Snart tar vi nästa steg in i ai-eran. Under hösten kommer Microsoft att lansera Copilot. Ai-assistenten, byggd på en stor språkmodell, kommer att integreras i hela Microsoft 365-sviten.
GDPR-experten: Så lyckas ni med Microsoft Copilot
Samarbetsverktyg
Förväntningarna är höga på Microsoft nya ai-verktyg Copilot som snart lanseras. Men det finns en hel del regulatoriska risker att ta hänsyn till. Vi har pratat med experten Per Tuvall som reder ut vad som gäller.
Någonting är fel
Läs vidare – starta din prenumeration
- Tillgång till vår digitala Premium-tjänst om professionell kommunikation.
- Nischade nyhetsbrev för Professional och Contact Center.
- Få tillgång till alla avsnitt i vår utbildnings-tv om Teams-telefoni, SD-Wan och Chattbotar.
- Sex papperstidningar om året med tydligt fokus på Telekom-branschens viktigaste frågor.
Nyligen arrangerade Sven Engborg på Dorite och Per Tuvall på Informationsjuridik ett seminarium kring möjligheterna och utmaningarna som kommer med Microsofts nya jättesatsning. Efter föreläsningen fick Telekom idag en pratstund med dataskyddsexperten.
– Det är många saker man behöver känna till innan man sätter igång med Microsoft Copilot. Det första är att det finns ett nytt adekvansbeslut mellan EU och USA vilket innebär att det inte finns några legala hinder med att föra över personuppgifter till USA, säger Per Tuvall.
Schrems II-domen är alltså överspelad. Åtminstone för nu.
– Vi kan vara ganska säkra på att det inom några år kommer en Schrems III-dom. Däremot är det svårt att sia om utgången. Amerikanerna har vidtagit en del förbättringar, men vi vet inte om det räcker.
Den stora juridiska utmaningen för Copilot-användare kommer dock ligga i att se till att man lever upp till GDPR-lagstiftningen.
– Företag och organisationer behöver ha väldigt bra ordning på sina data. Varje gång man gör en körning, analys eller på andra sätt genererar innehåll med hjälp av Copilot behöver man vara väldigt vaksam med vilka nya personuppgiftsbehandlingar som skapas.
– Om ni har samlat en databas med personuppgifter med ett syfte och sedan gör nytt innehåll måste det ändå vara förenligt med det ursprungliga syftet.
Vad är riskerna annars?
– De juridiska riskerna är förelägganden, sanktioner och skadestånd. I praktiken är kanske den risken ganska liten, men man ska ändå följa GDPR helt enkelt eftersom det är rätt sätt att hantera personuppgifter på. Felhanterade personuppgifter kan också orsaka obehag och skada för riktiga människor.
Om GDPR är det största hindret för företag i sin Copilot-användning är offentlighets- och sekretesslagstiftningen det största hindret för offentliga organisationer.
– I offentlig sektor behöver man i praktiken sortera ut sekretessreglerade uppgifter och säga att det här kan inte ligga i en amerikansk molntjänst eftersom det blir för komplicerat att hantera. Vill man kunna hantera alla uppgifter i samma system bör man istället vända sig till någon av de molneverantörer som Esam rekomenderar.
Hur bör offentliga aktörer tänka kring Copilot?
– Allt beror på vilken situation man sitter i. En stor del av alla kommuner använder Microsoft 365 idag. Gör man det behöver man börja med att få koll på den information man har, säkerställa att man har transparenta arbetssätt och bygga ordentliga samarbetsgrupper med ordentlig behörighetshantering. När det är på plats kan man nog börja använda Copilot också.
– Skulle man sedan framöver vilja göra en exit från Microsoft kan man då ta med sitt arbetssätt in i sin nya lösning.
Bland det viktigaste för den offentliga sektorn är enligt Tuvall att om det behövs lyfta ut sina sekretessbelagda uppgifter.
– De ska helst ligga i verksamhetssystemen, och sedan kan man länka eller hänvisa till verksamhetssystemen i det man delar i exempelvis Teams. I stället för att ladda upp känsliga uppgifter i ekosystemet kring Microsoft 365.
Vilka risker bör små och medelstora företag prioritera?
– För alla företag och organisationer handlar det i grund och botten om att ha väldigt bra ordning och reda på sin data. För mindre företag är riskerna mindre eftersom de hanterar mindre data jämfört med stora aktörer.
– Även om det inte så finns så mycket skarp lagstiftning kring informationssäkerhet för företag som inte omfattas av NIS eller NIS II så är det skadligt för affärerna att inte ha en tydlig strategi och ett bra arbetssätt för de här frågorna.
EU-parlamentet har godkänt en ai-förordning. Men den behöver antas av flera instanser innan det blir tal om skarp lagstiftning. Det kan dröja år innan den finns på plats.
– Tidigast 2025 skulle jag tro. Av det som framkommit hittills så tror jag Copilot-användning inte kommer att påverkas så mycket. Lagstiftningen verkar snara rikta in sig på utvecklare och leverantörer av ai-tjänster än användare. Men det gäller förstås att hålla koll och se vad lagen säger när den väl klubbas igenom.
Ska man vara exalterad eller orolig för den snabba ai-utvecklingen?
– Det viktigaste tror jag är att inse att det här är en utveckling som inte går att välja bort. I praktiken handlar det om att styra hur och inte om ai-verktyg ska användas i den egna verksamheten.
– Om man skulle bestämma sig för att helt avstå från att använda olika ai-verktyg och tjänster kan man som organisation förvänta sig att man kommer få en hel del skugg-it.
Per Tuvall återkommer gång på gång till vikten av att ha ordning och reda på sin data.
– Det är tråkigt och tidskrävande men ger väldigt mycket nytta. Vi ser redan idag vilka fantastiska resultat organisationer som på allvar implementerat ett transparent arbetssätt i Slack eller Teams uppnår.
– Det kan vara svårt att komma igång, även om det är helt naturligt för ungdomar som hänger på Discord eller för oss äldre som höll på med IRC, säger Per Tuvall med ett skratt.