Implementering af Copilot er ikke kun et spørgsmål om effektivitet, men også en beslutning om, hvordan organisationen håndterer adgang til og brug af data på tværs af hele Microsoft 365-miljøet. Med en DPIA får I et centralt styringsværktøj for risiko, ansvar og anvendelse af AI i praksis.
Kammeradvokatens DPIA af Copilot kan være et nyttigt udgangspunkt, men den kan ikke genbruges direkte. Den er udarbejdet til en specifik kontekst med bestemte cases, datatyper og konfigurationer, som sjældent matcher en privat organisation. Til gengæld tydeliggør analysen kompleksiteten i anvendelsen af Copilot: hvilke datakilder der bringes i spil, hvordan output kan påvirke beslutninger, og hvilke risici der opstår, når AI får adgang til eksisterende informationsstrømme.
DPIA’en bør derfor bruges som reference – ikke som facitliste. Den giver en struktur for, hvilke spørgsmål I skal stille, og hvilke forhold I skal tage stilling til – fra afgrænsning af anvendelsen til vurdering af risici og foranstaltninger. Vi vil nu komme med en fremgangsmetode, som I kan bruge, hvis I selv skal benytte jer af Copilot.
1) Afgræns jeres brug af Copilot
Første skridt er at afgrænse, hvordan Copilot faktisk bruges i organisationen i form af konkrete arbejdsgange og opgaver.
Det er ikke tilstrækkeligt at beskrive, at “vi bruger Copilot” eller “vi anvender AI”. I stedet skal I definere specifikke cases, hvor det er tydeligt:
-
hvilke opgaver Copilot bruges til
-
hvilke personoplysninger der indgår i opgaven
-
hvem der bruger Copilot
Her kan Kammeradvokatens opdeling i tre overordnede cases bruges som inspiration:
-
Generel sagsbehandling (fx udkast og opsummeringer)
-
Administrativ støtte (fx HR-, IT- eller økonomi)
-
Beslutningsstøtte (fx input til afgørelser)
En klar afgrænsning er forudsætningen for at kunne arbejde meningsfuldt med risici og foranstaltninger. Uden den bliver DPIA’en generisk og mister værdi som beslutningsgrundlag.
2) Beskriv hvordan personoplysninger behandles i praksis
Næste skridt er at beskrive, hvordan personoplysninger behandles i praksis. En DPIA kræver en systematisk beskrivelse af behandlingen – ikke kun formål, men hvordan personoplysninger bevæger sig gennem systemet.
Her kan Kammeradvokatens DPIA bruges som inspiration. Den gennemgår, hvordan Copilot interagerer med Microsoft 365-miljøet, og det er netop den type overblik, I skal etablere.
Konkret bør I tage stilling til:
- hvilke systemer Copilot har adgang til (fx SharePoint, OneDrive, Teams og Outlook)
- hvordan personoplysninger tilgås og sammenstilles (fx via Microsoft Graph)
- hvad der sker, når der gives en prompt, og hvilke data Copilot kan inddrage i svaret
Formålet er at kunne forklare behandlingen end-to-end: fra brugerens input til Copilots output. Dér kan I vurdere, hvilke risici der opstår.
LÆS OGSÅ: Sådan implementeres EU's direktiver og forordninger i Skandinavien
3) Vurder nødvendighed og proportionalitet
En DPIA handler også om at vurdere, om behandlingen er nødvendig og rimelig i forhold til formålet. Det indebærer, at I tager stilling til, hvorfor Copilot anvendes i de konkrete cases, og om det står mål med den behandling af personoplysninger, der følger med.
Spørg fx:
-
Er det nødvendigt at bruge Copilot til denne opgave?
-
Hvilke fordele opnår vi, og er de væsentlige nok?
-
Kunne opgaven løses på en mindre indgribende måde?
I praksis handler det ofte om at afgrænse anvendelsen. Et centralt spørgsmål er, om Copilot skal have adgang til hele datamiljøet, eller om adgangen bør begrænses til bestemte systemer eller datatyper.
Hvis behandlingen indebærer høj risiko for de registrerede, er det ikke tilstrækkeligt, at den er praktisk eller effektiv. Den skal være nødvendig og proportionel i forhold til formålet.
4) Identificér risici med afsæt i DPIA’en
Når behandlingen er kortlagt, kan risikovurderingen gennemføres. Kammeradvokatens DPIA giver et godt udgangspunkt, men risiciene skal vurderes og prioriteres i jeres egen kontekst.
