Personvernkonsekvensutredning (DPIA) for AI møteassistent: Komplett mal og veileder
Steg-for-steg guide til personvernkonsekvensutredning (DPIA) for AI møteverktøy. Inkluderer klar-til-bruk mal basert på Datatilsynets veileder, risikovurdering og sjekklistene du trenger.
Du vet at bedriften bør gjennomføre en DPIA før dere tar i bruk AI-møteverktøy. Men hvordan gjør man det i praksis?
Denne guiden gir deg alt du trenger: en steg-for-steg veileder basert på Datatilsynets offisielle sjekkliste (GDPR artikkel 35), en klar-til-bruk mal du kan fylle ut direkte, og konkrete risikovurderinger for AI-møteverktøy.
Innhold
- Hva er en DPIA, og hvorfor trenger du den?
- Når er DPIA påkrevd for møteverktøy?
- Steg-for-steg: Slik gjennomfører du DPIA
- Klar-til-bruk DPIA-mal for AI møteassistent
- Risikovurdering: 8 typiske risikoer
- Sjekkliste for valg av møteverktøy
- Hva skiller lav-risiko fra høy-risiko verktøy?
- Vanlige feil i DPIA for AI-verktøy
- FAQ
Hva er en DPIA, og hvorfor trenger du den?
En personvernkonsekvensutredning (Data Protection Impact Assessment, DPIA) er en systematisk vurdering av hvordan en behandling av personopplysninger påvirker de registrertes personvern. Den er pålagt av GDPR artikkel 35.
For AI-møteverktøy betyr det: Før dere lar et verktøy transkribere, analysere og oppsummere medarbeidernes samtaler, må dere vurdere risikoen, og dokumentere at dere har gjort det.
Hvorfor er det viktig?
- Juridisk krav: Manglende DPIA kan gi bøter opptil €20 millioner eller 4 % av global omsetning
- Tillitsskaper: Viser ansatte og samarbeidspartnere at dere tar personvern på alvor
- Bedre beslutninger: Tvinger dere til å forstå hva verktøyet faktisk gjør med dataene
- Anskaffelseskrav: Offentlige virksomheter må dokumentere DPIA i anskaffelsesprosessen
Datatilsynets hovedregel: Er du i tvil om DPIA er nødvendig? Da bør du gjennomføre en uansett. Kostnaden er lav, risikoen ved å la være er høy.
Når er DPIA påkrevd for møteverktøy?
GDPR artikkel 35 krever DPIA når behandlingen «sannsynligvis vil medføre høy risiko» for de registrertes rettigheter. Datatilsynet har publisert en liste over behandlinger som alltid krever DPIA.
AI møteverktøy treffer typisk disse kriteriene:
| Kriterium (Datatilsynet) | Relevant for AI-møteverktøy? |
|---|---|
| Systematisk overvåking av ansatte | ⚠️ Kan oppfattes slik hvis opptak skjer kontinuerlig |
| Behandling i stor skala | ✅ Alle møter i bedriften = stor skala |
| Ny teknologi | ✅ AI-basert transkribering og oppsummering |
| Sensitive opplysninger kan forekomme | ⚠️ Avhenger av møtetype (HR, helse, personalsaker) |
| Data om sårbare grupper | ⚠️ Ansatte er i et maktforhold til arbeidsgiver |
Tommelregel: Treffer behandlingen to eller flere av Datatilsynets kriterier, skal DPIA gjennomføres. AI-møteverktøy treffer typisk 3-4 av dem.
Unntak
DPIA er ikke påkrevd hvis:
- Verktøyet kun brukes av enkeltpersoner for egne notater (ikke delt)
- Ingen personopplysninger behandles (f.eks. kun anonymiserte oppsummeringer)
- Identisk behandling allerede er DPIA-vurdert tidligere
I praksis: De aller fleste bedrifter som ruller ut AI-møteverktøy for team, bør gjennomføre DPIA.
Steg-for-steg: Slik gjennomfører du DPIA
Basert på Datatilsynets offisielle veileder og GDPR artikkel 35 nr. 7.
