AI møteassistent og IT-sikkerhet: Komplett vurderingsguide for IT-ansvarlige
IT-ansvarlige trenger svar på sikkerhetsspørsmål før de ruller ut AI-møteassistenter. Guide til kryptering, dataplassering, tilgangskontroll og compliance.
Ansatte begynner å bruke AI-møteassistenter, enten IT-avdelingen har godkjent det eller ikke. Gartner anslår at 75 % av ansatte vil bruke AI-verktøy uten IT-godkjenning innen 2027. såkalt «shadow AI». For IT-ansvarlige er spørsmålet ikke om AI-møteassistenter skal brukes, men hvordan de skal brukes trygt.
Denne guiden gir deg det du trenger for å evaluere, velge og rulle ut en AI-møteassistent som tilfredsstiller kravene til informasjonssikkerhet i norske virksomheter.
Hvorfor IT-ansvarlige bør ta eierskap
AI-møteassistenter er unike blant AI-verktøy fordi de prosesserer sanntids tale fra interne møter. strategidiskusjoner, kundeinformasjon, HR-samtaler og forretningshemmeligheter. Risikoen ved feil verktøy er høyere enn for de fleste SaaS-produkter.
Tre scenarioer IT-ansvarlige møter:
- Ansatte bruker uautoriserte verktøy (shadow AI). data lekker til ukjente leverandører
- Ledelsen ber om anbefaling. IT må vurdere og godkjenne
- Kunder/partnere stiller krav. «hvilke AI-verktøy har dere tilgangskontroll på?»
Sikkerhetsvurdering: 8 kriterier
1. Kryptering
Alle AI-møteassistenter bør ha kryptering i transport (TLS 1.2+) og i ro (AES-256). Sjekk også:
- Er data kryptert under prosessering?
- Hvem har tilgang til krypteringsnøklene?
- Støttes customer-managed keys (CMK) for enterprise?
| Verktøy | Transport | I ro | Under prosessering | CMK |
|---|---|---|---|---|
| Dara | ✅ TLS 1.3 | ✅ AES-256 | ⚠️ Dekryptert under STT | ❌ |
| Granola | ✅ TLS 1.2+ | ✅ AES-256 | ⚠️ Dekryptert under STT | ❌ |
| Otter.ai | ✅ TLS 1.2+ | ✅ AES-256 | ⚠️ Dekryptert under STT | ✅ Enterprise |
| Fireflies | ✅ TLS 1.2+ | ✅ AES-256 | ⚠️ Dekryptert under STT | ❌ |
2. Dataplassering
For norske virksomheter er dataplassering et sentralt spørsmål, spesielt etter Schrems II. Myndighetskrav, bransjereguleringer og interne policyer kan kreve at data forblir i EU/EØS.
| Verktøy | Primær lagring | STT-prosessering | AI-prosessering |
|---|---|---|---|
| Dara | 🇸🇪 Sverige | 🇪🇺 EU | 🇺🇸 USA (Anthropic) |
| Granola | 🇺🇸 USA | 🇺🇸 USA | 🇺🇸 USA |
| Otter.ai | 🇺🇸 USA | 🇺🇸 USA | 🇺🇸 USA |
| Fireflies | 🇺🇸 USA | 🇺🇸 USA | 🇺🇸 USA |
Viktig: Selv Dara sender data til USA for AI-oppsummering (via Anthropic). Forskjellen er at kun transkripsjonstekst sendes. aldri lydopptak. For virksomheter med strenge krav til datasuverenitet bør dette dokumenteres i DPIA.
3. Lydlagring
Lydopptak er den mest sensitive datatypen i en AI-møteassistent. Stemmen din er biometrisk data under GDPR (resital 51).
| Verktøy | Lagrer lyd? | Varighet | Brukerens kontroll |
|---|---|---|---|
| Dara | ❌ Aldri | . | Lyd slettes etter prosessering |
| Granola | ❌ Aldri | . | Lyd slettes lokalt |
| Otter.ai | ✅ Ja | Til brukeren sletter | Brukeren kan slette |
| Fireflies | ✅ Ja | Til brukeren sletter | Brukeren kan slette |
4. AI-modelltrening
Brukes møtedata til å trene leverandørens AI-modeller? Dette er et spørsmål mange glemmer å stille.
- Dara: ❌ Bruker ikke data til modelltrening
- Granola: ❌ Bruker ikke data til modelltrening (per mars 2026)
- Otter.ai: ⚠️ Bruker aggregert data til modelltrening (saksøkt august 2025)
- Fireflies: ⚠️ Forbeholder seg retten i vilkår
5. Tilgangskontroll
Hvem kan se møtenotatene? Granulær tilgangskontroll er avgjørende for å hindre at sensitive møter (HR, M&A, styremøter) lekker internt.
