Merk: Kammeradvokaten er et privat advokatfirma som fungerer som den danske statens faste juridiske rådgiver. De bistår departementer og offentlige myndigheter med alt fra juridisk rådgivning til rettssaker og større offentlige kontrakter.
Implementering av Copilot handler ikke bare om effektivitet, men også om hvordan organisasjonen håndterer tilgang til og bruk av data på tvers av hele Microsoft 365-miljøet. En DPIA gir et sentralt styringsverktøy for risiko, ansvar og bruk av AI i praksis.
Kammeradvokatens DPIA for Copilot kan være et nyttig utgangspunkt, men kan ikke gjenbrukes direkte. Den er utarbeidet for en spesifikk dansk kontekst med bestemte bruksområder, datatyper og konfigurasjoner som sjelden samsvarer med en privat virksomhet. Analysen tydeliggjør derimot kompleksiteten ved bruk av Copilot: hvilke datakilder som tas i bruk, hvordan output kan påvirke beslutninger, og hvilke risikoer som oppstår når AI får tilgang til eksisterende informasjonsstrømmer.
Selv om norske virksomheter er underlagt personvernforordningen (GDPR) gjennom norsk lovgivning og må forholde seg til norske tilsynsmyndigheter, er mange av de samme problemstillingene relevante. DPIA-en bør derfor brukes som et referansepunkt, ikke som en fasit. Den gir en struktur for hvilke spørsmål dere bør stille, og hvilke forhold dere må ta stilling til, fra avgrensning av bruken til vurdering av risiko og sikkerhetstiltak.
1) Avgrens hvordan dere bruker Copilot
Det første steget er å avgrense hvordan Copilot faktisk brukes i organisasjonen. Ikke på et overordnet nivå, men gjennom konkrete arbeidsprosesser og oppgaver.
Det er ikke tilstrekkelig å beskrive at "vi bruker Copilot" eller "vi bruker AI". I stedet bør dere definere konkrete bruksområder der det er tydelig:
-
hvilke oppgaver Copilot brukes til
-
hvilke data som inngår i oppgaven
-
hvem som bruker Copilot
Her kan Kammeradvokatens inndeling i tre overordnede bruksområder brukes som inspirasjon:
-
generell saksbehandling (for eksempel utkast og oppsummeringer)
-
administrativ støtte (for eksempel HR, IT eller økonomi)
-
beslutningsstøtte (for eksempel innspill til beslutninger
En tydelig avgrensning er en forutsetning for å kunne arbeide meningsfullt med risiko og sikkerhetstiltak. Uten den blir DPIA-en generell og mister verdi som beslutningsgrunnlag.
2) Beskriv hvordan data behandles i praksis
Neste steg er å beskrive hvordan data behandles i praksis. En DPIA krever en systematisk beskrivelse av behandlingen, ikke bare formålet, men også hvordan data beveger seg gjennom systemet.
Her kan Kammeradvokatens DPIA brukes direkte som inspirasjon. Den gjennomgår hvordan Copilot samhandler med Microsoft 365-miljøet, og det er nettopp denne typen oversikt dere bør etablere.
Konkret bør dere ta stilling til:
-
hvilke systemer Copilot har tilgang til (for eksempel SharePoint, OneDrive, Teams og Outlook)
-
hvordan data hentes inn og sammenstilles (for eksempel via Microsoft Graph)
-
hva som skjer når en prompt sendes inn, og hvilke data Copilot kan trekke inn i svaret
Formålet er å kunne beskrive behandlingen fra ende til ende, fra brukerens input til Copilots output. Det er først da dere kan vurdere hvilke risikoer som oppstår.
LES OGSÅ: Slik implementeres EUs direktiver og forordninger i Skandinavia
3) Vurder nødvendighet og forholdsmessighet
En DPIA handler også om å vurdere om behandlingen er nødvendig og forholdsmessig sett opp mot formålet. Det innebærer at dere må ta stilling til hvorfor Copilot brukes i de konkrete bruksområdene, og om fordelene står i forhold til behandlingen av personopplysninger.
Still for eksempel følgende spørsmål:
-
Er det nødvendig å bruke Copilot til denne oppgaven?
-
Hvilke fordeler oppnår vi, og er de tilstrekkelig betydelige?
-
Kunne oppgaven vært løst på en mindre inngripende måte?
I praksis handler dette ofte om å avgrense bruken. Et sentralt spørsmål er om Copilot skal ha tilgang til hele datamiljøet, eller om tilgangen bør begrenses til bestemte systemer eller datatyper.
Dersom behandlingen innebærer høy risiko for de registrerte, er det ikke nok at den er praktisk eller effektiv. Den må også være nødvendig og forholdsmessig.