Steg 1: Beskriv behandlingen
Dokumenter nøyaktig hva verktøyet gjør med personopplysninger:
- Hva samles inn? (lyd, tekst, metadata, deltakerlister)
- Hvordan behandles det? (lokal prosessering vs. sky, kryptering, AI-modell)
- Hvor lagres det? (EU/EØS, USA, annet)
- Hvem har tilgang? (bruker, team, admin, leverandør)
- Hvor lenge lagres det? (automatisk sletting, brukervalg)
- Hva er formålet? (møtenotater, oppsummering, søk, analyse)
Steg 2: Vurder nødvendighet og proporsjonalitet
Spør dere selv:
- Er AI-transkribering nødvendig for formålet, eller finnes mindre inngripende alternativer?
- Behandler dere bare det som trengs (dataminimering)?
- Har dere et gyldig behandlingsgrunnlag (GDPR artikkel 6)?
- Hvordan ivaretas de registrertes rettigheter (innsyn, sletting, retting)?
Steg 3: Identifiser og vurder risikoer
For hvert risikoområde, vurder:
- Sannsynlighet (lav / middels / høy)
- Konsekvens (lav / middels / høy / svært høy)
- Samlet risikonivå = sannsynlighet × konsekvens
Se risikovurderingen under for de 8 vanligste risikoene.
Steg 4: Definer tiltak
For hver risiko med middels eller høyt nivå:
- Hvilke tekniske tiltak reduserer risikoen? (kryptering, tilgangsstyring, sletting)
- Hvilke organisatoriske tiltak trengs? (policy, opplæring, samtykke-rutiner)
- Hva er restrisikoen etter tiltak?
Steg 5: Dokumenter og godkjenn
- Fyll ut DPIA-dokumentet (se malen under)
- Involver personvernombud (DPO) hvis virksomheten har det
- Få godkjenning fra ledelsen
- Hvis restrisikoen fortsatt er høy → forhåndsdrøfting med Datatilsynet (GDPR art. 36)
Steg 6: Revider jevnlig
DPIA er ikke et engangsdokument. Revider ved:
- Endringer i verktøyet (nye funksjoner, ny dataflyt)
- Endringer i lovverk
- Hendelser eller avvik
- Minimum årlig gjennomgang
Klar-til-bruk DPIA-mal for AI møteassistent
Kopier malen under og fyll inn for deres valgte verktøy. Felter merket [FYLL INN] må tilpasses.
1. Generelt
| Felt | Innhold |
|---|---|
| Behandlingsansvarlig | [Virksomhetens navn, org.nr.] |
| Personvernombud | [Navn, kontaktinfo] |
| Dato for DPIA | [Dato] |
| Neste revisjonsdato | [12 måneder fra dato] |
| Verktøy/system | [Navn på AI-møteverktøy] |
| Leverandør | [Leverandørens navn, org.nr., land] |
| Databehandleravtale (DPA) | [Ja/Nei, vedlegg referanse] |
2. Beskrivelse av behandlingen
| Felt | Innhold |
|---|---|
| Formål | Automatisk transkribering og AI-oppsummering av møter for å effektivisere dokumentasjon og oppfølging. |
| Behandlingsgrunnlag | GDPR artikkel 6(1)(f) berettiget interesse / artikkel 6(1)(a) samtykke / [velg] |
| Kategorier av registrerte | Ansatte, møtedeltakere (interne og eksterne), kunder, samarbeidspartnere |
| Kategorier av personopplysninger | Stemme/tale, navn, stillingstittel, e-post, møteinnhold (kan inkludere sensitive emner) |
| Sensitive opplysninger? | [Ja/Nei, spesifiser: helseopplysninger, fagforeningsmedlemskap, etc.] |
| Dataflyt | [Beskriv: lyd → transkribering → oppsummering → lagring. Hvilke steg skjer lokalt vs. i sky? Hvilke tredjeparter mottar data?] |
| Lagringssted | [EU/EØS / USA / annet, spesifiser datacenter] |