I praksis vil tre risikoområder ofte være gældende:
Uautoriseret adgang til personoplysninger
Copilot kan sammenstille information på tværs af systemer. Hvis adgangsrettighederne ikke er korrekt konfigureret, kan medarbejdere få indsigt i personpolysninger, de ikke burde have adgang til. Derudover er der risiko for at medarbejderes profiler bliver hacket.
→ Konsekvens: Potentielle brud på GDPR, bøder og skade på renommé.
Fejlagtigt eller misvisende output
Copilot kan generere svar, der fremstår valide, men er faktuelt forkerte eller biased.
→ Konsekvens: Beslutninger træffes på et forkert grundlag med både forretningsmæssige og juridiske implikationer.
Uklar ansvarsfordeling i beslutningsprocesser
Når AI indgår i arbejdsprocesser, kan det blive uklart, hvem der har det endelige ansvar for output og beslutninger.
→ Konsekvens: Øget regulatorisk eksponering og risiko for manglende compliance.
Derudover vil risici som bias, hallucinationer og ukritisk brug af systemet typisk være relevante.
For hver risiko bør I tage stilling til:
• Er risikoen relevant i vores anvendelse?
• Hvor sandsynlig er den i vores setup?
• Hvilke konsekvenser vil den have – både for de registrerede og forretningen?
Risikoen afhænger ikke kun af teknologien, men i høj grad af, hvordan den bruges i praksis. Det betyder, at samme risiko kan være lav i én organisation og høj i en anden.
5) Fastlæg foranstaltninger der reducerer risikoen
Når risici er identificeret og vurderet, er næste skridt at fastlægge de foranstaltninger, der reducerer dem til et acceptabelt niveau.
Her kan Kammeradvokatens DPIA igen bruges som inspiration. Den beskriver en række tekniske og organisatoriske tiltag, som kan overføres og tilpasses jeres setup.
Foranstaltningerne kan typisk inddeles i tre kategorier:
Tekniske foranstaltninger:
• Begrænsning af adgang til personoplysninger (fx via rettighedsstyring)
• Brug af dataklassificering og labels
• Konfiguration af Copilot så behandlingen af følsomme personoplysninger begrænses
Organisatoriske foranstaltninger:
• Afgrænsning af cases hvor Copilot anvendes
• Retningslinjer for brug af AI i organisationen
• Tydelig ansvarsfordeling
Menneskelige foranstaltninger:
• Træning af medarbejdere i korrekt brug
• Fokus på at identificere bias og fejl i output
• Krav om menneskelig kontrol ved beslutningsstøtte
Formålet er ikke at eliminere alle risici, men at reducere dem til et niveau, hvor behandlingen kan anses som forsvarlig.
6) Dokumentation og forankring af DPIA’en
En DPIA er både analyse og dokumentation. Det betyder, at jeres vurderinger og beslutninger skal kunne dokumenteres, herunder:
• hvordan behandlingen er beskrevet
• hvilke risici der er identificeret
• hvilke foranstaltninger der er valgt – og hvorfor
Samtidig skal DPIA’en forankres i organisationen ved at definere:
• hvem der har ansvar for anvendelsen af Copilot
• hvordan retningslinjer efterleves i praksis
• hvordan der følges op på brugen over tid
DPIA’en bør desuden opdateres løbende, hvis I ændrer i brugen, får adgang til nye datatyper eller ændrer konfigurationen af Copilot.
LÆS OGSÅ: EU’s øgede fokus på cybersikkerhed
Fra analyse til praksis
Kammeradvokatens DPIA kan fungere som udgangspunkt for organisationer, der anvender Copilot, men den bliver først værdifuld, når den omsættes til konkrete vurderinger og beslutninger.
Hvis DPIA’en reduceres til alene at være dokumentation, er der risiko for, at væsentlige forhold overses i praksis – særligt i forhold til dataadgang, beslutningsstøtte og ansvar. Det vil øge risikoen for fejlagtige beslutninger og manglende kontrol over personoplysninger.
Samtidig udvikler brugen af Copilot sig løbende. Nye anvendelser opstår, eksisterende arbejdsgange ændres og datagrundlaget udvides. Det betyder, at de risici og foranstaltninger, der er identificeret én gang, ikke nødvendigvis er dækkende fremadrettet. DPIA’en bør derfor bruges som en løbende styringsmekanisme – ikke som et statisk dokument. Det er i den anvendelse, at den skaber værdi.
