KI-loven og AI Act: Hva betyr den nye loven for AI-møteverktøy i Norge?
Norges nye KI-lov (EUs AI Act) trer i kraft etter sommeren 2026. Lær hvordan den påvirker AI-møteverktøy, hvilke krav som gjelder, og hvordan du velger riktig verktøy som er klart for den nye loven.
Norges nye KI-lov, basert på EUs AI Act, trer i kraft etter sommeren 2026. For norske bedrifter som bruker AI-møteverktøy betyr det nye krav til risikovurdering, dokumentasjon og åpenhet. Her er alt du trenger å vite.
Hva er AI Act og KI-loven?
AI Act er EUs forordning for kunstig intelligens, vedtatt 1. august 2024 og gradvis innført med full virkning fra august 2026. Norge får sin egen KI-lov (KI-forordningen) som gjennomfører AI Act i norsk rett, forventet etter sommeren 2026.
Loven klassifiserer KI-systemer i fire risikonivåer:
| Risikonivå | Beskrivelse | Eksempler |
|---|---|---|
| Uakseptabel | Forbudt | Følelsesgjenkjenning på arbeidsplassen, sosial scoring |
| Høy risiko | Strenge krav | KI som evaluerer ansatte, analyserer jobbsøknader, tar ansettelsesvalg |
| Begrenset risiko | Åpenhetskrav | Chatbots, AI-generert innhold, møtetranskribering |
| Minimal risiko | Ingen krav | Spamfiltre, autocomplete |
Hvor havner AI-møteverktøy?
De fleste AI-møteverktøy, inkludert Dara, Granola, Otter.ai og lignende, klassifiseres som begrenset risiko. Det betyr at de ikke er forbudt eller underlagt de strengeste kravene, men at åpenhetskrav gjelder.
Begrenset risiko: Hva kreves?
For KI-systemer med begrenset risiko stiller AI Act krav om:
- Informasjonsplikt: Alle møtedeltakere må vite at KI brukes til transkribering og oppsummering
- Merking av AI-generert innhold: Møteoppsummeringer laget av AI bør merkes som AI-genererte
- Tilgjengelig dokumentasjon: Brukeren skal kunne forstå hva KI-systemet gjør
Når blir møteverktøy høy risiko?
Et AI-møteverktøy kan klassifiseres som høy risiko hvis det brukes til å:
- Evaluere ansattes prestasjoner basert på møtedeltakelse eller bidrag
- Analysere kandidater i jobbintervjuer (sentimentanalyse, kroppsspråk, talekvalitet)
- Ta beslutninger om forfremmelse eller oppsigelse basert på møtedata
- Overvåke ansattes atferd systematisk gjennom møtedata
Viktig: Det er ikke verktøyet i seg selv, men bruken som avgjør risikonivået. Et møteverktøy som kun lager referat er begrenset risiko. Samme verktøy brukt til å score ansattes bidrag kan bli høy risiko.
8 krav du må oppfylle, uansett risikonivå
Selv om møteverktøy typisk er begrenset risiko, overlapper AI Act med GDPR. Her er kravene norske bedrifter allerede bør ha på plass:
1. Kartlegg KI-verktøyene dine
Lag en oversikt over alle AI-verktøy som brukes i organisasjonen. For møteverktøy: hvem bruker det, i hvilke møter, og hvem er berørt?
2. Klassifiser risikoen
Vurder om bruken er begrenset risiko (transkribering, referat) eller potensielt høy risiko (evaluering, overvåking).
3. Informer alle berørte
Møtedeltakere, også eksterne, må informeres om at AI brukes. Dette er allerede et GDPR-krav, men AI Act forsterker det.
4. Gjennomfør risikovurdering
En personvernkonsekvensutredning (DPIA) er anbefalt for alle AI-møteverktøy og påkrevd for høyrisiko-bruk.
5. Dokumenter bruken
Beskriv hva verktøyet gjør, hvilke data det prosesserer, hvor data lagres, og hvem som har tilgang.
6. Sikre menneskelig tilsyn
AI-genererte møtereferater bør gjennomgås av mennesker, spesielt hvis de brukes til beslutninger.
7. Gi opplæring
Ansatte som bruker AI-møteverktøy må forstå hvordan verktøyet fungerer, hva det gjør med data, og sine plikter.