| Overføring til tredjeland? | [Ja/Nei, hvis ja: overføringsmekanisme (SCC, adequacy, DPF)] |
| Lagringstid | [Automatisk sletting etter X dager / brukervalg / ingen definert frist] |
| Tilgangskontroll | [Hvem har tilgang: bruker, teammedlemmer, admin, leverandør?] |
3. Nødvendighet og proporsjonalitet
| Spørsmål | Vurdering |
|---|---|
| Er behandlingen nødvendig for formålet? | [Ja, begrunn] |
| Finnes mindre inngripende alternativer? | [Manuell notatskriving, opptak uten AI, etc., begrunn valget] |
| Er dataminimering ivaretatt? | [Lagres bare det som trengs? Slettes lyd etter transkribering?] |
| Hvordan informeres de registrerte? | [Personvernerklæring, muntlig informasjon, in-app-varsling] |
| Hvordan håndteres innsyn/sletting/retting? | [Bruker kan slette egne data, admin kan eksportere, etc.] |
| Har dere vurdert om samtykke er nødvendig? | [For eksterne møtedeltakere, opptak i fysiske møter, etc.] |
4. Risikovurdering
| # | Risiko | Sannsynlighet | Konsekvens | Nivå | Tiltak | Restrisiko |
|---|---|---|---|---|---|---|
| 1 | Uautorisert tilgang til transkripsjoner | [L/M/H] | [L/M/H/SH] | [L/M/H] | [Tilgangsstyring, kryptering] | [L/M] |
| 2 | Data overført til tredjeland uten grunnlag | [L/M/H] | [H/SH] | [M/H] | [EU-lagring, SCC, DPA] | [L/M] |
| 3 | Opplevd overvåking av ansatte | [L/M/H] | [M/H] | [M/H] | [Valgfrihet, informasjon, samtykke] | [L/M] |
| 4 | Sensitive opplysninger i transkripsjoner | [L/M/H] | [H/SH] | [M/H] | [Policy, opplæring, tilgangskontroll] | [L/M] |
| 5 | Leverandør bruker data til modelltrenig | [L/M/H] | [H] | [M/H] | [DPA, leverandørgaranti] | [L] |
| 6 | Mangelfull informasjon til deltakere | [L/M/H] | [M/H] | [M/H] | [Informasjonsrutine, samtykke-flyt] | [L] |
| 7 | Lydopptak lagres lenger enn nødvendig | [L/M/H] | [M] | [L/M] | [Auto-sletting, definert frist] | [L] |
| 8 | Sikkerhetsbrudd hos leverandør | [L/M] | [H/SH] | [M/H] | [Kryptering, DPA, auditrett] | [L/M] |
5. Konklusjon
| Felt | Innhold |
|---|---|
| Samlet risikonivå etter tiltak | [Lavt / Middels / Høyt] |
| Anbefaling | [Behandlingen kan gjennomføres / Behandlingen bør ikke gjennomføres / Forhåndsdrøfting med Datatilsynet nødvendig] |
| Betingelser | [Eventuelle vilkår som må være oppfylt] |
| Godkjent av | [Navn, rolle, dato] |
| DPO-uttalelse | [Personvernombudets vurdering] |
Risikovurdering: 8 typiske risikoer for AI-møteverktøy
Risiko 1: Dataoverføring til USA
Problemet: Mange AI-møteverktøy sender lyddata til servere i USA for prosessering. Etter Schrems II-dommen er dette problematisk uten tilstrekkelige garantier.
Konsekvens: Høy, mulig tilgang av amerikanske myndigheter (FISA 702, EO 12333).
Slik vurderer du:
- Hvor prosesseres lyd? (lokalt på enhet, EU-sky, USA-sky?)
- Brukes Standard Contractual Clauses (SCC)?
- Er leverandøren EU-U.S. Data Privacy Framework-sertifisert?
- Lagres lydopptak, eller bare tekst?
Lav-risiko eksempel: Verktøy som prosesserer lyd lokalt på enheten og kun sender tekst til EU-servere. Høy-risiko eksempel: Verktøy som strømmer lyd til USA-servere og lagrer opptak i 90 dager.
