Hvordan kan M365 Copilot forstås i lys av personvernregelverket?
Vi begynner med å trekke frem noen nøkkelkonsepter og begreper fra personvernlovgivningen som vi mener det er viktig å huske på når man vurderer eventuell innføring og bruk av M365 Copilot i virksomheten. Vi håper dette bidrar til at misforståelser som kan lede til følgefeil unngås fra starten.
Nøkkelkonsepter- og begreper
| Personopplysning | Dette er definert i personvernforordningen artikkel 4 nr. 1 som «enhver opplysning om en identifisert eller identifiserbar fysisk person». Selv om en opplysning om noen er feil, f.eks. når en språkmodell har generert noe feil om en person, er det en (uriktig) personopplysning. Det samme gjelder forutsigelser og antakelser om en person. |
| Den registrerte | En identifisert eller identifiserbar fysisk person, jf. personvernforordningen artikkel 4 nr. 1. Med andre ord er det enkeltpersonen som opplysningene kan knyttes til. |
| Sletting og riktighet | Det må treffes ethvert rimelig tiltak for å sikre at personopplysninger som er uriktige med hensyn til formålene de behandles for, uten opphold slettes eller rettes i henhold til riktighetsprinsippet, jf. personvernforordningen artikkel 5 nr. 1 bokstav d. Det betyr at brukere må være tilstrekkelig opplært, og NTNU må ha rutiner for å minske risikoen for at feil personopplysninger skapes av M365 Copilot. Hvis det likevel skjer, må de slettes eller rettes straks. |
| Behandling | I personvernforordningen artikkel 4 nr. 2 blir behandling definert som «enhver operasjon eller rekke av operasjoner som gjøres med personopplysninger, enten automatisert eller ikke, f.eks. (…)». Lovgiveren har bevisst gitt begrepet «behandling» en vid rekkevidde. Dette fremgår både av utrykket «enhver operasjon» og av den ikke-uttømmende karakteren i definisjonen, tydeliggjort ved bruken av «f.eks.». Hver behandling må ha et rettslig grunnlag, jf. personvernforordningen artikkel 6. For å fastsette riktig grunnlag må man først klargjøre formålet med behandlingen og hvilke personopplysninger som skal behandles. Det er også nødvendig å kartlegge hvilke konkrete behandlingsoperasjoner som vil finne sted, før det rettslige grunnlaget kan vurderes og velges. Dersom særlige kategorier personopplysninger skal behandles, må det i tillegg identifiseres et gyldig unntak fra forbudet i artikkel 9. «M365 Copilot i driftsfase» eller «innføring av M365 Copilot» er ikke en konkret behandling. |
| Formålet med behandlingen og formålsbegrensnings-prinsippet | «Formål» er selve hjørnesteinen i personvernforordningen. Formålet er årsaken til at en behandling skjer, og det er formålet som setter grensene for hvilke personopplysninger som skal behandles og hvordan. Personvernforordningen sier at personopplysninger må samles inn for spesifikke, uttrykkelig angitte og berettigede formål og ikke viderebehandles på en måte som er uforenlig med disse formålene, jf. artikkel 5 nr. 1 bokstav b. Særlig viktig i kontekst av bruken av M365 Copilot er vilkårene «spesifikke» og «uttrykkelig angitte». Formålet må fastsettes senest på tidspunktet for innsamlingen av personopplysningene, med mindre et nytt formål er forenlig med det opprinnelige formålet i henhold til personvernforordningen artikkel 6 nr. 4. Det er nødvendig å se til formålet for å kunne overholde blant annet dataminimeringsprinsippet, hvor personopplysninger må være adekvate, relevante og begrenset til det som er strengt nødvendig for å oppnå formålet. |
| Dataminimerings-prinsippet | Dataminimeringsprinsippet går ut på at personopplysninger må være adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles for. Det er derfor nødvendig å se hen til formålet (som skal ha vært utformet i tråd med formålsbegrensningsprinsippet) når en vurderer hvilke og hvem sine personopplysninger som er adekvate, relevante og nødvendige for å oppnå formålet. |
