AI-SEKRETERAREN I DITT MÖTE — TRANSKRIBERING, GDPR OCH MÄNSKLIG KONTROLL

AVSÄNDARE OCH GRANSKNING

Vem står bakom innehållet?

Den här artikeln ingår i AI på svenska och är redaktionellt framtagen för yrkesverksamma. Använd råden som praktiskt stöd och kontrollera alltid data, ansvar och verksamhetens egna regler före införande.

REDAKTIONELLT ANSVAR: AI PÅ SVENSKA

BAKGRUND

AI-sekreteraren är redan i ditt kalendersystem

Under 2025–2026 har AI-transkribering gått från att vara en specialfunktion till att vara inbyggd i de verktyg de flesta redan använder: Microsoft Teams, Zoom, Google Meet och fristående mötesassistenter finns i verktygsfältet — ofta enkelt tillgängligt med ett klick eller aktiverat centralt av organisationen.

Nyttan är tydlig: efter ett 60-minutersmöte kan du ha ett strukturerat transkript, en sammanfattning med beslutspunkter och en lista med namngivna åtgärder inom fem minuter. Men verktyget hanterar personuppgifter — vad folk säger, hur de argumenterar och vem som uttalar sig. Innehållet kan dessutom avslöja känsliga personuppgifter, vilket ställer krav som många missar.

AI-LÄMPLIGHET

DATASKYDD

1. Vad händer med din mötesdata?

Svaret beror på verktyg, avtal och aktiverade funktioner. En viktig skiljelinje är om tjänsten är granskad och styrd av organisationen eller används via ett icke godkänt konsumentkonto.

Microsoft 365 Copilot (företagskonto)

Microsoft uppger att prompts, svar och organisationsdata som hämtas via Microsoft Graph inte används för att träna grundmodellerna i Microsoft 365 Copilot. Interaktioner, inklusive sådana som hör till möten i Teams, kan lagras som Copilot-aktivitetshistorik. Administratörer kan hantera sådan data med bland annat Microsoft Purview och organisationens retention.

För EU-kunder omfattas Microsoft 365 Copilot av Microsofts EU Data Boundary-åtaganden. Kontrollera ändå avtalet och vilka funktioner som är aktiverade: Microsoft anger exempelvis att Anthropic-modeller i Copilot-upplevelser ligger utanför EU Data Boundary-åtagandet.

Zoom AI Companion (betalkonto)

Zooms Meeting Summary aktiveras av värden och använder tal-till-text-data för att skapa sammanfattningen. Deltagarna får en notifiering i produkten när AI Companion-funktioner aktiveras. Zoom uppger att kommunikationsliknande kundinnehåll, exempelvis ljud, video och chatt, inte används för att träna Zooms eller tredje parters AI-modeller.

Samtidigt kan AI Companion använda tredjepartsmodeller och retention samt dataplacering beror på konfiguration. Zoom beskriver särskilda alternativ för EU-hostade konton och nollretention för vissa temporära mötesinputs. Kontrollera DPA, region, modellval, lagring av sammanfattningar och retention innan användning.

Ej godkända konsumenttjänster — undvik för jobbet

Det avgörande är inte om tjänsten är gratis eller betald, utan om organisationen har godkänt behandlingen. Om leverantören är personuppgiftsbiträde behövs normalt ett personuppgiftsbiträdesavtal (PBA). Kontrollera också underbiträden, eventuella tredjelandsöverföringar, lagringstid, radering och om innehåll kan användas för modellträning eller produktförbättring.

GRUNDREGEL: FRÅGA IT ELLER INKÖP INNAN DU KOPPLAR IN ETT NYTT TRANSKRIBERINGSVERKTYG.

JURIDIK

2. Din informationsskyldighet enligt GDPR

När ett möte transkriberas behandlas personuppgifter, exempelvis namn, uttalanden och kopplingen mellan en deltagare och ett inlägg. Innehållet kan även avslöja särskilda kategorier av personuppgifter, till exempel hälsa eller facklig tillhörighet. Som huvudregel kräver GDPR att de vars uppgifter behandlas får information om behandlingen.

IMY (Integritetsskyddsmyndigheten) anger att arbetsgivare har en långtgående informationsskyldighet till anställda och att skyldigheten i princip gäller vid all behandling. Informationen ska vara lätt att förstå och lämnas senast när uppgifterna samlas in om de samlas in direkt från personen. Samma GDPR-principer behöver hanteras när externa deltagare transkriberas.

Samtycke fungerar sällan som rättslig grund

IMY anger att en arbetsgivare normalt inte kan använda samtycke som rättslig grund för behandling av anställdas personuppgifter, eftersom den anställda som regel inte har ett verkligt fritt val. Undantag kan finnas, men utrymmet är mycket begränsat. Organisationen måste därför fastställa och dokumentera ändamål och lämplig rättslig grund, exempelvis efter en intresseavvägning där det är tillämpligt. För känsliga personuppgifter krävs dessutom stöd enligt GDPR:s särskilda regler.