8. Velg leverandør med omhu
Leverandøren bør kunne dokumentere compliance. Sjekk:
- Hvor lagres data? (EU/EØS vs USA)
- Brukes møtedata til å trene AI-modeller?
- Lagres lydopptak?
- Er det en databehandleravtale (DPA)?
Slik velger du AI-møteverktøy som er klart for KI-loven
Ikke alle verktøy er like godt forberedt. Her er en sjekkliste:
✅ Grønt lys, compliance-vennlig
- Data lagres i EU/EØS: unngår Schrems II-problematikk og forenkler AI Act-compliance
- Ingen AI-trening på møtedata: møtedataene dine brukes kun for deg
- Ingen lydlagring: minimerer personvernrisiko (dataminimering, GDPR art. 5)
- Tydelig DPA: databehandleravtale tilgjengelig
- Åpen om AI-modeller: dokumenterer hvilke modeller som brukes og hvordan
🟡 Gult lys, krever vurdering
- Data i USA med EU-US DPF: akseptabelt, men krever ekstra dokumentasjon
- Lagrer lyd/video midlertidig: ok hvis slettefrister er definert
- Bot som joiner møter: krever eksplisitt samtykke fra alle deltakere
🔴 Rødt lys, høy compliance-risiko
- Bruker møtedata til modelltrening: potensielt i strid med AI Act og GDPR
- Uklart hvor data lagres: umulig å gjennomføre risikovurdering
- Ingen DPA tilgjengelig: juridisk uforsvarlig
- Følelsesgjenkjenning eller atferdsskåring: forbudt under AI Act
Sammenligning: Compliance-profil for populære møteverktøy
| Verktøy | Datalagring | AI-trening | Lydlagring | Bot | KI-lov-risiko |
|---|---|---|---|---|---|
| Dara | 🇸🇪 Sverige (EU) | Nei | Nei | Nei (usynlig) | ✅ Lav |
| Granola | 🇺🇸 USA | Nei (opt-in) | Nei | Nei (usynlig) | 🟡 Middels |
| Otter.ai | 🇺🇸 USA | Ja (standard) | Ja | Ja (bot) | 🔴 Høy |
| Fireflies | 🇺🇸 USA | Ja (forbedring) | Ja | Ja (bot) | 🔴 Høy |
| Microsoft Copilot | 🇪🇺 EU (valgfritt) | Nei | Nei | Nei (native) | 🟡 Middels |
| Krisp | 🇺🇸 USA (standard) | Nei | Nei | Nei (lokal) | 🟡 Middels |
| tl;dv | 🇪🇺 EU | Nei | Ja | Ja (bot) | 🟡 Middels |
| Jamie | 🇪🇺 EU | Nei | Nei | Nei (lokal) | ✅ Lav |
| Notably | 🇳🇴 Norge | Ukjent | Ja | Ja (bot) | 🟡 Middels |
Merk: Klassifiseringen er basert på offentlig tilgjengelig informasjon per mars 2026. Sjekk alltid oppdaterte vilkår.
AI Act + GDPR: Dobbelt regelverk, dobbelt ansvar
AI Act erstatter ikke GDPR, de gjelder parallelt. For AI-møteverktøy betyr det:
| Krav | GDPR | AI Act |
|---|---|---|
| Behandlingsgrunnlag | ✅ Påkrevd | , |
| Informasjonsplikt | ✅ Påkrevd | ✅ Forsterket |
| DPIA | ✅ Ved høy risiko | ✅ Ved høy risiko |
| Dataminimering | ✅ Påkrevd | , |
| Dokumentasjon | ✅ Påkrevd | ✅ Utvidet |
| Menneskelig tilsyn | , | ✅ Påkrevd (høy risiko) |
| Risikoklassifisering | , | ✅ Påkrevd |
| Merking av AI-innhold | , | ✅ Påkrevd |
| Opplæring av brukere | , | ✅ Påkrevd |
Gebyrene under AI Act kan bli høyere enn GDPR, opptil 35 millioner euro eller 7 % av global omsetning.
5 vanlige feil bedrifter gjør
1. «Vi bruker jo bare Copilot, det er vel greit?»
Selv om verktøyet er fra Microsoft, er det din bedrift som er ansvarlig for å oppfylle kravene. Du må dokumentere bruken, informere berørte, og gjennomføre risikovurdering.