| Mottaker | Begrepet er definert i personvernforordningen artikkel 4 nr. 9 som «en fysisk eller juridisk person, offentlig myndighet, institusjon eller ethvert annet organ som personopplysninger utleveres til, enten det dreier seg om en tredjepart eller ikke». M365 Copilot kan lett personifiseres eller legemliggjøres, fordi det selv utgir seg for å være en fysisk person gjennom måten det svarer på. Dette kan føre til en uriktig tenkemåte når verktøyet vurderes fra et personvernperspektiv og kan føre til følgefeil i senere vurderinger. For eksempel er ikke M365 Copilot en «mottaker» i personvernforordningens forstand. |
| Behandlingsprotokoll | Hver behandlingsansvarlig har plikt til å føre protokoll over sine behandlingsaktiviteter, hvor blant annet formålet med behandlingen oppgis, samt hvilke og hvem sine personopplysninger som behandles for å oppnå formålet, jf. personvernforordningen artikkel 30. Informasjonen i behandlingsprotokollen er langt på vei sammenfallende med det man må informere de registrerte om. Enkelte nye behandlinger vil uunngåelig oppstå ved selve innføringen av M365 Copilot, for eksempel loggføring av interaksjoner (samhandlingsloggen). Nye behandlinger må oppføres i behandlingsprotokollen, og de registrerte må bli informerert i henhold til personvernforordningen artikkel 13. |
Kartlegg og beskriv behandlingen
Det er gjennomgående slik at bestemmelsene i personvernforordningen knytter seg til en «behandling» av personopplysninger, som definert i personvernforordningen artikkel 4 nr. 2 (se over). M365 Copilot er ikke i seg selv en behandling, men et verktøy eller sett med funksjoner – altså et «middel» – som kan benyttes for å behandle personopplysninger på mange forskjellige måter og for ulike formål. Det på forhånd definerte formålet, og hva som er nødvendig for å oppnå dette formålet, setter imidlertid grenser for hvilke personopplysninger som kan behandles og på hvilken måte.
Behov for kartlegging
Det første man bør gjøre er derfor å kartlegge og beskrive behandlingen som vil skje hvis M365 Copilot tas i bruk i forbindelse med et bestemt formål, altså fra når en instruks legges inn i M365 Copilot til svaret kommer ut. Ofte vil man ønske å bruke M365 Copilot i forbindelse med behandlinger som allerede gjøres, og ved å kartlegge hva som er nytt ved bruk av M365 Copilot vil man være i stand til å sammenligne den «gamle» behandlingen og den «nye» behandlingen, og da identifisere de nye behandlingsoperasjonene («rekke[n] av operasjoner») som kan eller vil oppstå.
Fordeler ved systematisk beskrivelse
En systematisk beskrivelse av den «nye» behandlingen gir flere fordeler.
- Valg av rettslig grunnlag: Det blir mulig å fastslå hvilket rettslig grunnlag som passer best for behandlingen.
- Vurdering av nødvendighet og proporsjonalitet: En sammenligning mellom gammel og ny behandling bidrar til å vurdere behovet for og forholdsmessigheten av den nye behandlingen.
- Risikobegrensing: Det blir mulig å identifisere hvilke tekniske eller organisatoriske tiltak som bør innføres for å begrense risiko, f.eks. ved å ha spesifikke retningslinjer eller prosedyrer for effektiv instruksjonsutforming, ved å endre hva slags tilgang en bestemt brukerrolle skal ha eller ved å slå av eller på tilgjengelige innstillinger i M365 Copilot.
NTNUs brukseksempler
NTNU så på tre utvalgte brukstilfeller i sandkasseprosjektet (NTNUs funnrapport, s. 43-51). Imidlertid valgte de bevisst ikke å se på disse i DPIA-en sin. De ser i stedet på teknologiproduktet på et overordnet nivå. NTNU bør konkretisere og beskrive de nye behandlingsoperasjonene som vil skje ved bruk av M365 Copilot for hver behandling.
Behandlingsprotokollen kan være et hensiktsmessig sted å starte. Det finnes mer informasjon om systematiske beskrivelser av behandlinger i Datatilsynets sjekkliste for DPIA-er.