Risiko 2: Opplevd overvåking
Problemet: Ansatte kan oppleve at «alt blir tatt opp og analysert», selv om formålet er notatskriving. Dette påvirker arbeidsmiljø og tillit.
Konsekvens: Middels til høy, endret atferd i møter (Hawthorne-effekten), mistillit, arbeidsmiljøkonflikter.
Tiltak:
- Gjør bruk frivillig der mulig, ikke påtvunget
- Informer tydelig om hva som skjer med dataene
- La ansatte slette egne data når som helst
- Involver verneombud/tillitsvalgte i prosessen
- Velg verktøy som er usynlig (ikke en synlig bot som minner om overvåking)
Risiko 3: Sensitive opplysninger i møteinnhold
Problemet: Møter kan inneholde helseopplysninger, lønnsforhandlinger, personalsaker, fagforeningsdiskusjoner, alt dette er sensitive personopplysninger under GDPR artikkel 9.
Konsekvens: Svært høy, brudd på art. 9 kan gi vesentlig høyere bøter.
Tiltak:
- Definer hvilke møtetyper som IKKE skal transkriberes (HR-samtaler, personalsaker)
- Implementer policy med eksempler
- Gi opplæring i hvem som bør/ikke bør aktivere verktøyet
- Vurder trafikklys-system: grønt (admin/prosjekt), gult (ledermøter), rødt (personalsaker/helse)
Risiko 4: Leverandøren bruker data til AI-trening
Problemet: Noen AI-leverandører bruker kundedata til å trene sine modeller. Dette betyr at møteinnhold kan påvirke fremtidige AI-svar.
Konsekvens: Høy, konfidensielle forretningsopplysninger kan lekke via modellen.
Sjekk i DPA:
- Har leverandøren en eksplisitt garanti om at data ikke brukes til trening?
- Står dette i databehandleravtalen, ikke bare på nettsiden?
- Gjelder det alle underleverandører (sub-processors)?
Risiko 5: Mangelfull informasjon til møtedeltakere
Problemet: GDPR artikkel 13 og 14 krever at alle registrerte informeres om behandlingen. For møteverktøy betyr det: alle møtedeltakere, også eksterne.
Tiltak:
- Informer i møteinnkallingen at AI-verktøy brukes
- Ha en kort tekst i starten av møtet (muntlig eller i chat)
- Lenk til personvernerklæring som dekker verktøyet
- For fysiske møter: muntlig informasjon ved møtestart
- Gi deltakere mulighet til å reservere seg
Risiko 6: Lydopptak som lagres
Problemet: Noen verktøy lagrer lydopptak i dager, uker eller måneder. Lydopptak er mer inngripende enn tekst, stemme er biometrisk data.
Beste praksis:
- Velg verktøy som aldri lagrer lyd, kun tekst-transkripsjoner
- Hvis lyd lagres: definer maksimal lagringstid (helst under 24 timer)
- Sørg for at brukeren kan slette opptak umiddelbart
Risiko 7: Utilstrekkelig tilgangskontroll
Problemet: Hvem kan lese andres møtenotater? Kan admin lese alle transkripsjoner? Kan leverandørens support-team se innhold?
Tiltak:
- Påse at brukere kun ser egne møter som standard
- Deling skal være aktivt valg, ikke default
- Admin-tilgang til innhold bør logges
- Leverandøren bør ha zero-access til kundedata (verifiser i DPA)
Risiko 8: Sikkerhetsbrudd hos leverandør
Problemet: Hvis leverandøren blir hacket, kan tusenvis av møtetranskripsjoner lekke.
Tiltak:
- Sjekk leverandørens sikkerhetssertifiseringer (SOC 2, ISO 27001)
- Verifiser kryptering i ro og under overføring (AES-256, TLS 1.2+)
- Har leverandøren en incident response-plan?
- Har dere rett til audit i DPA-en?
- Jo mindre data som lagres hos leverandøren, desto lavere konsekvens ved brudd
Sjekkliste for valg av møteverktøy (fra DPIA-perspektiv)
Bruk denne sjekklisten når dere evaluerer AI-møteverktøy. Hvert punkt påvirker risikonivået i DPIA-en.