Vad räknas som tillräcklig information?

• Att AI-transkribering används (och vilket verktyg).
• Vem som är personuppgiftsansvarig, syftet och den rättsliga grunden.
• Vem som kan läsa transkriptet och vilka leverantörer som behandlar data.
• Hur länge data sparas, eventuella överföringar och tillämpliga skydd.
• Deltagarens rättigheter och kontaktväg för frågor eller begäran.

Praktiskt kan kallelsen tydligt ange att transkribering planeras och länka till fullständig dataskyddsinformation. Påminn innan funktionen slås på och ge deltagare en kontaktväg om de vill invända eller diskutera ett alternativ.

RISKBEDÖMNING

När bör ni göra en konsekvensbedömning?

Att ett möte transkriberas betyder inte automatiskt att en konsekvensbedömning enligt GDPR krävs. Men IMY anger att en sådan bedömning kan behövas innan en ny behandling av anställdas uppgifter påbörjas eller förändras väsentligt, exempelvis vid behandling av känsliga uppgifter i stor omfattning eller systematisk övervakning.

Ta därför in dataskyddsombud eller motsvarande tidigt om ni vill rulla ut automatisk transkribering brett, använda materialet för uppföljning av anställda eller hantera möten där känsliga uppgifter sannolikt förekommer.

SCENARIER

3. Tre mötestyper — tre olika risknivåer

Interna arbetsmöten LÅG RISK

Statusmöten, projektgenomgångar och interna workshops är lättast att hantera om organisationen har en tydlig AI-policy och anställda informerats i ett personuppgiftsmeddelande. Påminn ändå muntligen i mötet om att transkribering är aktiv — det skapar förtroende och minskar risken för känsliga sidodiskussioner i fel forum.

Lagring: bestäm en kort, dokumenterad lagringstid utifrån syftet och radera när materialet inte längre behövs. Undvik som utgångspunkt transkribering av känsliga personalärenden utan särskild bedömning och godkända skydd.

Kundmöten och externa partners MEDEL RISK

Kontrollera kundavtalet: finns det sekretessklausuler som täcker vad som får behandlas av tredje part (din AI-leverantör)? Informera kunden skriftligt i möteskallelsen. Använd bara ett verktyg som organisationen har godkänt och där nödvändiga avtal finns.

Tänk på att kundens namn, strategi och affärsinformation som nämns i mötet är konfidentiell data — den ska inte lämna det system kunden och ni kommit överens om.

Rekryteringsintervjuer HÖG RISK

En intervju kan innehålla både personuppgifter och känsliga uppgifter. Ren dokumentation av samtalet är inte automatiskt högrisk-AI. Om systemet är avsett att analysera, sortera eller rangordna kandidater kan det däremot träffa AI-förordningens regler om högrisk-AI inom anställning. Informera kandidaten om transkriberingen och dess syfte innan den börjar.

Efter den politiska överenskommelsen om AI Omnibus den 7 maj 2026 anger EU-kommissionen den 2 december 2027 som tillämpningsdatum för högriskregler inom bland annat anställning. GDPR, diskrimineringsregler och krav på kontrollerad handläggning gäller redan. Fastställ retention för intervjumaterial och låt aldrig en AI-sammanfattning ensam styra ett anställningsbeslut.

PROMPT

4. Promptmall: strukturera mötesanteckningar på ett säkert sätt

Om ni inte har ett dedikerat AI-verktyg för möten kan du ta dina egna anteckningar och be en AI-tjänst strukturera dem. Det minskar dataskyddsriskerna jämfört med att ge AI direkt tillgång till ett fullständigt transkript, men bara om tjänsten är godkänd för informationen och du tar bort uppgifter som inte behövs.

TIPS: ANVÄND ENDAST GODKÄNT VERKTYG OCH PSEUDONYMISERA ELLER TA BORT PERSONUPPGIFTER SOM INTE BEHÖVS INNAN DU KLISTRAR IN ANTECKNINGAR.

MISSTAG

5. Vanliga misstag att undvika

• Aktivera transkribering utan att informera deltagarna. Att låta AI delta i ett möte som en tyst observatör utan att deltagarna vet om det riskerar att strida mot GDPR:s krav på öppen och transparent behandling och skadar förtroendet för mötet.
• Använda ett icke godkänt konto eller verktyg för jobbrelaterade möten. Utan organisationens bedömning av avtal, dataplacering, åtkomst, retention och modellträning saknar du nödvändig kontroll över behandlingen.
• Spara transkript i obegränsad tid. Ju längre ett transkript sparas, desto större är risken för att en personuppgiftsincident inträffar. Sätt en automatisk raderingsregel som matchar era arkiveringspolicyer.
• Behandla AI-sammanfattningen som faktum. AI kan missförstå nyanser, missa ironi och felaktigt attribuera uttalanden. Låt alltid den person som äger mötet granska sammanfattningen innan den distribueras.
• Dela transkriptet oreflekterat med hela teamet. Tänk igenom vem som egentligen behöver tillgång till det fullständiga transkriptet kontra en redigerad sammanfattning. Känsliga delar kan behöva redigeras bort.

