulerte bransjer)
Informasjon og åpenhet
- Informer ansatte om at AI-møteverktøy innføres
- Drøft med tillitsvalgt (arbeidsmiljøloven § 9-2)
- Legg til informasjon i personvernerklæring
- Lag standardtekst for møteinnkallinger
Leverandørvurdering
- Sjekk hvor data lagres (EU/EØS foretrukket)
- Verifiser at leverandøren ikke bruker data til AI-trening
- Sjekk om lydopptak lagres (foretrekk verktøy uten lydlagring)
- Signer databehandleravtale (DPA)
- Kartlegg underleverandører (hvem prosesserer data?)
Intern styring
- Definer lagringstid for transkripsjoner (12-24 måneder anbefalt)
- Begrens tilgang til transkripsjoner (need-to-know)
- Lag intern policy for hvilke møtetyper som transkriberes og hvilke som ikke gjør det
Møtetyper: Hva bør og bør ikke transkriberes?
| Møtetype | Transkribere? | Begrunnelse |
|---|---|---|
| Statusmøter | ✅ Ja | Lav risiko, høy nytteverdi |
| Prosjektmøter | ✅ Ja | Dokumentasjon av beslutninger |
| Kundemøter | ✅ Ja, med info | Informer kunden |
| Styremøter | ✅ Ja | Juridisk dokumentasjon (§6-29) |
| Medarbeidersamtaler | ⚠️ Vurder | Sensitiv. krev samtykke |
| Lønnsforhandlinger | ⚠️ Vurder | Sensitiv. krev samtykke |
| Disiplinærsaker | ❌ Nei | For sensitiv, bruk manuell dokumentasjon |
| Varslingssaker | ❌ Nei | Krav om konfidensialitet |
| Helserelaterte samtaler | ❌ Nei | GDPR art. 9 (særlige kategorier) |
Hva om noen protesterer?
Hvis en møtedeltaker ikke ønsker at møtet transkriberes:
- Informer om at de har rett til å protestere (GDPR art. 21)
- Vurder om protesten er berettiget
- Skru av transkribering for det aktuelle møtet hvis protesten er rimelig
- Dokumenter protesten og din vurdering
I praksis: med et usynlig verktøy er dette sjelden et problem. men respekter alltid innvendinger.
Implementeringsplan for GDPR-kompatibel innføring
Uke 1: Forberedelse
- Velg verktøy med EU-datalagring og DPA
- Gjennomfør interesseavveining
- Drøft med tillitsvalgt
Uke 2: Policy og informasjon
- Skriv intern policy
- Oppdater personvernerklæring
- Send informasjon til ansatte
Uke 3-4: Pilot
- Rull ut til pilotgruppe (3-5 brukere)
- Kun statusmøter og prosjektmøter
- Samle tilbakemeldinger
Uke 5+: Full utrulling
- Utvid til hele teamet
- Evaluer etter 30 og 90 dager
- Oppdater policy basert på erfaringer
FAQ
Trenger vi samtykke fra alle møtedeltakere? Ikke nødvendigvis. Med berettiget interesse som behandlingsgrunnlag holder det å informere. Samtykke anbefales for sensitive møter (medarbeidersamtaler, HR).
Hva om vi har eksterne deltakere (kunder, partnere)? Informer dem i møteinnkallingen eller muntlig i starten av møtet. De har rett til å protestere.
Er det lovlig å ta opp møter uten å si fra? Teknisk ja (straffeloven § 205 tillater opptak av samtaler du deltar i). Men GDPR krever åpenhet, og Datatilsynet anbefaler alltid å informere.
Trenger vi DPIA? Sannsynligvis ja hvis: (a) dere har over 50 ansatte, (b) dere opererer i regulerte bransjer (helse, finans, jus), eller (c) dere transkriberer sensitive møtetyper. Les vår DPIA-veileder.
Kan ansatte kreve at transkripsjoner slettes? Ja, under GDPR art. 17 (retten til sletting), med mindre bedriften har en overordnet grunn til å beholde dem (f.eks. juridisk dokumentasjon).
Hva med Datatilsynets veiledning? Datatilsynet har ikke publisert spesifikk veiledning om AI-møteassistenter, men generelle regler for AI og personvern gjelder. Følg veiledningen for AI og personopplysninger.
Neste steg:
- Les DPIA-veileder for AI møteassistent. komplett mal og sjekkliste
- Se KI-loven og AI Act for møteverktøy
- Les GDPR og møtetranskribering. dybdeartikkel om lovverket
- Prøv Dara gratis. EU-data, ingen lydlagring, ingen AI-trening