Databehandling
- Databehandleravtale (DPA) er tilgjengelig og signert
- Sub-processors er listet med lagringssted
- Behandlingsgrunnlag er dokumentert (art. 6)
- Data brukes ikke til AI-trening (bekreftet i DPA)
Dataminimering
- Lydopptak slettes automatisk etter transkribering (eller lagres aldri)
- Kun nødvendige personopplysninger behandles
- Definerte slettefrister for transkripsjoner
- Brukeren kan slette egne data når som helst
Datalagring
- Data lagres i EU/EØS
- Hvis tredjelandsoverføring: gyldig overføringsmekanisme (SCC, DPF)
- Kryptering i ro (AES-256 eller tilsvarende)
- Kryptering under overføring (TLS 1.2+)
Tilgangskontroll
- Brukere ser kun egne transkripsjoner som standard
- Rollebasert tilgangskontroll (bruker, team, admin)
- Leverandøren har zero-access til innhold
- Admin-handlinger logges
Informasjonsplikt
- Informasjon til møtedeltakere er planlagt (innkalling, møtestart)
- Personvernerklæring dekker bruk av AI-verktøy
- Deltakere kan reservere seg
- Prosedyre for eksterne deltakere er definert
Sikkerhet
- Leverandøren har SOC 2 eller tilsvarende sertifisering
- Penetrasjonstesting gjennomføres jevnlig
- Incident response-plan eksisterer
- Audit-rett er sikret i DPA
Hva skiller lav-risiko fra høy-risiko verktøy?
| Egenskap | Lavere risiko | Høyere risiko |
|---|---|---|
| Lydlagring | Aldri, kun tekst | Lagrer lyd i dager/uker |
| Datalagring | EU/EØS | USA eller ukjent |
| Synlighet | Usynlig (lokal app) | Bot som joiner møtet |
| AI-trening | Garantert nei (i DPA) | Uklart eller ja |
| Tilgangskontroll | Kun bruker, aktivt delt | Admin ser alt, delt som standard |
| Kryptering | AES-256, TLS 1.3 | Ukjent eller svakere |
| Sertifiseringer | SOC 2, ISO 27001 | Ingen dokumentert |
| Informasjonsplikt | Innebygde varsler | Ingen varsling |
Konkret eksempel: Tre verktøy vurdert
Verktøy A (lav risiko):
- Prosesserer lyd lokalt, sender kun tekst til EU-servere
- Aldri lagrer lyd
- Usynlig app, ingen bot
- Garanterer ingen AI-trening i DPA
- AES-256, data i Sverige
Verktøy B (middels risiko):
- Bot-fri desktop-app, men sender lyd til EU-sky for transkribering
- Lyd slettes etter 24 timer
- SOC 2 Type II, data i Frankfurt
- AI-trening: nei (bekreftet)
- Lagrer transkripsjoner til bruker sletter
Verktøy C (høy risiko):
- Bot som joiner som deltaker
- Lyd lagres i 90 dager i USA
- Brukerdata kan brukes til «service improvement» (DPA er uklar)
- Ingen EU-datacenter
- Gruppesøksmål pågår
Vanlige feil i DPIA for AI-verktøy
1. «Vi har jo DPA, da er vi dekket»
En DPA er nødvendig, men ikke tilstrekkelig. DPIA er deres ansvar som behandlingsansvarlig, ikke leverandørens.
2. Glemmer eksterne møtedeltakere
Dine ansatte er informert, men hva med kunden som er med i Teams-møtet? GDPR art. 14 krever informasjon også til dem.
3. Én DPIA for alle verktøy
Hvert verktøy har ulik dataflyt, lagringssted og risikoprofil. Én DPIA per verktøy, eller én samlet med tydelig differensiering.
4. Mangler årlig revisjon
DPIA er et levende dokument. Sett revisjonsdato og juster ved endringer (nye funksjoner, ny leverandør, nytt lovverk).
5. Ignorerer den «usynlige» risikoen
Selv om et verktøy aldri lagrer lyd og prosesserer lokalt, kan ansatte oppleve det som overvåking. Adresser dette proaktivt.