CHECKLISTA

6. Innan du sätter på AI-sekreteraren

Gå igenom punkterna nedan för varje mötestyp. Kan du inte svara ja på alla relevanta punkter — vänta.

Alltid

• Organisationen har godkänt verktyget och tecknat PBA om leverantören behandlar personuppgifter för vår räkning.
• Dataplacering, underbiträden, tredjelandsöverföringar, retention och eventuell modellträning är bedömda.
• Syfte och rättslig grund är dokumenterade; känsliga uppgifter hanteras endast om särskilt stöd och skydd finns.
• Deltagarna får information före eller senast när transkriberingen aktiveras.
• Det finns en ansvarig person som granskar transkriptet innan det distribueras.
• Vi har en policy för hur länge transkript sparas och var.
• Vi har bedömt om behandlingen kräver en konsekvensbedömning enligt GDPR.

Kundmöten och externa deltagare — lägg till

• Kundavtalet tillåter att en tredjepartsleverantör (AI-tjänsten) behandlar mötesinnehållet.
• Kunden har fått skriftlig information om transkriberingen i förväg.

Rekryteringsintervjuer — lägg till

• Kandidaten har informerats om AI-transkribering och dess syfte innan intervjun.
• Vi använder inte AI-verktyget för att ranka eller poängsätta kandidater automatiskt.
• En ansvarig rekryterare granskar och ansvarar för intervjubedömningen.
• Retention och radering av transkript följer ett dokumenterat ändamål och beslutad policy.

RISKNIVÅ FÖR AVIDENTIFIERADE INTERNA ANTECKNINGAR: LÅG // KUNDMÖTEN: MEDEL // REKRYTERING: HÖG

FAQ

Vanliga frågor om AI-transkribering

Måste jag informera mötesdeltagare när AI transkriberar?

Som huvudregel, ja. Transkribering behandlar personuppgifter och deltagarna ska få tydlig information innan eller senast när behandlingen börjar. Informationen behöver bland annat ange syfte, rättslig grund, lagring, mottagare och rättigheter.

Använder Microsoft 365 Copilot mötesdata för att träna AI-modeller?

Microsoft uppger att prompts, svar och data som hämtas via Microsoft Graph inte används för att träna grundmodellerna i Microsoft 365 Copilot. Interaktioner kan däremot lagras som aktivitetshistorik och omfattas av organisationens retention och åtkomstkontroller.

Kan jag använda en gratis AI-tjänst för att transkribera möten?

Priset avgör inte om ett verktyg är tillåtet. Använd bara ett verktyg som organisationen har bedömt och godkänt, med nödvändigt personuppgiftsbiträdesavtal, kontrollerade överföringar och tydliga regler för lagring och eventuell modellträning.

Vad gäller extra för rekryteringsintervjuer?

Ren transkribering är inte automatiskt högrisk-AI. Om ett AI-system däremot är avsett att bedöma, sortera eller rangordna kandidater kan det omfattas av AI-förordningens högriskregler för anställning. GDPR och krav på rättvis, kontrollerad hantering gäller redan.

KÄLLOR

Källor och vidare läsning

• Integritetsskyddsmyndigheten: information till anställda — om informationsskyldighet och rättigheter.
• Integritetsskyddsmyndigheten: rättslig grund i arbetslivet — om samtycke och intresseavvägning.
• Integritetsskyddsmyndigheten: konsekvensbedömning i arbetslivet.
• Microsoft Learn: Data, Privacy, and Security for Microsoft 365 Copilot — kontrollerad 26 maj 2026.
• Zoom: AI Companion Security and Privacy — leverantörens whitepaper, uppdaterat 26 augusti 2025 och kontrollerat 26 maj 2026.
• Europaparlamentets och rådets förordning (EU) 2024/1689 (AI-förordningen) — särskilt artikel 6.3 och bilaga III punkt 4 om anställning.
• EU-kommissionen: överenskommelsen om AI Omnibus — publicerad 7 maj 2026, inklusive tidslinjen för högriskregler.

RELATERAT

Läs vidare

I samma serie: AI som arbetssätt. Vet du redan vad som händer med datan du matar in i AI-verktyg — och varför enterprise-konton skiljer sig från konsumentkonton?

• EU AI Act på jobbet 2026 — vad behöver du veta som anställd?
• AI Act i praktiken för HR: förbjudet, högrisk och lägre risk
• Checklista innan du klistrar in information i AI