Integreringen av generative kunstig intelligens (KI) i verktøyene vi bruker aller mest, markerer et teknologisk taktskifte i både offentlig og privat sektor. Microsoft 365 Copilot er KI-assistenten som er innebygd direkte i kjente programmer som Word, Outlook, Teams og Excel. For å belyse hva denne teknologien betyr i praksis, har NTNU testet verktøyet gjennom Datatilsynets regulatoriske sandkasse. Erfaringene er oppsummert i NTNUs funnrapport «Pilotere Copilot for Microsoft 365″.

Hva er Microsoft 365 Copilot?

Copilot er et produktivitetsverktøy drevet av store språkmodeller (LLM) kombinert med organisasjonens egne data i Microsoft 365-økosystemet. Verktøyet fungerer som en digital assistent som kan:

• Skrive førsteutkast til notater, rapporter og e-poster.
• Transkribere, tolke og oppsummere digitale møter i sanntid.
• Sammenstille og analysere informasjon på tvers av lagrede filer, chatter og e-poster.

Hva er fordelene?

Rapporten fra sandkasseprosjektet viser at Copilot tidvis fungerer skikkelig bra og kan gi betydelige effektivitetsgevinster under de rette forutsetningene:

• Rask utredningsstart: Verktøyet er ypperlig til å trekke ut essensen av massive dokumenter. Det som tidligere tok dager for en saksbehandler, kan KI-assistenten løse på minutter.
• Glansbilde for eksperter: Copilot er et glimrende verktøy når brukeren allerede har dyp forhåndskunnskap om oppgaven. Eksperten kan raskt identifisere KI-feil, korrigere instrukser og bruke assistenten som en effektiv sparringspartner.
• Frigjøring av tid: Automatisering av rutineoppgaver som møtereferater og e-posthåndtering frigjør tid til mer komplekse kjerneoppgaver.

Hvilke utfordringer og risikoer finnes?

Selv om teknologien åpner mange dører, avdekket testene i Datatilsynets sandkasse flere kritiske utfordringer knyttet til personvern, forvaltning og etikk:

1. Ukontrollert behandling av personopplysninger

Copilot fungerer som en digital klone av brukeren. Den har nøyaktig de samme tilgangene og rettighetene som deg i Microsoft-universet. Hvis en organisasjon mangler kontroll på deling, kan Copilot hente ut personopplysninger fra glemte dokumentutkast, feillagrede filer eller uformelle Teams-chatter, og sette informasjonen sammen på helt nye måter.

2. Overvåking og «Bossware»-problematikk

Siden Copilot kan gjøre analyser på sekunder, kan den potensielt misbrukes til å vurdere ansattes adferd og prestasjoner. Verktøyet kan analysere transkripsjoner, humør, følelsesreaksjoner (emojis) og aktivitet i chatten. Dette skaper en risiko for ulovlig ansatteovervåking der den ansatte selv ikke har mulighet til å oppdage at en slik vurdering har funnet sted.

3. Hallusinasjoner og Bekreftelsesbias

Når Copilot har for lite datagrunnlag, kan den fabrikkere eller «finne på» fakta og følelser. Systemet har også en tendens til å bekrefte spørsmålsstillerens påstander (Bekreftelsesbias), noe som kan forsterke menneskelige fordommer og misforståelser på en arbeidsplass.

4. Krevende IT-forvaltning og høye kostnader

Microsoft 365 er i kontinuerlig endring og opererer ofte med en «opt out»-policy. Det betyr at nye KI-funksjoner rulles ut automatisk. Virksomheter må derfor bruke store ressurser på driftspersonell som kontinuerlig må deaktivere funksjoner som strider mot norsk lovverk. I tillegg er lisensene og de indirekte forvaltningskostnadene svært høye.

Veien videre: Hvordan bli «Copilot ready»?

For å ta i bruk verktøyet på en trygg måte, anbefaler rapporten at implementeringen defineres som et organisasjonsutviklingsprosjekt, ikke et rent IT-prosjekt.