2. «GDPR-compliance betyr at vi er AI Act-compliant»
Nei. AI Act har tilleggskrav som GDPR ikke dekker, spesielt risikoklassifisering, AI-merking og opplæring.
3. «Møteverktøy er lav risiko, vi trenger ikke gjøre noe»
Begrenset risiko betyr ikke null krav. Åpenhetskrav gjelder, og ved feil bruk (evaluering av ansatte) kan risikonivået øke.
4. «Vi informerer bare om opptak i innkallingen»
AI Act krever mer enn en generell setning. Deltakere skal forstå at KI brukes, hva den gjør, og hvordan data håndteres.
5. «Vi venter til loven trer i kraft»
Loven trer i kraft etter sommeren 2026, men forberedelsene tar tid. Kartlegging, klassifisering, dokumentasjon og opplæring bør startes nå.
Tidslinje: Hva skjer når?
| Dato | Hendelse |
|---|---|
| 1. aug 2024 | AI Act vedtatt i EU |
| 2. feb 2025 | Forbudte KI-praksiser trer i kraft (EU) |
| 2. aug 2025 | Krav til allmennformåls-AI-modeller (EU) |
| Aug 2026 | Full virkning av AI Act i EU |
| Etter sommeren 2026 | KI-loven trer i kraft i Norge |
| 2027+ | Høyrisiko-krav for eksisterende systemer |
Slik forbereder du bedriften, 4 steg
Steg 1: Kartlegg (nå)
List opp alle AI-verktøy som brukes, inkludert møteverktøy, Copilot, ChatGPT, og andre.
Steg 2: Klassifiser (nå)
Vurder risikonivå for hvert verktøy basert på bruksområde. Gjennomfør DPIA for verktøy med potensielt høy risiko.
Steg 3: Dokumenter og informer (Q2 2026)
Lag intern policy, oppdater personvernerklæring, informer ansatte og eksterne deltakere.
Steg 4: Velg riktig leverandør (Q2 2026)
Velg verktøy som gjør compliance enkelt. EU-datalagring, ingen AI-trening, tydelig DPA, og minimal datainnsamling.
Hvorfor Dara er bygget for KI-loven
Dara er designet med personvern og compliance fra dag én:
- Data lagres i Sverige: innenfor EU/EØS, ingen Schrems II-risiko
- Ingen AI-trening: møtedataene dine brukes aldri til å trene modeller
- Ingen lydlagring: lyden prosesseres og slettes, kun tekst beholdes
- Usynlig: ingen bot som krever eksplisitt tillatelse fra alle deltakere
- DPA tilgjengelig: tydelig databehandleravtale
- Best på norsk: transkribering optimalisert for norsk språk og dialekter
- AES-256-kryptering: for data i ro og under overføring
Daras arkitektur, usynlig, EU-data, ingen lydlagring, ingen AI-trening, gjør compliance-arbeidet betydelig enklere enn med bot-baserte verktøy som lagrer lyd i USA.
Ofte stilte spørsmål
Er AI-møteverktøy forbudt under AI Act?
Nei. Møteverktøy som transkriberer og oppsummerer er typisk klassifisert som begrenset risiko. De er lovlige, men krever åpenhet og informasjonsplikt.
Trenger jeg DPIA for et AI-møteverktøy?
Det er anbefalt for alle AI-møteverktøy og påkrevd hvis verktøyet brukes til evaluering av ansatte eller prosesserer sensitive data.
Gjelder AI Act for verktøy fra USA-leverandører?
Ja. AI Act gjelder alle KI-systemer som brukes i EU/EØS, uavhengig av hvor leverandøren er basert.
Hva er straffen for brudd?
Opptil 35 millioner euro eller 7 % av global omsetning, høyere enn GDPR (20M / 4 %).
Må jeg informere møtedeltakere om at AI brukes?
Ja. Både GDPR og AI Act krever det. For usynlige verktøy (som Dara) anbefaler vi en kort informasjon i møteinnkalling eller agendaen.
Kan jeg bruke AI-møteverktøy til å evaluere ansatte?
Det kan gjøre bruken til høy risiko under AI Act. Følelsesgjenkjenning (sentiment-analyse av ansattes stemmer) er eksplisitt forbudt. Prestasjonsovervåking krever streng compliance.
