Hvad er Microsoft 365 Copilot?

Copilot er en sprogmodel, der adskiller sig fra andre modeller som ChatGPT ved at være integreret i applikationerne i Microsoft 365 – f.eks. Word, Excel, PowerPoint, Outlook og Teams. Der er derfor tale om en integreret AI-løsning, og Copilot er dermed en integreret personlig assistent, der kombinerer sprogmodellen med organisationens egne data, der er lagret i applikationerne. Der er forskellige indstillinger i Copilot, som du kan slå til og fra. Det er bl.a. muligt at få Copilot til at hente information uden for organisationen, f.eks. på internettet. Dette rejser bl.a. spørgsmål om, hvorvidt indholdet i eksempelvis tekster genereret ved hjælp af Copilot er korrekte, og hvorvidt der videregives oplysninger til uvedkommende uden for organisationen.

Går GDPR og Microsoft 365 Copilot hånd-i-hånd? Ny rapport forsøger at give et svar

Nyhed

18.12.2024

NTNU – et teknisk universitet i Norge – har netop udgivet en rapport, hvor de har undersøgt, hvilke GDPR-udfordringer brugen af Microsoft 365 Copilot kan give. Rapporten er blevet til i et samarbejde med det norske Datatilsynet, og det er første gang, at værktøjet er blevet vurderet op i mod de databeskyttelsesretlige regler.

For NTNU har undersøgelsen betydet et foreløbigt ”nej tak” til at bruge Microsofts Copilot i hele organisationen. Det er kun i forbindelse med mindre og særligt udvalgte opgaver, at NTNU kan anvende løsningen på nuværende tidspunkt.

Det skyldes, at der er en lang række udfordringer med Copilot, når man ser på løsningen gennem GDPR-briller - læs med og se, hvad du skal være opmærksom på, hvis I bruger eller overvejer at bruge Copilot.

NTNU og det norske Datatilsyn har sammen afdækket tre områder, hvor Copilot særligt kan medføre GDPR-mæssige udfordringer:

Copilot har adgang til alt
Brugen af Copilot kan skabe en række nye behandlinger, som kræver hjemmel i GDPR
Copilot kan medføre ansættelsesretlige udfordringer

Copilot er en sprogmodel, der adskiller sig fra andre modeller som ChatGPT ved at være integreret i applikationerne i Microsoft 365 – f.eks. Word, Excel, PowerPoint, Outlook og Teams.

Der er derfor tale om en integreret AI-løsning, og Copilot er dermed en integreret personlig assistent, der kombinerer sprogmodellen med organisationens egne data, der er lagret i applikationerne.

Der er forskellige indstillinger i Copilot, som du kan slå til og fra. Det er bl.a. muligt at få Copilot til at hente information uden for organisationen, f.eks. på internettet. Dette rejser bl.a. spørgsmål om, hvorvidt indholdet i eksempelvis tekster genereret ved hjælp af Copilot er korrekte, og hvorvidt der videregives oplysninger til uvedkommende uden for organisationen.

Copilot har adgang til alt

Ifølge rapporten, som du kan læse her, har Copilot samme adgange og rettigheder i Microsoft 365, som den medarbejder der anvender løsningen.

Medarbejderen får derfor ikke adgang til nye oplysninger ved at anvende Copilot, men det øger alligevel risikoen for utilsigtet og uautoriseret brug af data, fordi værktøjet hurtigt kan finde oplysninger frem, som medarbejderen måske ikke havde kendskab til eller har fået adgang til ved en fejl.

Det stiller derfor ifølge NTNU meget store krav til organisationens adgangsstyring, hvis organisationen vælger at anvende Copilot.

Der kan opstå en række nye behandlinger, som kræver hjemmel i GDPR

NTNU har erfaret, at brugen af Copilot kan medføre en lang række nye behandlinger, som organisationen skal føre fortegnelse over og ikke mindst have (behandlings)hjemmel til at foretage.

Et eksempel fra undersøgelsen er brugen af Copilot til at skrive mødereferater.

Uden brug af Copilot vil det være begrænset, hvilke personoplysninger der vil indgå i referatet, da det kun vil være de oplysninger, som ”forfatteren” aktivt vælger at indarbejde. Men med brug af Copilot til at skrive referatet vil der ske en form for optagelse og transskription af mødet.

Dermed bliver der behandlet personoplysninger som stemme, tonefald, udtryksform og køn. Copilot kan desuden indsamle oplysninger om, hvem der taler, hvor længe de taler, og om der er overensstemmelse med det, den enkelte siger på mødet og tidligere har sagt eller givet udtryk for. Det skyldes, at Copilot (også) kan søge i nærliggende dokumenter og foretage en sammenligning.

Copilot kan medføre ansættelsesretlige udfordringer

Rapporten fra NTNU afslører en lang række funktioner i Copilot, der betyder, at organisationen ikke bare skal undersøge, om brugen af løsningen overholder GDPR, men også skal undersøge, om der er ansættelsesretlige udfordringer ved brugen.

Mens det norske arbejdsmarked primært er reguleret gennem lovgivning, er det danske arbejdsmarked i høj grad reguleret af overenskomster. Dette er nødvendig at huske, når du læser rapporten.

Det ændrer dog ikke ved, at de arbejdsmarkedsretlige problemstillinger, der fremgår af rapporten, også potentielt kan være problemstillinger i Danmark. Det handler blandt andet om overvågning af medarbejderens brug af IT-udstyr, som kan være særdeles omfattende ved brugen af Copilot. Desuden lægger NTNU til grund, at Copilot kan anvendes til at profilere den enkelte bruger, hvilket der som udgangspunkt er et forbud mod i GDPR artikel 22.

Anbefalinger, hvis du vil bruge Copilot eller andre lignende løsninger

NTNU og det norske Datatilsynet kommer med en række anbefaling, hvis du gerne vil anvende Copilot eller for så vidt andre lignende løsninger.

Anbefalingerne er:

Hav orden i eget hus
Identificér og begræns, hvad Copilot skal bruges til
Vurdér det retlige grundlag for de behandlinger, der sker
Vurdér de databeskyttelsesretlige konsekvenser
Sørg for, at organisationen har kompetencer til at vurdere brugen
Vurdér alternative løsninger
Start småt – du kan altid udvide brugen, når organisationen er blevet bedre trænet.

Du finder listen med anbefalinger og en uddybning af hver anbefaling her.