GDPR og møtetranskribering, hva du må vite

AI-møteassistenter er i ferd med å bli standard i norske bedrifter. De transkriberer, oppsummerer og gjør møtene søkbare. Men når hvert ord som sies i et møte blir til tekst knyttet til en person, handler det plutselig om personopplysninger, og da gjelder GDPR.

Mange bedrifter tar i bruk AI-transkribering uten å tenke gjennom det juridiske. Det er forståelig, verktøyene er enkle å installere og gevinstene er åpenbare. Men uten riktig rammeverk risikerer du brudd på personvernregelverket.

Her går vi gjennom hva GDPR faktisk sier om møtetranskribering, hvilke behandlingsgrunnlag som er aktuelle, og hva du konkret må gjøre for å bruke AI-transkribering lovlig i Norge.

Hvorfor er møtetranskribering en personvernvurdering?

En transkripsjon inneholder to typer personopplysninger:

Stemmeavtrykk: selve lydopptaket (dersom det lagres midlertidig under prosessering)
Tekstinnhold koblet til identitet: hva en navngitt person sa i møtet

Begge er personopplysninger etter GDPR artikkel 4. Stemmen din er biometrisk data når den brukes til identifikasjon. Og det en person sier i et møte, meninger, vurderinger, forslag, er direkte knyttet til dem.

Datatilsynet er tydelige: lydopptak på arbeidsplassen krever et rettslig grunnlag. Det samme gjelder transkripsjoner som produseres fra slike opptak.

De tre behandlingsgrunnlagene som er relevante

GDPR artikkel 6 lister opp seks lovlige behandlingsgrunnlag. For møtetranskribering er tre av dem aktuelle:

1. Samtykke (artikkel 6(1)(a))

Alle møtedeltakere gir eksplisitt samtykke til at møtet transkriberes.

Fordeler:

Enkelt å forstå
Gir deltakerne kontroll

Utfordringer:

Samtykke må være frivillig, i en arbeidssituasjon er det et skjevt maktforhold mellom leder og ansatt
Datatilsynet har påpekt at samtykke sjelden er frivillig i arbeidsforhold
En deltaker kan trekke samtykke tilbake når som helst, noe som kan gjøre hele transkripsjonen ugyldig
Hva med eksterne møtedeltakere som ikke har et forhold til bedriften?

Vurdering: Samtykke kan fungere for møter med eksterne parter (kunder, samarbeidspartnere), men er problematisk som eneste grunnlag internt.

2. Berettiget interesse (artikkel 6(1)(f))

Virksomheten har en berettiget interesse i å dokumentere beslutninger og handlingspunkter fra møter.

Kravene som må oppfylles (interesseavveiing):

Interessen må være lovlig, klart definert, reell og saklig begrunnet
Behandlingen må være nødvendig for formålet (kan formålet nås uten transkribering?)
Virksomhetens interesse må veies opp mot deltakernes personvern

Fordeler:

Krever ikke individuelt samtykke
Passer godt for interne møter
Datatilsynet anerkjenner dokumentasjonsbehov som berettiget interesse

Utfordringer:

Du må gjennomføre og dokumentere en interesseavveiing (LIA. Legitimate Interest Assessment)
Full transkripsjon er mer inngripende enn et tradisjonelt referat, du må begrunne hvorfor oppsummering ikke er nok
Deltakerne har rett til å protestere (artikkel 21)

Vurdering: Det mest realistiske grunnlaget for de fleste norske bedrifter, men krever at du faktisk gjør jobben med interesseavveiingen.

3. Avtale (artikkel 6(1)(b))

Behandlingen er nødvendig for å oppfylle en avtale med den registrerte, for eksempel en arbeidsavtale som spesifiserer at møter dokumenteres.

Vurdering: Kan fungere som supplement, men er sjelden tilstrekkelig alene. Det å transkribere ord for ord er vanskelig å argumentere som «nødvendig» for å oppfylle en arbeidsavtale.

Hva må du konkret gjøre? En sjekkliste

Uansett hvilket behandlingsgrunnlag du velger, er dette minimumskravene:

Før du tar i bruk AI-transkribering

1. Velg og dokumenter behandlingsgrunnlag Skriv ned hvilket grunnlag du bruker og hvorfor. Hvis du velger berettiget interesse, gjennomfør en interesseavveiing og lagre den.

2. Oppdater personvernerklæringen Legg til informasjon om at møter transkriberes, hvem som har tilgang, og hvor lenge data lagres.

