productivity
Microsoft 365 Copilot
- Leverantör
- Microsoft (USA, med EU Data Boundary för EU-tenants)
- Kategori
- productivity
- Hosting
- EU Data Boundary tillgängligt för EU-tenants — kund-prompts och svar processas i EU. Microsoft Graph-data stannar i tenant-regionen (vanligtvis EU North/West Europe för svenska kunder).
Vad det är
Generativ AI inbyggd i Microsoft 365-apparna (Word, Excel, Outlook, Teams, PowerPoint, OneNote, SharePoint). Skillnaden mot ChatGPT: Copilot "groundas" i kundens egen data — den läser dokument, mejl, kalendrar, Teams-chattar som användaren har behörighet till, och använder det som kontext i svaret.
Typisk dataaccess
- All data användaren har behörighet till i tenant: mejl, dokument, Teams-meddelanden, SharePoint-filer, OneDrive-filer, möteinspelningar
- Kalendrar, kontakter, To-Do-listor
- Vid integrationer (Copilot Studio, Connectors): externa datakällor som tenant-administratör explicit kopplat
- Inte data utanför tenant — Copilot går inte ut på det öppna webben för grundning
EU AI Act-bedömning
Risknivå: Limited (general-purpose AI i produktivitetskontext)
Motivering: Copilot själv är GPAI med transparensplikt. Användningsfall som klassar som high-risk (Annex III) flyttar over compliance-bördan till användaren — t.ex. om en byrå använder Copilot för att skapa beslut som rör anställda eller klienter automatiskt utan human review.
GDPR-överväganden
Datalagring:
- Prompts och svar processas i EU Data Boundary för EU-tenants
- Microsoft Graph-data (mejl, dokument) stannar i tenant-regionen
- Copilot-interaktioner loggas i M365 Audit Log (90 dagar default, längre med rätt licens)
- Microsoft tränar inte modellerna på tenant-data — kontraktuellt garanterat i Microsoft Customer Agreement
- Behöver verifieras: Bing-relaterade web-grunds som ev. skickas utanför EU vid web-search-funktion
Datatransfer: Begränsad till EU för core Copilot-funktion. Tredjelandsöverföring kan ske för support, telemetry, eller specifika preview-features — kräver tenant-administratör att kontrollera.
DPA tillgänglig: Ja, ingår i Microsoft Products and Services Data Protection Addendum (DPA). Standard för enterprise-kunder.
Särskilda risker:
- Permission-läckage: Copilot exponerar all data användaren teknisk har behörighet till, även gamla SharePoint-mappar med vidöppna permissions ("everyone in the company can read"). Dåliga permissioner blir plötsligt synliga.
- Mötessammanfattningar: Teams-möten transkriberas och sammanfattas — kan inkludera klient-namn, känslig information sagt i förbifarten
- Sensitivity labels respekteras men kräver att labels faktiskt är applicerade — defaulten är "ingen label" = full Copilot-access
Vanliga risker
- "Copilot, sammanfatta vad jag missat denna vecka" → Copilot läser allt, inklusive klient-mejl som inte borde ha lästs av AI utan klientmedgivande
- Upptäckt av glömda dokument: Copilot hittar gamla budgetfiler, lönebilagor, M&A-utkast som ligger i fel SharePoint-mapp
- Fakturafusk-vektor: Outlook Copilot kan automatiskt formulera mejl i din ton — phishing-risk om kontot komprometteras
- Excel "Analyze Data" → AI-genererade insights som beslutsstöd utan att källfel upptäcks
Rekommenderade mitigeringar
- Kör permission-audit före aktivering: Microsoft erbjuder verktyg ("Copilot Readiness Assessment") för att hitta över-delade resurser
- Applicera sensitivity labels på klientmappar och konfidentiell data ("Konfidentiellt - Klient", "Strikt konfidentiellt")
- Begränsa Copilot till specifika roller initialt — inte alla anställda, bara de som behöver
- Aktivera Audit Logs med långt kvarhållande (Audit Premium-licens) — kritiskt för revisorslagens dokumentationsplikt
- Förbjud transkribering av möten med klient utan explicit klientmedgivande
- Verifiera output vid juridiska/regulatoriska skrivningar — Copilot citerar ofta "från en av era egna dokument" men kan blanda ihop källor
Branschspecifik vägledning – revision/redovisning
Får användas för:
- Sammanfattning av interna möten (utan klient närvarande, utan klient-data)
- Excel-formler och data-analys på anonymiserad eller intern data
- Mejl-drafting där inga klientuppgifter ingår
- Generering av interna mallar och proceduer-dokument
- Kalender- och task-management
Får INTE användas för:
- Genuint granskningsarbete — AI-sammanfattning räknas inte som revisorns egna observation
- Sammanfattning av klientmöten utan klientmedgivande till AI-bearbetning
- Beslut om klients fortlevnadsförmåga (going concern) eller väsentlighetsbedömningar
- Klientmedel-relaterade dokument (revisorslagen 19 §)
- Mejl till klient som rör pågående granskning utan revisorns slutliga formulering och granskning
Särskild försiktighet vid:
- Aktiverad i Outlook: Copilot kan läsa hela mejl-historik vid "skriv svar" — historik kan innehålla klientdiskussioner från andra ärenden
- Microsoft Loop-komponenter — delas brett i Teams, kan inkludera Copilot-genererat innehåll utan tydlig "AI-genererat"-markering
- Recall (Windows-funktion, separat från Copilot) — om aktiverad fångar skärm-snapshots, kan inkludera klient-data
Källor
- Microsoft 365 Copilot Privacy: https://learn.microsoft.com/copilot/privacy
- Microsoft Products and Services DPA: https://www.microsoft.com/licensing/docs/view/Microsoft-Products-and-Services-Data-Protection-Addendum-DPA
- EU Data Boundary for the Microsoft Cloud: https://www.microsoft.com/trust-center/privacy/european-data-boundary-eudb
- Copilot Readiness Assessment: behöver verifieras vid kommande uppdatering — Microsoft uppdaterar verktyget ofta
Behöver ni hjälp att tolka detta för er specifika byrå?
Boka 30 min →