Avgrensning
M365 Copilot er et verktøy med mangfoldige funksjoner som kan brukes til en rekke forskjellige oppgaver. Gitt det brede spekteret av funksjoner, kan det også brukes til å behandle personopplysninger som en del av sine operasjoner.
Det er ikke mulig å fastslå på generelt grunnlag at verktøyet kan brukes i tråd med personvernregelverket. Selv om enkelte oppgaver som M365 Copilot utfører i utgangspunktet ikke krever behandling av personopplysninger, vil slik behandling nærmest alltid forekomme på grunn av verktøyets iboende egenskaper.
I denne sluttrapporten har vi valgt å fokusere på noen grunnleggende temaer. Først forklarer vi hva M365 Copilot er og hvordan det fungerer. Deretter gir vi en generell beskrivelse av hvordan vi forstår M365 Copilot i lys av personvernregelverket, sammen med en gjennomgang av viktige begreper og forhold man bør være oppmerksom på. Vi ser også på grunnleggende forutsetninger for bruk av M365 Copilot, inkludert behovet for «orden i eget hus». Disse vurderingene er relevante også for andre KI-verktøy. Til slutt belyser vi viktigheten av personvernkonsekvensvurderinger (DPIA) og hva man bør ta hensyn til i forbindelse med M365 Copilot.
NTNU testet M365 Copilot med tre brukstilfeller: «utredningsstart», «referatfunksjon» og «saksbehandling på e-post».
Les mer om brukstilfellene i NTNUs funnrapport på sidene 43-51.
Disse brukstilfellene ble valgt fordi de kan være relevante også for andre offentlige organisasjoner. I denne sluttrapporten har vi tatt utgangspunkt i NTNUs brukstilfeller, men vi har gjort brukstilfelle C litt mer spesifikt for å kunne ha et klart og tydelig formål. Dette eksempelet gjenspeiler ikke nødvendigvis hvordan NTNU faktisk jobber, men brukes for illustrasjonens skyld. Det er viktig å merke seg at hvert brukstilfelle kan innebære flere typer behandling av personopplysninger.
Tre brukstilfeller
| Eksempel A | En utreder bruker M365 Copilot for å samle inn informasjon (datainnsamling) før utredningen kan starte. Utreder får tilgang til informasjon fra nett, tidligere dokumenter hen har skrevet selv eller dokumenter hen har tilgang til (men skrevet av andre). Utreder kan ved hjelp av M365 Copilot få ut en oversikt over relevant datamateriale for å gjøre nødvendige avveininger i tråd med instruksjonene for utredningen, få hjelp til selve skrivearbeidet (kladding) og renskriving/språkforbedring. |
| Eksempel B | En ansatt er ansvarlig for at man i et internt møte mellom to eller flere parter skal bli enige om noe. De kaller inn til et digitalt Teams-møte, eller et fysisk møte der Teams lytter aktivt til møtet. Møtet tas opp og transkriberes. M365 Copilot bruker transkripsjonen, informasjon i kalenderinvitasjonen og «nærliggende dokumenter» for å lage en oppsummering av møtet. |
| Eksempel C | En ansatt skal vurdere hvorvidt en søknad om opptak til masterprogram sendt inn per e-post er komplett (dvs. inneholder all informasjon som trengs), og svare på søknaden enten med en bekreftelse om at søknaden er komplett eller en anmodning om mer informasjon. |