3. Informer ansatte GDPR artikkel 13 og 14 krever at de registrerte informeres. Konkret betyr det:

Hva som transkriberes (lyd → tekst, hvem sa hva)
Hvem som har tilgang til transkripsjonen
Hvor lenge den lagres
Hvordan man kan be om sletting

4. Gjennomfør en DPIA (Data Protection Impact Assessment) Fordi transkribering innebærer systematisk overvåking av ansatte og behandling i stor skala, krever GDPR artikkel 35 at du gjennomfører en personvernkonsekvensvurdering.

Under bruk

5. Gi tydelig varsel i hvert møte Deltakere skal vite at transkribering er aktiv før møtet starter. Et popup-varsel «Transkripsjon er startet» er et minimum.

6. Gi mulighet for å si nei Selv med berettiget interesse bør deltakere ha en reell mulighet til å delta uten å bli transkribert, for eksempel ved å skru av kamera/mikrofon i den aktuelle delen, eller ved å be om at utsagn fjernes i etterkant.

7. Begrens tilgang Ikke la alle i bedriften søke i alle transkripsjoner. Tilgang bør begrenses til møtedeltakerne og relevante parter.

8. Sett lagringstid Transkripsjoner bør ikke lagres for evig. Definer en oppbevaringsperiode (for eksempel 90 eller 180 dager) og slett automatisk.

Hva gjør Dara annerledes?

De fleste AI-møteassistenter behandler personvern som en ettertanke. Dara er bygget med personvern som fundament:

Ingen lagring av lydopptak. Dara transkriberer lyden og forkaster opptaket. Det betyr at det ikke finnes noen lydfil som kan lekkes, deles eller hackes.
Data i EU/EØS. All data lagres i Sverige, innenfor EU/EØS, og omfattes fullt av GDPR. Ingen data sendes til USA eller andre tredjeland.
AES-256-kryptering. Både data i ro og under overføring er kryptert med industristandarder.
Brukerstyrt tilgang. Det er brukeren som bestemmer hvem som har tilgang til møtenotater og oppsummeringer. Ingen automatisk deling med hele organisasjonen.
Ingen AI-trening. Møtedata brukes aldri til å trene Daras AI-modeller. Dataene dine er dine, punkt.
Usynlig. Dara dukker ikke opp som en synlig deltaker i møtet. Færre spørsmål fra deltakere, og mindre psykologisk ubehag ved å bli «overvåket» av en bot.

Vanlige feil bedrifter gjør

1. «Vi har jo samtykke, alle klikket OK» Et forhåndsutfylt avkrysningsfelt eller et generelt «samtykke til alt» i ansettelseskontrakten er ikke gyldig samtykke etter GDPR. Samtykke må være frivillig, spesifikt, informert og utvetydig.

2. «Det er jo bare et referat» En fullstendig transkripsjon er fundamentalt annerledes enn et referat. Et referat er en tolket oppsummering. En transkripsjon er ordrett dokumentasjon av alt som ble sagt. GDPR-vurderingen er helt forskjellig.

3. «IT-avdelingen tar seg av personvernet» Personvernansvar er et lederansvar, ikke et teknisk ansvar. Behandlingsansvarlig (typisk daglig leder) er juridisk ansvarlig for at GDPR etterleves.

4. «Vi lagrer i skyen, så det er sikkert» Hvor data lagres geografisk er avgjørende. Hvis skytjenesten lagrer data i USA uten tilstrekkelige overføringsgarantier (Standard Contractual Clauses + supplementary measures), bryter du GDPR kapittel V.

5. «Alle gjør det jo» At konkurrentene bruker AI-transkribering uten å tenke på GDPR er ikke et behandlingsgrunnlag.

Oppsummering: Tre steg for å komme i gang trygt

Velg riktig verktøy. Prioriter leverandører som lagrer data i EU/EØS, ikke lagrer lydopptak, og har tydelig dokumentasjon på GDPR-etterlevelse.
Dokumenter grunnlaget. Gjennomfør en interesseavveiing eller sett opp et samtykkesystem. Skriv det ned. Oppdater personvernerklæringen.
Informer og involver. Fortell ansatte hva som skjer med ordene deres. Gi dem mulighet til å påvirke. Gjør det enkelt å be om sletting.

AI-transkribering er et kraftig verktøy for produktivitet. Men kraft uten kontroll er risiko. Med riktig rammeverk kan du høste gevinstene, uten å sette personvernet på spill.

Les mer

Dara er en usynlig AI-møteassistent bygget for norske bedrifter, med personvern som fundament. Data lagres i Sverige, lydopptak slettes, og du har full kontroll over hvem som ser møtenotatene dine. Prøv Dara gratis i 7 dager →