6. Ingen involvering av tillitsvalgte
For arbeidsplasser med fagforening: drøftingsplikt. For offentlige virksomheter: verneombud bør inkluderes.
Hvor lang tid tar en DPIA?
| Bedriftsstørrelse | Typisk tidsbruk | Involverte roller |
|---|---|---|
| Liten bedrift (< 50 ansatte) | 4-8 timer | Daglig leder + IT-ansvarlig |
| Mellomstor (50-250 ansatte) | 1-2 arbeidsdager | DPO/personvernansvarlig + IT + HR |
| Stor / offentlig (250+ ansatte) | 2-5 arbeidsdager | DPO + IT-sikkerhet + HR + juridisk + tillitsvalgte |
Tips: Start med malen over. De fleste felter kan fylles ut direkte basert på leverandørens dokumentasjon. Risikovurderingen krever mest skjønn.
FAQ
Må vi gjennomføre DPIA for hvert enkelt møteverktøy?
Ja, med mindre verktøyene har identisk dataflyt og risikoprofil. I praksis: én DPIA per verktøy.
Hvem skal gjennomføre DPIA?
Den behandlingsansvarlige (virksomheten), i samråd med personvernombudet (DPO) hvis dere har et. For offentlige virksomheter er DPO påkrevd.
Må vi konsultere Datatilsynet?
Bare hvis restrisikoen etter tiltak fortsatt er høy (GDPR art. 36). For de fleste AI-møteverktøy med EU-lagring og god DPA er dette ikke nødvendig.
Kan vi gjøre DPIA etter at vi har begynt å bruke verktøyet?
Strengt tatt skal DPIA gjøres før behandlingen starter. I praksis: gjør den så snart som mulig, og dokumenter at den er gjennomført.
Hva gjør vi hvis DPIA avdekker høy risiko?
- Implementer ytterligere tiltak for å redusere risikoen
- Hvis risikoen fortsatt er høy: vurder et annet verktøy
- Siste utvei: forhåndsdrøfting med Datatilsynet (sjelden nødvendig)
Er usynlige verktøy alltid lavere risiko enn bots?
Fra DPIA-perspektiv: typisk ja. Usynlige verktøy prosesserer ofte lokalt (mindre dataoverføring), krever ikke synlig «deltaker» (mindre informasjonsplikt-utfordring), og oppfattes som mindre overvåkende. Men den faktiske risikoen avhenger av hele dataflyt-bildet.
Trenger vi ny DPIA når verktøyet oppdateres?
Vesentlige endringer (ny dataflyt, nytt lagringssted, nye funksjoner som behandler nye personopplysninger) krever revisjon av DPIA. Små UI-endringer gjør det ikke.
Kom i gang
- Last ned malen over og fyll ut for deres valgte verktøy
- Bruk sjekklisten til å evaluere leverandører
- Involver DPO eller personvernansvarlig
- Sett revisjonsdato: DPIA er ikke et engangsdokument
Trenger dere et AI-møteverktøy som gjør DPIA enkel? Dara er designet for norsk personvern: usynlig app, EU-lagring (Sverige), ingen lydlagring, og data brukes aldri til AI-trening.
| Egenskap | Dara | Bot-baserte verktøy | Platform-innebygd (Copilot/Gemini) |
|---|---|---|---|
| Lydlagring | Aldri | Timer til måneder | Varierer |
| Datalagring | Sverige (EU) | Ofte USA | USA/EU (avhengig av plan) |
| AI-trening | Aldri | Varierer | Varierer |
| Synlighet | Usynlig | Bot som deltaker | Integrert i plattform |
| Norsk oppsummering | ✅ Spesialisert | ❌–🟡 Generisk | 🟡 Varierer |
| DPA tilgjengelig | ✅ | ✅ (de fleste) | ✅ |
Denne guiden er skrevet som informasjonsmateriell og erstatter ikke juridisk rådgivning. For bindende vurderinger, konsulter personvernombud eller juridisk rådgiver. Sist oppdatert april 2026.