GDPR och svensk datahantering i Copilot

Din chef frågar om det verkligen är okej att använda Copilot med känsliga ärenden. En kollega undrar om AI:n "lär sig" av det ni skriver. Och du själv vill bara veta: kan jag använda det här utan att bryta mot GDPR?

Det här är helt rimliga frågor, och svaren är tydligare än du kanske tror.

Copilot använder inte din data för att träna AI

Det viktigaste först: när du använder Copilot för Microsoft 365 (företagsversionen) skickas inte din data till OpenAI för att träna nya modeller. Microsoft har varit tydliga med det.

Det som händer är att Copilot läser dina filer, mejl och chattar för att ge dig ett svar just i den stunden. Sedan sparas inte den informationen för att förbättra AI-modellen.

GDPR och Copilot för Microsoft 365

GDPR kräver att personuppgifter hanteras med en laglig grund, att det finns ett databehandlingsavtal och att data inte skickas till osäkra länder utan skydd.

Microsoft har ett Data Processing Addendum (DPA) som gäller för alla Microsoft 365-kunder. Det avtalet uppfyller GDPR-kraven och reglerar hur Microsoft hanterar data som behandlas i tjänsten.

Viktigt att förstå: Copilot ärver samma behörigheter och skydd som redan gäller i din Microsoft 365-miljö. Om en fil är skyddad så att bara du och din chef kan se den, kan inte Copilot visa den för andra. Det är samma åtkomstkontroll som alltid.

Vad gäller för gratisversionen?

Här är en viktig skillnad. Den kostnadsfria Copilot-versionen (den du hittar i Edge och på copilot.microsoft.com) hanteras annorlunda. Om du inte är inloggad med ditt jobbkonto behandlas data enligt Microsofts konsumentvillkor, inte företagets DPA.

Det betyder i praktiken: använd inte gratisversionen för att bearbeta känsliga personuppgifter, patientdata eller sekretessbelagd information.

Vad bör du tänka på i praktiken?

Känsliga personuppgifter kräver extra eftertanke. Copilot kan tekniskt sett läsa allt du har åtkomst till. Om du ber Copilot sammanfatta ett ärende som innehåller personnummer eller patientinformation så kommer den att göra det. Frågan är om det är lämpligt i sammanhanget.

Dela inte mer än nödvändigt. Om du kan formulera din fråga utan att inkludera namn och personnummer, gör det. Istället för "Sammanfatta ärendet för Karin Svensson, 840523-1234" kan du skriva "Sammanfatta ärendet i det öppna dokumentet".

Organisationen bestämmer. Många svenska kommuner och regioner har egna riktlinjer för hur AI-verktyg får användas. Kolla om din arbetsplats har en AI-policy. Om inte, föreslå att en tas fram.

Så sammanfattar du läget för kollegorna

Nästa gång någon frågar "men är det säkert?" kan du svara:

Copilot för Microsoft 365 omfattas av samma avtal och skydd som övriga Microsoft 365. Data används inte för att träna AI-modeller. Copilot respekterar samma behörigheter som redan finns i er miljö. Men gratisversionen har inte samma företagsskydd, och känsliga uppgifter bör alltid hanteras med omdöme.

Prova själv

Kolla om din arbetsplats har en AI-policy eller riktlinjer för användning av AI-verktyg. Om det finns, läs igenom den. Om det inte finns, notera det som något att ta upp med din chef. Du kan använda Copilot för att ta fram ett utkast: "Skriv ett förslag till AI-riktlinjer för en liten organisation som använder Microsoft 365."

Sammanfattning

• Copilot för Microsoft 365 använder inte din data för att träna AI-modeller
• Företagsversionen omfattas av Microsofts databehandlingsavtal som uppfyller GDPR
• Copilot respekterar samma behörigheter och åtkomstkontroll som redan finns i er Microsoft 365-miljö
• Gratisversionen har inte samma företagsskydd och bör inte användas för känsliga personuppgifter