Zoom AI Companion
- Leverantör
- Zoom Communications Inc. (USA)
- Kategori
- meeting_assistant
- Hosting
- US-baserat. Trots att Zoom deltar i EU-US Data Privacy Framework processas data i USA även för EU-användare.
Vad det är
AI inbyggd i Zoom-möten, -chat, -mejl, -webinar. Funktioner: realtids-sammanfattning, "catch up if I joined late", action item-extraktion, mötesförslag, smart compose i Zoom Mail.
Ofta marknadsfört som "ingår gratis" i Zoom Workplace-licenser — vilket gör att AI Companion aktiveras default för många organisationer som kanske inte explicit beslutat om det.
Typisk dataaccess
- Mötesinspelning + transkript (om inspelning aktiverat)
- Chat-meddelanden i Zoom-möten och -teams
- Mötesmetadata (deltagare, längd, agenda)
- Vid Zoom Mail-integrering: mejl-innehåll
- Vid Zoom Phone-integrering: samtals-transkript
- Realtidsdata under pågående möte för "catch up"-funktionen
EU AI Act-bedömning
Risknivå: Limited (general-purpose AI i mötes-kontext)
Motivering: Mötes-sammanfattning är inte automatiskt high-risk. Användning för automatiserad utvärdering av anställdas eller klienters mötesprestationer skulle vara Annex III.
GDPR-överväganden
Datalagring:
- Customer content används inte för modell-träning sedan 2023 (efter den uppmärksammade kontroversen)
- Encryption in transit + at rest
- Retention "as long as necessary to provide services" — inte tidsbegränsat, vilket strider mot GDPR-principen om dataminimering
Datatransfer: EU-trafik processas i USA även för EU-tenants. EU-US Data Privacy Framework tillämpas. Schrems-II-implikationer kvarstår oklara.
DPA tillgänglig: Ja, Zoom har formellt DPA. Standardiserat för enterprise.
Särskilda risker:
- Transparens-problemet: mötesdeltagare informeras ofta inte att AI Companion är aktiv. Detta strider mot GDPR-principen om informerat samtycke.
- Default-aktivering: AI Companion aktiveras lätt utan medvetet beslut — adminstratörer kan stänga av men många missar att göra det
- Bred admin-access: mötesvärden får sammanfattningen, men account-admins kan komma åt AI Companion-output över alla användare beroende på inställningar
- Indefinite retention strider mot GDPR
Vanliga risker
- Klientmöte transkriberas + sammanfattas utan klientmedgivande → GDPR-överträdelse + revisorslagens sekretess
- Mötesdeltagare förstår inte att AI Companion är aktiv (subtila visuella indikatorer)
- "Catch up" inkluderar information användaren missade — kan bryta klient-konfidentialitet om någon joinar mitt i mötet
- Account-admins får oavsiktlig insyn i mötesinnehåll utan att deltagare är medvetna
- Auto-transkribering av Zoom Phone-samtal i klient-kontext
Rekommenderade mitigeringar
- Disable AI Companion default för organisationen, aktivera explicit per möte vid behov
- Tydlig kommunikation till mötesdeltagare när AI Companion aktiveras — i agenda, inbjudan, och vid mötets början
- Förbjud AI Companion i klient-möten utan dokumenterat samtycke från klient
- Granska account-admin-permissions för AI Companion-output — princip om minst nödvändiga access
- Alternativ: överväg att stänga av Zoom AI Companion helt och använda en separat verktyg där aktivering är medveten (t.ex. Otter.ai, Fireflies — separata posters i framtida uppdatering)
- Sätt upp retention-policy där möjligt — Zoom indefinite retention är inte automatiskt acceptabelt
Branschspecifik vägledning – revision/redovisning
Får användas för:
- Interna byrå-möten utan klient närvarande, utan klient-data diskuterad
- Action item-extraktion i interna planeringsmöten
- Sammanfattning av webinarier eller utbildning där allt material redan är offentligt
Får INTE användas för:
- Klientmöten utan dokumenterat och informerat klientsamtycke till AI-bearbetning
- Diskussion av klientmedel (revisorslagen 19 §)
- Möten där känslig affärsinformation (M&A, omstrukturering, känsliga personuppgifter) diskuteras
- Möten där känsliga personuppgifter om enskilda diskuteras (HR-frågor, hälsoinformation)
- "Auto-summary" av möten där deltagare inte uppmärksammats om att AI är aktiv
Särskild försiktighet vid:
- Möten med externa deltagare — informerat samtycke krävs av alla, inte bara host
- Account-admin-permissions — kan ge oavsiktlig insyn i klientmöten
- "Smart compose" i Zoom Mail för klient-kommunikation
- Zoom Phone med AI Companion på samtal som inkluderar klient-info
Källor
- Zoom AI Companion Security and Privacy: https://www.zoom.com/en/products/ai-assistant/resources/privacy-security/
- Zoom AI Companion GDPR analysis: https://www.sally.io/blog/zoom-ai-companion-gdpr-and-data-protection
- Zoom EU-US Data Privacy Framework
- Zoom DPA (begär från Zoom direkt eller via Trust Center)
Behöver ni hjälp att tolka detta för er specifika byrå?
Boka 30 min →