Ofte er det flere behandlingsoperasjoner som gjøres med personopplysninger for et spesifikt formål. Når en saksbehandler behandler en søknad om opptak til et studieprogram og må besvare en henvendelse, kan hen først lete etter relevant informasjon i databaser hen har tilgang til. Dette kan inkludere tidligere korrespondanse med andre søkere om lignende henvendelser, tidligere vedtak eller interne retningslinjer. Slike søk innebærer behandling av personopplysninger, hvor resultatene kan inneholde både relevant og irrelevant informasjon og personopplysninger. Det er saksbehandleren som bestemmer hva som er relevant og hva hen vil ta med videre.
Automatiske og «skjulte» behandlinger
En av nyvinningene med M365 Copilot er at slike behandlingsoperasjoner gjøres automatisk, og at innholdet oppsummeres og blir gjort tilgjengelig på en annen måte enn tidligere. Det er ikke gitt at dette medfører en ny behandlingsoperasjon, men det må vurderes. Hvis for eksempel flere personopplysninger behandles eller personopplysninger sammenstilles på en annen måte når M365 Copilot brukes i forbindelse med oppgaven, er det viktig å kartlegge og beskrive disse nye behandlingsoperasjonene.
| Eksempel: | I brukstilfelle A innebærer ikke oppgaven nødvendigvis behandling av personopplysninger uten bruk av M365 Copilot. Ved å ta i bruk M365 Copilot vil opplysninger om brukeren og eventuelt andre kunne behandles fordi M365 Copilot vil lete etter og bruke opplysninger den finner i «nærliggende dokumenter» (e-poster, chatter, kalenderinvitasjoner osv.) for å berike instrukser og skape output som er mer relevant for brukeren. Omfanget av personopplysninger som kan behandles vil være avhengig av den enkelte brukerens tilgangsstyring, og kan også påvirkes av innstillingene til M365 Copilot (f.eks. ved å slå av «Graph-grounded chat») eller ved bruk av «effektiv instruksjonsutforming» (det vil si hvordan instruksen er utformet). Formålet med behandlingen kan beskrives som å hjelpe brukeren med å skrive en utredning mer effektivt. Dette kan anses som en helt ny behandling, for et formål som ikke eksisterte før M365 Copilot ble tatt i bruk i forbindelse med oppgaven. |
| Eksempel: | I brukstilfelle B innebærer oppgaven behandling av personopplysninger uten bruk av M365 Copilot, og skal være beskrevet i behandlingsprotokollen allerede. Dette kan være beskrevet som følgende: Formålet med å føre møtereferat fra interne møter er å dokumentere interne beslutninger som blir tatt i virksomheten. Møtedeltakernes navn, rolle og (en oppsummering av) det som ble sagt i møtet nedtegnes skriftlig og lagres et sted hvor de som har saklig behov for det har tilgang. Ved bruk av M365 Copilot vil nye behandlingsoperasjoner oppstå i form av opptak og transkripsjon av møtet som vil innebære behandling av flere personopplysninger enn før, slik som stemme, stemmeleie, uttrykksform, kjønn (antakelse fra stemmeleie), samt (person)opplysninger som M365 Copilot finner når den leter etter «nærliggende dokumenter». I tillegg kan de valgfrie innstillingene påvirke hvilke andre behandlingsoperasjoner som skjer (f.eks. oversikt over hvem snakker, når og hvor lenge). |
| Eksempel: | I brukstilfelle C innebærer oppgaven behandling av personopplysninger også uten bruk av M365 Copilot, som skal være beskrevet i behandlingsprotokollen allerede, hvor formålet er å behandle søknader til opptak i et studieprogram. Saksbehandleren skal vurdere om all nødvendig informasjon er med i søknaden og besvare henvendelsen, som et ledd i saksbehandlingen. Det brukes personopplysninger som er mottatt i e-posten som er relevante for å vurdere om all nødvendig informasjon er mottatt. Ved bruk av M365 Copilot kan nye behandlingsoperasjoner oppstå, men dette må vurderes opp mot hvordan søknader behandles i dag, herunder eventuelle eksisterende behandlingsaktiviteter knyttet til for eksempel søk. Det er viktig å undersøke om omfanget av personopplysninger som behandles er utvidet. Opplysninger om søkeren, brukeren og eventuelt andre kan behandles fordi M365 Copilot vil lete etter og bruke opplysninger den finner i «nærliggende dokumenter» (e-poster, chatter, kalenderinvitasjoner osv.) for å berike instrukser og skape output som er mer relevant for brukeren, f.eks. et skreddersydd svar rettet mot søkeren men som ligner svar gitt til tidligere søkere. I tillegg kan de valgfrie innstillingene påvirke hvilke andre behandlingsoperasjoner som skjer (f.eks. ved å slå av «Graph-grounded chat»), eller ved bruk av «effektiv instruksjonsutforming» (det vil si hvordan instruksen er utformet). |
Det er også viktig å vurdere nye behandlingsoperasjoner som vil oppstå uavhengig av hvilken oppgave M365 Copilot brukes i forbindelse med, f.eks. samhandlingsloggen og muligens profilering av brukeren, som kan skje for andre, nye formål.
