Microsoft 365 Copilot
- Leverantör
- Microsoft (USA, med EU Data Boundary för EU-tenants)
- Kategori
- productivity
- Hosting
- EU Data Boundary (EUDB) för EU-tenants — kund-prompts/svar processas i EU; Microsoft Graph-data stannar i tenant-regionen. **In-country-behandling utökades till Sverige (nov 2025).** Drivs av **Azure OpenAI Service** (inte OpenAI:s publika tjänst).
Vad det är
Generativ AI inbyggd i Microsoft 365-apparna (Word, Excel, Outlook, Teams, PowerPoint, OneNote, SharePoint). Skillnaden mot ChatGPT: Copilot "groundas" i kundens egen data — den läser dokument, mejl, kalendrar, Teams-chattar som användaren har behörighet till, och använder det som kontext i svaret.
Typisk dataaccess
- All data användaren har behörighet till i tenant: mejl, dokument, Teams-meddelanden, SharePoint-filer, OneDrive-filer, möteinspelningar
- Kalendrar, kontakter, To-Do-listor
- Vid integrationer (Copilot Studio, Connectors): externa datakällor som tenant-administratör explicit kopplat
- Inte data utanför tenant — Copilot går inte ut på det öppna webben för grundning
EU AI Act-bedömning
Risknivå: Limited (general-purpose AI i produktivitetskontext)
Motivering: Copilot själv är GPAI med transparensplikt. Användningsfall som klassar som high-risk (Annex III) flyttar over compliance-bördan till användaren — t.ex. om en byrå använder Copilot för att skapa beslut som rör anställda eller klienter automatiskt utan human review.
GDPR-överväganden
Datalagring:
- Prompts och svar processas i EU Data Boundary för EU-tenants
- Microsoft Graph-data (mejl, dokument) stannar i tenant-regionen
- Copilot-interaktioner loggas i M365 Audit Log (90 dagar default, längre med rätt licens)
- Microsoft tränar inte modellerna på tenant-data — kontraktuellt garanterat i Microsoft Customer Agreement
- Behöver verifieras: Bing-relaterade web-grunds som ev. skickas utanför EU vid web-search-funktion
Datatransfer: Begränsad till EU för core Copilot-funktion. Tredjelandsöverföring kan ske för support, telemetry, eller specifika preview-features — kräver tenant-administratör att kontrollera.
DPA tillgänglig: Ja, ingår i Microsoft Products and Services Data Protection Addendum (DPA). Standard för enterprise-kunder.
Särskilda risker:
- Permission-läckage: Copilot exponerar all data användaren teknisk har behörighet till, även gamla SharePoint-mappar med vidöppna permissions ("everyone in the company can read"). Dåliga permissioner blir plötsligt synliga.
- Mötessammanfattningar: Teams-möten transkriberas och sammanfattas — kan inkludera klient-namn, känslig information sagt i förbifarten
- Sensitivity labels respekteras men kräver att labels faktiskt är applicerade — defaulten är "ingen label" = full Copilot-access
Vanliga risker
- "Copilot, sammanfatta vad jag missat denna vecka" → Copilot läser allt, inklusive klient-mejl som inte borde ha lästs av AI utan klientmedgivande
- Upptäckt av glömda dokument: Copilot hittar gamla budgetfiler, lönebilagor, M&A-utkast som ligger i fel SharePoint-mapp
- Fakturafusk-vektor: Outlook Copilot kan automatiskt formulera mejl i din ton — phishing-risk om kontot komprometteras
- Excel "Analyze Data" → AI-genererade insights som beslutsstöd utan att källfel upptäcks
Rekommenderade mitigeringar
- Kör permission-audit före aktivering: Microsoft erbjuder verktyg ("Copilot Readiness Assessment") för att hitta över-delade resurser
- Applicera sensitivity labels på klientmappar och konfidentiell data ("Konfidentiellt - Klient", "Strikt konfidentiellt")
- Begränsa Copilot till specifika roller initialt — inte alla anställda, bara de som behöver
- Aktivera Audit Logs med långt kvarhållande (Audit Premium-licens) — kritiskt för revisorslagens dokumentationsplikt
- Förbjud transkribering av möten med klient utan explicit klientmedgivande
- För EU-residency (2026): kontrollera i Message Center om Flex Routing är på och opt:a ut om EUDB-residency krävs; håll Anthropic-modell-toggeln av (verifiera särskilt för tenants skapade efter 2026-03-25 där den kan vara på som default)
- Verifiera output vid juridiska/regulatoriska skrivningar — Copilot citerar ofta "från en av era egna dokument" men kan blanda ihop källor
Branschspecifik vägledning – revision/redovisning
Får användas för:
- Sammanfattning av interna möten (utan klient närvarande, utan klient-data)
- Excel-formler och data-analys på anonymiserad eller intern data
- Mejl-drafting där inga klientuppgifter ingår
- Generering av interna mallar och proceduer-dokument
- Kalender- och task-management
Får INTE användas för:
- Genuint granskningsarbete — AI-sammanfattning räknas inte som revisorns egna observation
- Sammanfattning av klientmöten utan klientmedgivande till AI-bearbetning
- Beslut om klients fortlevnadsförmåga (going concern) eller väsentlighetsbedömningar
- Klientmedel-relaterade dokument (revisorslagen 19 §)
- Mejl till klient som rör pågående granskning utan revisorns slutliga formulering och granskning
Särskild försiktighet vid:
- Aktiverad i Outlook: Copilot kan läsa hela mejl-historik vid "skriv svar" — historik kan innehålla klientdiskussioner från andra ärenden
- Microsoft Loop-komponenter — delas brett i Teams, kan inkludera Copilot-genererat innehåll utan tydlig "AI-genererat"-markering
- Recall (Windows-funktion, separat från Copilot) — om aktiverad fångar skärm-snapshots, kan inkludera klient-data
Källor
- Microsoft 365 Copilot Privacy: https://learn.microsoft.com/copilot/privacy
- Microsoft Products and Services DPA: https://www.microsoft.com/licensing/docs/view/Microsoft-Products-and-Services-Data-Protection-Addendum-DPA
- EU Data Boundary for the Microsoft Cloud: https://www.microsoft.com/trust-center/privacy/european-data-boundary-eudb
- Copilot AI-subprocessorer (Anthropic-exkludering från EUDB): https://learn.microsoft.com/en-us/microsoft-365/copilot/connect-to-ai-subprocessor
- Copilot med Anthropic-modeller (toggle, EUDB-undantag): https://learn.microsoft.com/en-us/microsoft-365/copilot/copilot-anthropic-apps
- Microsoft in-country-behandling (15 länder, inkl. Sverige, nov 2025): https://www.microsoft.com/en-us/microsoft-365/blog/2025/11/04/microsoft-offers-in-country-data-processing-to-15-countries-to-strengthen-sovereign-controls-for-microsoft-365-copilot/
- Microsoft subprocessor-lista: https://aka.ms/subprocessor
Relaterade verktyg
Andra verktyg i samma kategori och fas — kan ha liknande överväganden.
Behöver ni hjälp att tolka detta för er specifika byrå?
Boka 30 min →