4) Identifiser risiko med utgangspunkt i DPIA-en
Når behandlingen er kartlagt, kan risikovurderingen gjennomføres. Kammeradvokatens DPIA gir et godt utgangspunkt, men risikoene må vurderes og prioriteres i lys av deres egen kontekst.
I praksis vil tre risikoområder ofte være særlig relevante:
Uautorisert tilgang til data
Copilot kan sammenstille informasjon på tvers av systemer. Dersom tilgangsrettighetene ikke er korrekt konfigurert, kan ansatte få innsyn i data de ikke skal ha tilgang til.
→ Konsekvens: Potensielle brudd på GDPR, bøter og omdømmetap.
Feilaktig eller misvisende output
Copilot kan generere svar som fremstår som korrekte, men som er faktuelt feil eller preget av bias.
→ Konsekvens: Beslutninger tas på feil grunnlag, med både forretningsmessige og juridiske konsekvenser.
Uklare ansvarsforhold i beslutningsprosesser
Når AI inngår i arbeidsprosesser, kan det bli uklart hvem som har det endelige ansvaret for output og beslutninger.
→ Konsekvens: Økt regulatorisk eksponering og risiko for manglende compliance.
I tillegg vil risiko knyttet til bias, hallusinasjoner og ukritisk bruk av systemet ofte være relevant.
For hver risiko bør dere vurdere:
-
Er risikoen relevant for vår bruk?
-
Hvor sannsynlig er den i vårt oppsett?
-
Hvilke konsekvenser vil den få, både for de registrerte og for virksomheten?
Risikoen avhenger ikke bare av teknologien, men i stor grad av hvordan den brukes i praksis. Den samme risikoen kan derfor være lav i én organisasjon og høy i en annen.
5) Fastsett sikkerhetstiltak som reduserer risikoen
Når risikoene er identifisert og vurdert, er neste steg å fastsette sikkerhetstiltak som reduserer dem til et akseptabelt nivå.
Her kan Kammeradvokatens DPIA igjen brukes som inspirasjon. Den beskriver en rekke tekniske og organisatoriske tiltak som kan overføres og tilpasses deres løsning.
Tiltakene kan typisk deles inn i tre kategorier:
Tekniske tiltak
-
begrense tilgangen til data (for eksempel gjennom tilgangsstyring)
-
bruke dataklassifisering og etiketter
-
konfigurere Copilot slik at tilgangen til sensitive data begrenses
Organisatoriske tiltak
-
avgrense hvilke bruksområder Copilot brukes til
-
etablere retningslinjer for bruk av AI i organisasjonen
-
tydelig ansvarsfordeling
Menneskelige tiltak
-
opplæring av ansatte i riktig bruk
-
fokus på å identifisere bias og feil i output
-
krav om menneskelig kontroll ved beslutningsstøtte
Målet er ikke å eliminere all risiko, men å redusere den til et nivå der behandlingen kan anses som forsvarlig.
6) Dokumentasjon og forankring av DPIA-en
En DPIA er både en analyse og et dokumentasjonsgrunnlag. Det innebærer at vurderingene og beslutningene deres må kunne dokumenteres, blant annet:
-
hvordan behandlingen er beskrevet
-
hvilke risikoer som er identifisert
-
hvilke sikkerhetstiltak som er valgt, og hvorfor
Samtidig må DPIA-en forankres i organisasjonen ved å definere:
-
hvem som har ansvar for bruken av Copilot
-
hvordan retningslinjene etterleves i praksis
-
hvordan bruken følges opp over tid
DPIA-en bør også oppdateres fortløpende dersom dere endrer bruksområder, får tilgang til nye datatyper eller endrer konfigurasjonen av Copilot.
LES OGSÅ: EUs økte fokus på cybersikkerhet
Fra analyse til praksis
Kammeradvokatens DPIA kan fungere som et godt utgangspunkt for organisasjoner som bruker Copilot, men den skaper først verdi når den omsettes til konkrete vurderinger og beslutninger.
Dersom DPIA-en reduseres til ren dokumentasjon, er det en risiko for at viktige forhold overses i praksis, særlig når det gjelder datatilgang, beslutningsstøtte og ansvar. Konsekvensen er ikke bare økt regulatorisk eksponering, men også risiko for feilaktige beslutninger og manglende kontroll over data.
Samtidig utvikler bruken av Copilot seg kontinuerlig. Nye bruksområder oppstår, eksisterende arbeidsprosesser endres, og datagrunnlaget utvides. Det betyr at risikoene og sikkerhetstiltakene som er identifisert én gang, ikke nødvendigvis vil være tilstrekkelige fremover. DPIA-en bør derfor brukes som en løpende styringsmekanisme, ikke som et statisk dokument. Det er i den praktiske anvendelsen den skaper verdi.