Datatilsynet presenterte onsdag sin rapport om Microsoft 365 Copilot. Denne følger opp rapporten til NTNU, men har et sterkere fokus på personvern.
Selv om Datatilsynet avstår fra å svare klart «ja» eller «nei» på om de går god for Copilot-løsningen, peker de likevel på store utfordringer for virksomheter som måtte vurdere å ta den i bruk.
De er samtidig tydelige på at mange virksomheter trolig bør unngå det inntil videre.
– Løsningen forutsetter fra Microsofts side at man har svært god kontroll på egen informasjonsforvaltning, en grad av kontroll som nok mange virksomheter ikke vil kunne påberope seg, skriver de i rapporten.
Vil kreve betydelig forarbeid
Selv om Microsoft sier løsningen er i tråd med regelverket, er det med forbehold om at virksomhetene har alt på stell, sier Datatilsynet.
– Det vil neppe være mulig å benytte Copilot på en ansvarlig og lovlig måte uten å legge ned betydelig forarbeid, skriver Datatilsynet i rapporten, og fortsetter:
– Dette inkluderer både å få orden i eget hus og å gjennomføre grundige vurderinger av personvernkonsekvenser for de planlagte bruksområdene.
Eirik Gulbrandsen, senioringeniør i Datatilsynet, var tydelig på at det krever innsats, tid og penger for å bli klar for å ta i bruk Copilot.
I tillegg må de ulike bruksområdene vurderes for seg, forklarte Sebastian Forbes, som er juridisk seniorrådgiver. Et aspekt han trakk fram, er om det er mer ressurskrevende å løse oppgaven på en mindre inngripende måte uten Copilot.
Som eksempel trakk han fram møtereferater. Selv om mye er likt både med og uten bruk av Copilot, ble det også loggført flere andre momenter enn det som er vanlig når mennesker skriver referat, som for eksempel stemmeleier.
Frykter overvåking av ansatte med Copilot
For stor kostnad å innføre
NTNU har allerede konkludert med at de ikke har tilstrekkelig orden i eget hus til å kunne ta løsningen i bruk. De skrev i sin rapport at de blant annet var bekymret for at Copilot kunne bli brukt til å overvåke ansatte.
Universitetet var også representert under framleggingen av rapporten onsdag, og utbroderte hvorfor de per nå ikke ser for seg å ta i bruk Microsoft 365 Copilot.
– Økte IT-kostnader må forsvares gjennom faktisk og realiserbar gevinst, sier Heine Skipenes, som er seniorrådgiver for personvern ved NTNU. Han har også vært leder for prosjektet «Pilotere Copilot for Microsoft 365» hos NTNU.
Ifølge ham er det snakk om store kostnader for at NTNU skal ha god nok orden. Skipenes tegner også opp et bilde der universitetet til syvende og sist må velge mellom Copilot-satsing og 30 doktorgrader.
Mener NTNU tar feil om Copilot: – Mangelen på kontroll roten til alt ondt
Varsler nok en AI-rapport
For virksomhetene er det mange utfordringer med å skulle ta i bruk løsningen, forklarer Gulbrandsen. Og flere av de teoretiske tiltakene kan vise seg å bli svært krevende å innføre i praksis. Samtidig er de helt nødvendige.
– Å ta i bruk ny og avansert teknologi uten å forberede seg grundig, forstå muligheter og begrensninger, og sikre nødvendig kompetanse, vil ikke være ansvarlig, skriver Datatilsynet i sin rapport.
De poengterer også selv de virksomhetene som er klare, bør velge bruksområder med omhu for å sikre at blant annet personvernskrav blir etterlevd.
Likevel er Datatilsynet klare på at det kan finnes gode AI-alternativer for virksomheter, selv om de kanskje ikke er klare for Microsoft 365 Copilot.
– Den samme språkmodellteknologien som ligger til grunn for Copilot, kan også brukes på flere og mer spissede måter enn bare som et generelt kontorstøtteverktøy, skriver de i rapporten.
I praksis vel det si at andre AI-verktøy kan ha lavere personvernrisiko, men som samtidig ivaretar de faktiske behovene til virksomheten.
Dette er også noe Datatilsynet har sett nærmere på, og som de vil komme med en rapport om allerede 11. desember.