Sjekk:
- Rollebasert tilgangskontroll (RBAC)
- Delte mapper med begrensning
- Admin-oversikt over hvem som ser hva
- SSO-integrasjon (Okta, Entra ID, Google Workspace)
6. Leverandørvurdering
En grundig leverandørvurdering bør dekke:
- Sertifiseringer: SOC 2 Type II, ISO 27001, HIPAA (om relevant)
- DPA: Databehandleravtale i henhold til GDPR art. 28
- Underleverandører: Hvem prosesserer data? (STT-leverandør, AI-leverandør, hosting)
- Hendelseshåndtering: Varsling ved sikkerhetsbrudd (72-timers GDPR-krav)
- Revisjon: Rett til revisjon av leverandøren
| Verktøy | SOC 2 II | ISO 27001 | DPA | Underlev. transparens |
|---|---|---|---|---|
| Dara | ❌ | ❌ | ✅ | ✅ (ElevenLabs, Anthropic) |
| Granola | ✅ | ❌ | ✅ | ⚠️ Delvis |
| Otter.ai | ✅ | ❌ | ✅ | ⚠️ Delvis |
| Fireflies | ✅ | ❌ | ✅ | ⚠️ Delvis |
7. Bot vs. usynlig
Fra et sikkerhetsperspektiv er det forskjell på bot-baserte og usynlige møteassistenter:
Bot-baserte (Otter, Fireflies, Fathom):
- Krever invitasjon som deltaker. synlig for alle
- Microsoft Teams blokkerer bots fra mai 2026 (MC1251206)
- Admin kan blokkere bots via Teams Admin Center
- Brukere kan nekte bot-en tilgang
Usynlige (Dara, Granola):
- Tar opp lyd lokalt på brukerens maskin
- Ingen nettverkstrafikk under opptak (bortsett fra STT)
- Ingen deltaker å blokkere. IT har mindre synlighet
- Krever policy og opplæring i stedet for teknisk blokkering
IT-perspektivet: Bot-baserte verktøy er enklere å blokkere, men usynlige verktøy gir bedre brukeropplevelse. Den beste tilnærmingen er å godkjenne ett verktøy offisielt og gi retningslinjer for bruk.
8. Compliance-krav per bransje
| Bransje | Tilleggskrav | Anbefaling |
|---|---|---|
| Finans | MiFID II, Finanstilsynet | Krever dokumentasjonslogg + EU-data |
| Helse | Helsepersonelloven §21, Normen | Unngå persondata i transkripsjoner |
| Advokat | Advokatforskriften, taushetsplikt | Kun verktøy med EU-data |
| Offentlig | Schrems II, KI-forordningen | Krev EU-dataprosessering |
| Generelt | GDPR, personopplysningsloven | DPA + informasjonsplikt |
Sjekkliste for IT-ansvarlige
Bruk denne sjekklisten når du evaluerer AI-møteassistenter:
Datahåndtering
- Hvor lagres data? (EU/USA/annet)
- Lagres lydopptak? Hvor lenge?
- Brukes data til modelltrening?
- Hvem er underleverandører for STT og AI?
- Hva skjer med data ved kansellering?
Sikkerhet
- Kryptering i transport og i ro?
- Tilgangskontroll og RBAC?
- SSO-integrasjon? (Okta, Entra ID, Google)
- Audit log for administratorer?
- Hendelseshåndtering og varsling?
Compliance
- DPA tilgjengelig og signert?
- Sertifiseringer? (SOC 2, ISO 27001)
- Bransjespesifikke krav oppfylt?
- DPIA gjennomført?
- Informasjonsplikt til møtedeltakere?
Utrulling
- Godkjent av DPO/personvernombud?
- Retningslinjer for bruk skrevet?
- Opplæring av ansatte planlagt?
- Shadow AI-risiko adressert?
Anbefalt utrullingsstrategi
Fase 1: Evaluering (uke 1-2)
- Test 2-3 verktøy med IT-teamet
- Gjennomfør sikkerhetsvurdering med sjekklisten over
- Innhent DPA fra leverandørene
- Konsulter DPO/personvernombud
Fase 2: Pilot (uke 3-6)
- Velg én avdeling (10-20 brukere)
- Sett opp SSO og tilgangskontroll
- Skriv interne retningslinjer for bruk
- Mål bruk og innhent tilbakemeldinger
Fase 3: Utrulling (uke 7-12)
- Utvid til hele organisasjonen
- Kjør opplæring med fokus på personvern
- Sett opp overvåking av bruk
- Revider policy kvartalsvis
FAQ for IT-ansvarlige
Kan vi blokkere uautoriserte AI-møteassistenter? Bot-baserte verktøy kan blokkeres via Teams/Zoom admin. Usynlige verktøy (som Dara og Granola) kan ikke blokkeres teknisk. de tar opp lyd lokalt. Den beste strategien er å godkjenne ett verktøy og lage tydelige retningslinjer.
Trenger vi DPIA? Ja, sannsynligvis. AI-møteassistenter prosesserer personopplysninger (stemmer, navn, samtaleinnhold) i stor skala. Datatilsynet anbefaler DPIA for AI-verktøy som behandler ansattdata.
Hva med BYOD og personlige enheter? Hvis ansatte bruker AI-møteassistenter på personlige enheter, mister IT kontrollen. Inkluder AI-verktøy i BYOD-policyen og krev at kun godkjente verktøy brukes.
Hvordan håndterer vi samtykke fra eksterne møtedeltakere? Berettiget interesse (GDPR art. 6(1)(f)) er vanligste behandlingsgrunnlag. Informer møtedeltakere i møteinvitasjonen. For usynlige verktøy er dette spesielt viktig. deltakerne ser ingen bot, så de må informeres aktivt.
IT-sikkerhet handler om å gjøre det enkelt å gjøre ting riktig. Ved å velge én godkjent AI-møteassistent og gi tydelige retningslinjer, beskytter du organisasjonen uten å bremse innovasjonen. Test Dara gratis i 7 dager. data i Sverige, ingen lydlagring, ingen modelltrening.