Om prosjektet

Det er viktig å merke seg at Microsoft bruker begrepet «Copilot» på ulike måter, og at flere tjenester opererer under dette navnet. Dette prosjektet handler spesifikt om M365 Copilot, der KI blir integrert i eksisterende Microsoft 365-tjenester.

NTNU tok tak i flere problemstillinger knyttet til bruk av KI-verktøy i offentlig sektor. En sentral utfordring var om M365 Copilot kan brukes uten at personopplysninger behandles i konflikt med personvernforordningen. Et annet spørsmål var om folk vil akseptere at opplysningene deres kan brukes i andre sammenhenger enn de opprinnelig ble samlet inn for. I tillegg er det flere etiske og organisatoriske utfordringer knyttet til bruken av generative KI-verktøy generelt. NTNU skulle også undersøke risikoer knyttet til feilaktige beslutninger, som følge av for eksempel diskriminering og såkalt «hallusinasjon».

NTNU ønsket i tillegg å utvikle en verktøykasse med retningslinjer, rammeverk og vurderinger av personvernkonsekvenser, som kan brukes av andre offentlige og private virksomheter. Målet var å gjøre det enklere å vurdere om og eventuelt hvordan generative KI-verktøy som M365 Copilot kan implementeres i offentlig sektor på en ansvarlig måte. NTNU skulle også se på hvordan leverandører kan påvirkes til å tenke på innebygd personvern tidlig i utviklingsprosessen, og hindre at personvernspørsmål først diskuteres mot slutten av en anskaffelsesprosess.

Mål for sandkasseprosjektet

Omfanget av NTNUs prosjekt var bredt og dekket flere temaer enn bare personvern. Det var derfor viktig for Datatilsynet å snevre inn omfanget av det vi skulle se på og bistå med. Hovedmålet har vært å utforske og klargjøre hva personvernregelverket krever for at NTNU og andre offentlige organisasjoner kan bruke verktøy slik som M365 Copilot på en ansvarlig og lovlig måte.

For å gjøre dette, har det vært nødvendig å se på:

1. Hva M365 Copilot faktisk er og hvordan det fungerer, i tillegg til generative språkmodeller generelt.
2. Hvordan M365 Copilot kan forstås i lys av personvernregelverket på et overordnet nivå.
3. Hvilke forutsetninger som må være på plass, herunder «orden i eget hus».
4. Hvorvidt en eller flere vurderinger av personvernkonsekvenser kreves, og hva som er særlig relevant å vurdere i lys av M365 Copilot.
5. Anvendelse av den norske e-postforskriften.

Behandling av særlige kategorier personopplysninger, skytjenester generelt, overføringer av personopplysninger til tredjeland og Microsofts rolle etter personvernforordningen har vært utenfor prosjektets omfang.

Forholdet til NTNUs egen funnrapport

NTNU publiserte sin funnrapport 17. juni 2024, for å dele erfaringene med M365 Copilot med andre organisasjoner. Rapporten presenterer åtte hovedfunn som omhandler ikke bare personvern, men også etiske, juridiske, tekniske og organisatoriske problemstillinger.

Funnrapporten kan støtte og inspirere både offentlige og private virksomheter i deres planlegging og vurdering av generative KI-verktøy, samt bidra til utvikling av risikoreduserende tiltak. Vi fremhever særlig:

• NTNUs verktøykasse, som gir informasjon om hva generativ KI er og hvordan man kan bruke det på en smart, sikker og trygg måte.
• NTNUs KI-reise, med forslag til en KI-strategi, vurderinger per tjeneste og tips om anskaffelser (NTNUs funnrapport, sider 29–36).
• NTNUs forslag til retningslinjer for generativ KI.

Vi anbefaler at NTNUs funnrapport leses i tillegg til denne sluttrapporten, som er ment å utfylle NTNU-rapporten på utvalgte områder.

NTNUs verktøykasse inneholder en vurdering av personvernkonsekvenser (DPIA). NTNU valgte å gjøre en «overordnet» vurdering for M365 Copilot i driftsfasen, hvor de så på teknologien som helhet. NTNU har ikke vurdert konkrete behandlinger av personopplysninger i lys av spesifikke formål. Det betyr at arbeidet ikke oppfyller innholdskravene til en DPIA, jf. personvernforordningen artikkel 35. Arbeidet bidrar likevel med informasjon om NTNUs erfaring med M365 Copilot og generelt hvordan verktøyet fungerer, som kan være nyttig dersom en skal utarbeide en DPIA.