Notera: Kammeradvokaten är en privat advokatbyrå som fungerar som en fast juridisk rådgivare för den danska staten. De hjälper danska ministerier och offentliga myndigheter med allt från juridisk rådgivning till rättegångar och stora offentliga upphandlingar. Även om analysen är framtagen för danska myndigheter, behandlar den frågor som är relevanta för alla organisationer som använder Microsoft Copilot, exempelvis dataåtkomst, ansvarsfördelning, informationssäkerhet och behandling av personuppgifter.
Att införa Copilot handlar inte bara om effektivitet, det är också ett beslut om hur din organisation hanterar åtkomst till och användning av data i hela Microsoft 365-miljön. Med en DPIA får du ett centralt styrningsverktyg för risk, ansvar och användning av AI i praktiken.
Kammeradvokatens DPIA för Copilot kan vara en bra utgångspunkt, men den går inte att återanvända rakt av. Den är framtagen för ett specifikt sammanhang med bestämda fall, datatyper och konfigurationer som sällan matchar en privat organisation. Däremot tydliggör analysen komplexiteten i att använda Copilot: vilka datakällor som aktiveras, hur output kan påverka beslut och vilka risker som uppstår när AI får tillgång till befintliga informationsflöden.
DPIA:n bör därför användas som referens – inte som facit. Den ger en struktur för vilka frågor du behöver ställa och vilka förhållanden du behöver ta ställning till – från avgränsning av användningen till bedömning av risker och åtgärder.
1) Avgränsa er användning av Copilot
Första steget är att avgränsa hur Copilot faktiskt används i organisationen – inte på en övergripande nivå, utan i form av konkreta arbetsflöden och uppgifter.
Det räcker inte att beskriva att "vi använder Copilot" eller "vi använder AI". Istället behöver ni definiera specifika användningsfall där det tydligt framgår:
-
vilka uppgifter Copilot används till
-
vilka data som ingår i uppgiften
-
vem som använder Copilot
Här kan Kammeradvokatens indelning i tre övergripande användningsfall fungera som inspiration:
-
Allmän ärendehandläggning (exempelvis utkast och sammanfattningar)
-
Administrativt stöd (exempelvis HR, IT eller ekonomi)
-
Beslutsstöd (exempelvis underlag till beslut)
En tydlig avgränsning är förutsättningen för att kunna arbeta meningsfullt med risker och åtgärder. Utan den blir DPIA:n generisk och tappar värde som beslutsunderlag.
2) Beskriv hur data behandlas i praktiken
Nästa steg är att beskriva hur data behandlas i praktiken. En DPIA kräver en systematisk beskrivning av behandlingen – inte bara syftet, utan hur data rör sig genom systemet.
Här kan Kammeradvokatens DPIA användas direkt som inspiration. Den går igenom hur Copilot interagerar med Microsoft 365-miljön, och det är just den typen av överblick ni behöver skapa.
Konkret behöver ni ta ställning till:
-
vilka system Copilot har åtkomst till (exempelvis SharePoint, OneDrive, Teams och Outlook)
-
hur data hämtas och sammanställs (exempelvis via Microsoft Graph)
-
vad som händer när en prompt skickas och vilka data Copilot kan använda i svaret
Målet är att kunna förklara behandlingen från början till slut: från användarens input till Copilots output. Först då kan ni bedöma vilka risker som uppstår.
LÄS OCKSÅ: Så implementeras EU:s direktiv och förordningar i Skandinavien
3) Bedöm nödvändighet och proportionalitet
En DPIA handlar också om att bedöma om behandlingen är nödvändig och rimlig i förhållande till syftet. Det innebär att ni behöver ta ställning till varför Copilot används i de specifika användningsfallen, och om det står i proportion till den behandling av personuppgifter som följer med.
Fråga er till exempel:
-
Är det nödvändigt att använda Copilot för den här uppgiften?
-
Vilka fördelar uppnår vi – och är de väsentliga nog?
-
Skulle uppgiften kunna lösas på ett mindre ingripande sätt?
I praktiken handlar det ofta om att avgränsa användningen. En central fråga är om Copilot behöver ha åtkomst till hela datamiljön, eller om åtkomsten bör begränsas till vissa system eller datatyper.
Om behandlingen innebär hög risk för de registrerade räcker det inte att den är praktisk eller effektiv. Den måste vara nödvändig och proportionerlig i förhållande till syftet.