Virksomheter må prioritere grundig opplæring for å gjøre ansatte i stand til å være kritiske «piloter» som kvalitetssikrer alt innhold. Det kreves også «Orden i eget hus» gjennom streng dataklassifisering, samt at man aktivt skrur av KI-tilgang til private og uformelle samhandlingsarenaer. Som spesialrådgiver Eirik Gulbrandsen i Datatilsynet så treffende oppsummerer det i rapporten: «Vi har ansvar for å styre teknologien i riktig retning, teknologien skal ikke styre oss.».

Personvernombudet anbefalte

Personvernombudet anbefalte i NTNUs pilotering av Copilot å gjennomføre en fullverdig, spesifikk personvernkonsekvensvurdering (DPIA) for hver arbeidsprosess, samt å rense filstrukturen for å sikre korrekt tilgangsstyring. Rådene inkluderte også deaktivering av overvåkingsfunksjoner, skjerming av uformell kommunikasjon og obligatorisk opplæring i digital dømmekraft. For mer detaljer, se NTNU-vurderinger.

Modenhetsvurderingen

I Datatilsynets sandkasserapport med NTNU trekkes en grundig modenhetsvurdering fram som et absolutt krav før en organisasjon i det hele tatt kjøper lisenser. Copilot speiler organisasjonens eksisterende datakultur; har du kaos i filstrukturen, får du «KI-generert kaos».

En organisasjon kan utføre denne modenhetsvurderingen ved å kartlegge fire kritiske pilarer:

1. Teknisk og organisatorisk modenhet («Orden i eget hus»)

Dette handler om å rydde i den digitale infrastrukturen før KI-en slippes løs.

• • Dataklassifisering: Er sensitiv informasjon (f.eks. personalmapper, helseopplysninger, sensitive forskningsdata) merket og isolert?
  • Tilgangsstyring (Least Privilege): Har ansatte tilgang til filer de ikke burde se? Copilot finner alt brukeren har lese-tilgang til. Er overdelte mapper lukket?
  • Livssyklushåndtering: Slettes gamle filer, chatlogger og utdaterte dokumenter automatisk, eller ligger de som historisk støy som Copilot kan misforstå?

2. Kompetanse og risikoforståelse hos brukerne

Teknologien krever en helt ny type digital dømmekraft fra de ansatte.

• • Kritisk sans: Er de ansatte i stand til å oppdage KI-hallusinasjoner og subtile feil i tekst og kildehenvisninger?
  • Prompting-kompetanse: Vet organisasjonen hvordan man gir instrukser uten å fôre systemet med ulovlige personopplysninger?
  • Ansvarsforståelse: Forstår de ansatte at de har det fulle juridiske og faglige ansvaret for alt innhold Copilot produserer?

3. Forvaltnings- og monitoreringskapasitet (Governance)

Microsoft ruller ut oppdateringer i høyt tempo. Organisasjonen må ha ressurser til å følge med.

• • Dedikerte ressurser: Har IT- og sikkerhetsavdelingen nok folk til å kontinuerlig overvåke nye funksjoner og skru av uønskede «opt-out»-innstillinger?
  • Leverandørstyring: Er innkjøpsavdelingen i stand til å vurdere endringer i Microsofts vilkår (f.eks. endringer i dataruting/flex routing)?
  • Personvernombudets rolle: Er personvernombudet (PVO) koblet på tidlig nok til å gjøre løpende vurderinger av personvernkonsekvenser (DPIA)?

4. Økonomisk og strategisk bærekraft

En modenhetsvurdering må også se på om gevinsten forsvarer de reelle kostnadene.

• • Skjulte kostnader: Er det satt av budsjett til lisensene pluss de omfattende timene IT, juss og arkiv må bruke på forvaltning?
  • Verdi vs. Risiko: Er behovet for effektivisering så stort i de spesifikke avdelingene at det veier opp for risikoen for personvernbrudd eller overvåkingsproblematikk?