Vurder det rettslige grunnlaget
Ifølge personvernforordningen artikkel 6, er behandling av personopplysninger kun lovlig dersom ett av vilkårene i nr. 1 bokstav a til f er oppfylt. NTNU har i DPIA-en sin skrevet at det er vanskelig å definere ett eller flere klare og tydelige formål for bruk av M365 Copilot. NTNU konkluderer med at behandlingsgrunnlaget for «M365 Copilot i driftsfase» er berettiget interesse, jf. personvernforordningen artikkel 6 nr. 1 bokstav f. Det er viktig for oss å påpeke at dette ikke harmoniserer med personvernforordningen, fordi «M365 Copilot i driftsfase» ikke er en «behandling». M365 Copilot kan brukes som et middel til å utføre mange forskjellige behandlingsoperasjoner til forskjellige formål med ulike rettslige grunnlag.
Det er viktig å vite hvilket rettslig grunnlag man kan bruke for hver planlagt behandling helst før DPIA-stadiet, og i hvert fall før M365 Copilot tas i bruk. Hvis særlige kategorier personopplysninger skal behandles, må slik behandling hjemles i et av unntakene i artikkel 9. Når de samme personopplysningene behandles for forskjellige formål, må behandlingen for hvert formål forankres i et eget rettslig grunnlag.
Dersom det er snakk om en eksisterende behandling, må det gjøres en fornyet vurdering av vilkårene i det opprinnelige rettslige grunnlaget, basert på beskrivelsen av nye behandlingsoperasjoner.
Hva er nødvendig?
Alle alternativene i personvernforordningen artikkel 6 nr. 1 bokstav b til f inneholder et vilkår om at «behandlingen [av personopplysninger] er nødvendig» (vår utheving). Nødvendighetsvilkåret vil være oppfylt dersom formålet med behandlingen ikke med rimelighet kan oppnås like effektivt med andre midler som er mindre inngripende i de registrertes rettigheter og friheter.
Nødvendighetsvilkåret skal fortolkes innskrenkende, gitt at det tillater behandling av personopplysninger uten at den registrerte har gitt sitt samtykke. Nødvendighet må for øvrig vurderes i sammenheng med dataminimeringsprinsippet som er nedfelt i artikkel 5 nr. 1 bokstav c, som krever at personopplysningene skal være «adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles for». Dataminimeringsprinsippet gir utrykk for forholdsmessighetsprinsippet. Forholdsmessighet krever blant annet at fordelene ved å begrense en rettighet ikke oppveies av ulempene ved å utøve denne rettigheten.
Vi drøfter betydningen av nødvendighetsvilkåret i kontekst av personvernforordningen artikkel 6 nr. 1 bokstav e og f i det følgende.
Effektivitet og nødvendighet
I enkelte norske rettskilder er det tatt til orde for at effektiv saksbehandling i offentlig forvaltning kan anses som en «viktig allmenn interesse» i personvernforordningen artikkel 9 nr. 2 bokstav g. Etter vårt syn kan effektivitet i noen tilfeller tolkes inn i formål som baserer seg på personvernforordningen artikkel 6 nr. 1 bokstav e. Dette kan være relevant for NTNU som en offentlig institusjon.
NTNUs vurdering av nødvendighetsvilkåret under artikkel 6 nr. 1 bokstav e bør blant annet ta hensyn til følgende:
- Er M365 Copilot egnet til å oppfylle NTNUs formål på en bedre måte?
- Hvor mye bedre oppnår NTNU formålet med behandlingen om man tar i bruk M365 Copilot?