4) Identifiera risker med utgångspunkt i DPIA:n
När behandlingen är kartlagd kan riskbedömningen genomföras. Kammeradvokatens DPIA ger en bra utgångspunkt, men riskerna behöver bedömas och prioriteras utifrån er egen kontext.
I praktiken är det ofta tre riskområden som är relevanta:
Obehörig åtkomst till data
Copilot kan sammanställa information från flera system samtidigt. Om åtkomsträttigheterna inte är korrekt konfigurerade kan medarbetare få tillgång till data de inte borde se.
→ Konsekvens: Potentiella GDPR-överträdelser, böter och skadat förtroende.
Felaktigt eller missvisande output
Copilot kan generera svar som verkar trovärdiga men är faktamässigt felaktiga eller vinklade.
→ Konsekvens: Beslut fattas på fel underlag, med både affärsmässiga och juridiska konsekvenser.
Oklar ansvarsfördelning i beslutsprocesser
När AI ingår i arbetsflöden kan det bli oklart vem som bär det slutliga ansvaret för output och beslut.
→ Konsekvens: Ökad regulatorisk exponering och risk för bristande efterlevnad.
Utöver dessa är risker som bias, hallucinationer och okritisk användning av systemet typiskt relevanta att ta med i bedömningen.
För varje risk bör ni ta ställning till:
-
Är risken relevant i vår användning?
-
Hur sannolik är den i vårt setup?
-
Vilka konsekvenser skulle den få – både för de registrerade och för verksamheten?
Risknivån beror inte bara på tekniken, utan i hög grad på hur den används i praktiken. Det innebär att samma risk kan vara låg i en organisation och hög i en annan.
5) Fastställ åtgärder som minskar risken
När riskerna är identifierade och bedömda är nästa steg att fastställa vilka åtgärder som minskar dem till en acceptabel nivå.
Här kan Kammeradvokatens DPIA återigen användas som inspiration. Den beskriver en rad tekniska och organisatoriska åtgärder som kan överföras och anpassas till ert setup.
Åtgärderna kan vanligtvis delas in i tre kategorier:
Tekniska åtgärder:
-
Begränsning av åtkomst till data (till exempel via behörighetsstyrning)
-
Användning av dataklassificering och etiketter
-
Konfiguration av Copilot så att känsliga data begränsas
Organisatoriska åtgärder:
-
Avgränsning av användningsfall där Copilot används
-
Riktlinjer för användning av AI i organisationen
-
Tydlig ansvarsfördelning
Mänskliga åtgärder:
-
Utbildning av medarbetare i korrekt användning
-
Fokus på att identifiera bias och fel i output
-
Krav på mänsklig kontroll vid beslutsstöd
Målet är inte att eliminera alla risker, utan att minska dem till en nivå där behandlingen kan anses försvarbar.
6) Dokumentation och förankring av DPIA:n
En DPIA är både analys och dokumentation. Det innebär att era bedömningar och beslut behöver kunna dokumenteras, bland annat:
-
hur behandlingen är beskriven
-
vilka risker som har identifierats
-
vilka åtgärder som valts – och varför
Samtidigt behöver DPIA:n förankras i organisationen genom att ni definierar:
-
vem som har ansvar för användningen av Copilot
-
hur riktlinjerna efterlevs i praktiken
-
hur användningen följs upp över tid
DPIA:n bör dessutom uppdateras löpande om ni förändrar användningsfall, får tillgång till nya datatyper eller ändrar konfigurationen av Copilot.
LÄS OCKSÅ: EU:s ökade fokus på cybersäkerhet
Från analys till praktik
Kammeradvokatens DPIA kan fungera som utgångspunkt för organisationer som använder Copilot, men den blir först värdefull när den omsätts till konkreta bedömningar och beslut.
Om DPIA:n reduceras till ren dokumentation finns det risk att väsentliga förhållanden förbises i praktiken – särskilt när det gäller dataåtkomst, beslutsstöd och ansvar. Konsekvensen är inte bara ökad regulatorisk exponering, utan också risk för felaktiga beslut och bristande kontroll över data.
Samtidigt utvecklas användningen av Copilot löpande. Nya användningsfall tillkommer, befintliga arbetsflöden förändras och dataunderlaget växer. Det innebär att de risker och åtgärder som identifierats vid ett tillfälle inte nödvändigtvis är heltäckande framåt. DPIA:n bör därför användas som ett löpande styrningsverktyg – inte som ett statiskt dokument. På så vis skapas verkligt värde.
