Fireflies.ai saksøkt for ulovlig innsamling av stemmedata — hva betyr det for norske brukere?
Fireflies.ai er saksøkt i USA for brudd på biometrisk personvern. Søksmålet gjelder innsamling av stemmedata uten samtykke. Her er hva norske bedrifter bør vite.
Den 10. mars 2026 ble Fireflies.AI Corp. saksøkt i en gruppesøksmål (class action) i USA. Anklagen: selskapet samler inn og lagrer stemmedata (voiceprints) fra møtedeltakere uten å innhente samtykke.
Søksmålet (Fricker v. Fireflies.AI Corp., Case No. 1:26-cv-02675) ble anlagt i U.S. District Court for the Northern District of Illinois, og påstår brudd på Illinois Biometric Information Privacy Act (BIPA).
For norske bedrifter som bruker — eller vurderer — AI-møteverktøy, er dette en viktig påminnelse om hva som skjer når personvern ikke tas på alvor.
Hva handler søksmålet om?
Fireflies.ai er en AI-møteassistent som sender en synlig bot inn i videomøter på Zoom, Microsoft Teams og Google Meet. Boten tar opp lyd, transkriberer og lager oppsummeringer.
Søksmålet hevder at:
-
Stemmedata samles inn uten samtykke. Fireflies analyserer stemmene til alle møtedeltakere for å skille mellom talere (talergjenkjenning). Dette skaper unike «voiceprints» — biometriske identifikatorer som ikke kan endres om de lekker.
-
Ikke-brukere rammes. Deltakere som aldri opprettet Fireflies-konto, aldri godtok vilkår, og aldri ga samtykke, får likevel stemmene sine analysert og lagret.
-
Ingen skriftlig varsel. Fireflies informerer ikke deltakere skriftlig om at biometrisk data samles inn, hva formålet er, eller hvor lenge den lagres.
-
Auto-join-funksjonen lar boten automatisk koble seg på møter — deltakere får en kort melding i møtet, men ingen formell forespørsel om samtykke.
Hvorfor er dette viktig for norske bedrifter?
Selv om BIPA er en amerikansk delstatslov, har saken direkte relevans for norske virksomheter:
GDPR stiller strengere krav enn BIPA
GDPR artikkel 9 klassifiserer biometrisk data som særlig kategori personopplysninger — underlagt de strengeste reglene. Behandling krever:
- Uttrykkelig samtykke (art. 9(2)(a)), eller
- Nødvendig for viktige allmenne interesser (art. 9(2)(g))
Stemmedata som brukes til å identifisere en person er biometrisk data under GDPR. En bot som samler inn slik data fra alle møtedeltakere uten samtykke ville trolig være i strid med GDPR — med potensielle bøter opp til 4 % av global omsetning.
Bøter og konsekvenser
| Regelverk | Maks bot | Gjelder |
|---|---|---|
| BIPA (Illinois) | $5 000 per overtredelse | Biometrisk data uten samtykke |
| GDPR (EU/EØS) | 4 % av global omsetning | Behandling av særlige kategorier uten grunnlag |
| Straffeloven §205 (Norge) | Straff | Ulovlig opptak av samtaler |
Bot-problematikken
Kjernen i søksmålet er at Fireflies bruker en synlig bot som automatisk kobler seg på møter. Denne boten:
- Tar opp alle deltakeres stemmer
- Analyserer stemmekarakteristikker for talergjenkjenning
- Lagrer data på servere i USA
- Gir ikke ikke-brukere mulighet til å nekte
Dette er fundamentalt annerledes enn verktøy som jobber usynlig på brukerens egen maskin.
Dara vs Fireflies: En helt annen tilnærming
| Egenskap | Dara | Fireflies |
|---|---|---|
| Metode | Fanger systemlyd lokalt på din maskin | Sender synlig bot inn i møtet |
| Hvem påvirkes? | Kun brukeren som har installert Dara | Alle møtedeltakere |
| Samtykke | Brukeren bestemmer selv | Bot dukker opp for alle |
| Stemmedata (voiceprints) | Lagres ikke | Skaper voiceprints for talergjenkjenning |
| Lydlagring | Lyd lagres aldri | Lyd lagres i skyen |
| Datalagring | Sverige (EU/EØS) | USA |
| AI-trening på data | Aldri | Uklart |
| GDPR-kompatibel | Ja | Problematisk |
| Søksmål | Ingen | BIPA class action (mars 2026) |
Hvorfor arkitekturen betyr alt
Dara fanger systemlyd direkte fra brukerens maskin — som å ha notatblokken din åpen under et møte. Ingen bot kobler seg på. Ingen tredjepartsprogramvare deltar i møtet. Andre deltakere vet ikke at du bruker Dara med mindre du forteller dem det.
Dette betyr at Dara aldri får tilgang til andre deltakeres stemmebiodata på en måte som utløser BIPA eller GDPR artikkel 9.
Hva bør norske bedrifter gjøre nå?
1. Vurder eksisterende verktøy
Hvis bedriften bruker et bot-basert møteverktøy (Fireflies, Otter.ai, tl;dv, Fathom, MeetGeek), bør du:
- Sjekke om boten samler inn stemmedata for talergjenkjenning
- Vurdere om dette utgjør biometrisk databehandling under GDPR
- Gjennomgå databehandleravtalen (DPA) med leverandøren
2. Informer møtedeltakere
Uansett verktøy: Sørg for at alle møtedeltakere er informert om at møtet transkriberes. Under norsk lov (straffeloven §205) er det lov å ta opp samtaler du selv deltar i, men det er god praksis å informere.
3. Gjennomfør en DPIA
For bedrifter som behandler møtedata systematisk, kan en personvernkonsekvensutredning (DPIA) være påkrevd under GDPR artikkel 35.
4. Vurder arkitekturen
Bot-baserte verktøy skaper juridiske risikoer som lokale, usynlige verktøy unngår. Spør leverandøren:
- Sendes en bot inn i møtet?
- Lagres lydopptak?
- Skapes biometriske identifikatorer (voiceprints)?
- Hvor lagres data?
- Brukes data til å trene AI-modeller?
Mønsteret: Otter.ai, Fireflies.ai — hvem er neste?
Fireflies er ikke det første AI-møteverktøyet som saksøkes. I august 2025 ble Otter.ai rammet av et lignende gruppesøksmål for ulovlig opptak og modelltrening. Mønsteret er tydelig:
- Bot-basert verktøy samler inn stemmedata fra alle deltakere
- Ikke-brukere gir aldri samtykke
- Data lagres i USA uten tilstrekkelig beskyttelse
- Regulatorer og domstoler reagerer
For norske bedrifter betyr dette at valg av arkitektur — bot vs usynlig, sky vs lokal, USA vs EU — ikke bare handler om funksjoner og pris. Det handler om juridisk risiko.
Oppsummering
Fireflies.ai-søksmålet markerer nok et kapittel i AI-møtebransjens personvernkrise. Bot-baserte verktøy som automatisk kobler seg på andres møter og samler inn stemmedata uten samtykke, er under økende juridisk press.
Norske bedrifter som prioriterer GDPR-kompatibilitet, personvern og juridisk trygghet bør vurdere arkitekturen bak verktøyene de bruker — ikke bare funksjonslisten.