- Er det andre måter NTNU med rimelighet kan oppnå formålet like godt på?
- Hvor mye mer inngripende er de nye behandlingsoperasjonene for de registrertes personvernrelaterte rettigheter og friheter?
- Er det tiltak NTNU kan gjennomføre som gjør behandling med Copilot mindre inngripende?
Hvis det ikke er mulig å vurdere om nødvendighetsvilkåret oppfylles på dette stadiet, kan det vurderes i DPIA-stadiet hvor det skal vurderes «om behandlingsaktivitetene er nødvendige og står i et rimelig forhold til formålene», «en vurdering av risikoene for de registrertes rettigheter og friheter» og hvilke tiltak som kan håndtere risikoene og sikre vern av personopplysninger, jf. personvernforordningen artikkel 35 nr. 7.
Hvis nødvendighetsvilkåret ikke kan oppfylles, selv etter at tiltak identifisert i DPIA-en gjennomføres, kan M365 Copilot ikke tas i bruk på behandlingen.
For behandlinger som NTNU gjør i dag for et formål de har bestemt selv og som baserer seg på forfølgelse av en berettiget interesse jf. personvernforordningen artikkel 6 nr. 1 bokstav f, kan NTNU vurdere å ta inn effektivitet som en berettiget interesse de vil forfølge. EU-domstolen har sagt at å gjøre en tjeneste mer effektiv ikke kan utelukkes som en berettiget interesse. Dette vil imidlertid ofte innebære en justering av formålet for behandlingen og utvide hvilke behandlingsoperasjoner som er nødvendig for å oppnå de berettigede interessene.
Å kunne gjøre dette forutsetter at
- behandlingen ikke utføres som ledd i utførelsen av en offentlig myndighets oppgave, jf. personvernforordningen artikkel 6 nr. 1 annet ledd
- det nye formålet er forenlig med det opprinnelige formålet hvis, som ofte vil være tilfelle, personopplysninger som skal behandles ble innsamlet for et annet formål, jf. personvernforordningen artikkel 6 nr. 4
- NTNU gjennomfører en ny og oppdatert interesseavveining som kommer ut i NTNUs favør
- NTNU overholder alle de andre pliktene i personvernforordningen
Dersom et av vilkårene over ikke kan oppfylles, selv etter at tiltak identifisert i DPIA-en gjennomføres, kan M365 Copilot ikke tas i bruk på behandlingen.
For behandlinger for et nytt formål, må NTNU kunne identifisere et rettslig grunnlag for behandlingen på vanlig måte.
Bruk av samtykke
For at NTNU kan bruke samtykke som rettslig grunnlag for en behandling, må det være blant annet frivillig, spesifikt, informert og utvetydig. I lys av M365 Copilot betyr dette blant annet at NTNU må kunne forklare på en klar og tydelig måte, som gir forutsigbarhet til den registrerte, hvordan personopplysninger skal behandles når M365 Copilot tas i bruk. Dette kan være vanskelig, særlig hvis den registrerte har lite kunnskap om generativ KI og måten M365 Copilot fungerer på. I tillegg må man også se på styrkeforholdet mellom NTNU og den enkelte. For eksempel vil normalt ikke offentlige myndigheter eller arbeidsgivere kunne bruke samtykke som behandlingsgrunnlag siden den enkelte er i et avhengighetsforhold.
Det betyr ikke at bruk av samtykke som behandlingsgrunnlag i lys av Microsoft 365 Copilot er helt utelukket, men det må vurderes konkret per brukstilfelle og tilhørende behandling hvorvidt samtykkevilkårene kan oppfylles. Også i arbeidstaker-/arbeidsgiverforhold kan det være tilfeller der arbeidsgiveren kan påvise at samtykke er faktisk frivillig, hvor det ikke vil være noen ulemper for den ansatte hvis de ikke samtykker til behandlingen. Det er også viktig å huske på at en registrert kun kan samtykke til behandling av sine egne personopplysninger, mens bruk av Copilot ofte kan innebære at flere personers opplysninger behandles, selv om input eller output bare gjelder én person.
Derfor må det vurderes nøye om samtykke er et egnet rettslig grunnlag i lys av den enkelte behandlingen man står overfor, og om vilkårene for samtykke kan oppfylles.