Loom AI
- Leverantör
- Loom, ägt av Atlassian Corporation (Australien/USA)
- Kategori
- async_video / productivity
- Hosting
- AWS. Looms data behandlas i flera regioner inkl. **EES (Sverige, Irland, Tyskland)**. AI-behandling via OpenAI sker i **USA**. Ingen Loom-specifik data-residency-pinning.
Vad det är
Async video-meddelanden med AI ovanpå transkript: auto-titlar, sammanfattningar, kapitel, CTA-länkar, AI-workflows (video → dokument/Jira-issue/meddelande), mötesanteckningar, fyllnadsords-/tystnadsborttagning, redigering via transkript. 50+ språk.
Typisk dataaccess
- Video- och ljudinspelningar användaren skapar
- Transkript av inspelningarna (skickas som text till OpenAI)
- Mötesmetadata och deltagarinfo
- Vid AI-workflows: transkriptinnehåll som omvandlas till dokument/issues
EU AI Act-bedömning
Risknivå: Limited
Motivering: Genererar syntetisk text (titlar/sammanfattningar) → Article 50-transparensplikt kan beröras (gäller från 2026-08-02, ev. förskjutning till 2026-12-02 via Digital Omnibus). Inte Annex III high-risk i normal användning.
GDPR-överväganden
Datalagring: AWS, flera regioner inkl. EES (Stockholm/Irland/Tyskland). Transkript skickas som text till OpenAI (USA).
Datatransfer: OpenAI tar emot transkript-text (inte video/ljud) i USA; OpenAI behåller transkript max 30 dagar. SCC för EU→US.
DPA tillgänglig: Via Atlassians villkor (legacy Loom DPA-PDF finns). Sub-processor-lista (Atlassian-bred inkl. Loom): https://www.atlassian.com/legal/sub-processors — nyckel: AWS, OpenAI (USA), Speechmatics/Cantab (transkribering, USA).
Träningsstance: Loom anger: "The LLM providers we use do not use your inputs and outputs to improve their services. Neither OpenAI nor any other LLM provider retains your inputs and outputs." AI kan stängas av per video, som default, eller workspace-brett (Enterprise). Caveat: Atlassian-koncernens bredare träningspolicy-ändring (2026-08-17) bör bevakas.
Särskilda risker:
- Transkript-text går till OpenAI i USA (även om video stannar i EES)
- Klient-känsligt innehåll i en inspelad walkthrough → transkript exponeras
- Atlassians kommande träningspolicy-ändring (aug 2026)
- Ingen Loom-specifik EU-residency-pinning
Vanliga risker
- Anställd spelar in en skärmgenomgång med klientdata synlig → transkript + ev. bild till AI/OpenAI
- AI-sammanfattning delas bredare än avsett
- Antagande att "EES-hosting" betyder att AI-behandlingen sker i EU — transkript går till OpenAI/USA
- Atlassian-koncern-träning aktiveras framöver utan att byrån märker det
Rekommenderade mitigeringar
- Stäng av Loom AI workspace-brett (Enterprise) för känsliga team, eller per video vid klientinnehåll
- Förbjud inspelning av skärmar med klientdata i policy
- Bevaka Atlassians träningspolicy (2026-08-17) och opt:a ut där möjligt
- Opt-out av att skicka data till OpenAI via support@loom.com om så krävs
- Använd Loom främst för interna instruktions-/SOP-videor utan klientdata
Branschspecifik vägledning – revision/redovisning
Får användas för:
- Interna instruktionsvideor, onboarding, SOP-genomgångar utan klientdata
- Async-kommunikation inom byrån
- Utbildningsmaterial där inget klientmaterial visas
Får INTE användas för:
- Inspelningar där klientdata visas på skärm (transkript går till OpenAI/USA)
- Klientmöten med känslig info utan samtycke och AI avstängt
- Granskningsdokumentation (Loom-sammanfattningar är inte ISA-bevis)
Särskild försiktighet vid:
- Skärminspelningar — kontrollera vad som syns innan inspelning
- AI-sammanfattningars spridning
- Atlassians kommande träningspolicy-ändring
Källor
- Loom AI (Atlassian): https://www.atlassian.com/software/loom/ai
- Loom AI features (träning/retention, OpenAI): https://support.atlassian.com/loom/docs/loom-ai-features/
- Atlassian sub-processors: https://www.atlassian.com/legal/sub-processors
- Saknas: Loom-specifik EU-residency-pinning, Article 50-position; bevaka Atlassians 2026-08-17-träningsändring
Relaterade verktyg
Andra verktyg i samma kategori och fas — kan ha liknande överväganden.
Behöver ni hjälp att tolka detta för er specifika byrå?
Boka 30 min →