Orden i eget hus

M365 Copilot kan anses som en «klone» av brukeren. M365 Copilot har de samme tilgangene og rettighetene som brukeren. Det vil si at alle dokumenter, e-poster, chatter og annet brukeren har tilgang til, er tilgjengelig for M365 Copilot. Selv om brukeren ikke vil få tilgang til ny informasjon med M365 Copilot, gjør verktøyet det mulig å raskt hente fram informasjon som tidligere har vært vanskelig tilgjengelig. Det kan være informasjon brukeren ikke skulle hatt tilgang til, og sannsynligvis ikke visste at hen hadde tilgang til. Dette øker risikoen for utilsiktet eller uautorisert bruk av data. Derfor må tilgangsstyring være nøye knyttet til brukerens rolle og behov i virksomheten.

Digitaliseringsdirektoratet har utarbeidet en veileder for orden i eget hus, inkludert en modenhetsmodell som hjelper offentlige virksomheter med å kartlegge og forbedre informasjonsforvaltning, med fokus på oversikt over egne datasett. Dette er en ressurs vi anbefaler alle offentlige virksomheter å gjøre seg kjent med.

NTNU må først ha god oversikt og kontroll over

1. avtaleverket og innstillingene for selve skytjenesten som M365 Copilot sitter på toppen av
2. informasjonsforvaltning generelt, herunder klassifisering, kategorisering og tilgangsstyring
3. behandling av personopplysninger, herunder en oppdatert og uttømmende behandlingsprotokoll

Dette er en utfordrende oppgave, både for store virksomheter med mye data og mange forskjellige systemer, slik som NTNU, men også for mindre virksomheter som kanskje ikke har den nødvendige kompetanse som kreves.

Informasjonsforvaltning

God informasjonsforvaltning bidrar til å nå flere mål:

1. Kvalitet på informasjonen: Sikrer at informasjonen er nøyaktig, oppdatert og pålitelig.
2. Sikkerhet: Beskytter sensitiv informasjon mot uautorisert tilgang og sikkerhetsbrudd.
3. Etterlevelse: Hjelper organisasjonen med å overholde juridiske krav som personvernforordningen og offentlighetsloven.
4. Effektivitet: Forbedrer arbeidsflyt og beslutningstaking ved å gjøre informasjon lett tilgjengelig og forståelig.
5. Redusert risiko: Minimerer risikoen for tap av data, juridiske sanksjoner og omdømmeskade.

God informasjonsforvaltning forutsetter etablering av grunnleggende retningslinjer for hvordan informasjon skal håndteres innad i organisasjon. Informasjonskartlegging for å identifisere hvilken informasjon som finnes, hvor den lagres, og hvem som har tilgang, er et viktig steg og legger også grunnlaget for tilgangskontroll. Relevant opplæring av ansatte er et viktig ansvar for virksomheten.

For å lykkes med dette kreves robuste rutiner som løpende klassifiserer informasjon basert på sensitivitet og juridiske krav, inkludert personvernforordningen. Tilgang til de ulike kategoriene informasjon må begrenses ut fra saklig behov. Livssyklusadministrasjon fra opprettelse til arkivering eller sletting er også en del av denne prosessen.

Moderne informasjonsforvaltning krever automatisering og bruk av verktøy som sikrer effektivitet, enkelhet og konsistens i prosessene. Disse må også kunne håndtere behovet for å regelmessig evaluere og oppdatere praksiser for å tilpasse seg endrede behov og reguleringer, samt understøtte behovet for å gjennomføre interne og eksterne revisjoner for å sikre overholdelse av lover og interne retningslinjer.

Krav til moderne informasjonsforvaltning kan også utløse behov for organisatoriske endringer, hvis rollene for å understøtte prosessene ikke allerede er etablert med klare mandater.

Som det understrekes i funn fra NTNU-rapporten, vil et verktøy som M365 Copilot kunne påvirke organisasjonen og bør først og fremst ansees å være et organisasjonsendringsprosjekt og et informasjonsforvaltningsprosjekt heller enn et IT-prosjekt.

Virksomheten bør vurdere om det er prosesser som bør tilpasses eller endres for å integrere M365 Copilot på en effektiv måte, like mye som å forsøke å tilpasse produktet til organisasjonens eksisterende prosesser. Denne type verktøy kan konfigureres til en viss grad for å møte spesifikke behov, men det er viktig å forstå verktøyets begrensninger og styrker. Da trenger man bevissthet og kunnskap om hvilke tiltak som best understøtter behovet for å hente ut gevinster, samt å sikre at man etterlever kravene til ansvarlighet og lovlighet.

Behandlingsprotokoll

Alle virksomheter som behandler personopplysninger skal føre protokoll over behandlingsaktivitetene sine, jf. artikkel 30. Behandlingsprotokollen skal vise formålene med hver enkelt behandling, en beskrivelse av hvem sine og hvilke personopplysninger som behandles, mottakere av personopplysninger (hvis aktuelt) og hvorvidt personopplysninger overføres til land utenfor EØS. I tillegg, hvis mulig, må tidsfristene for sletting vises, samt en generell beskrivelse av de tekniske og organisatoriske sikkerhetstiltakene nevnt i artikkel 32 nr. 1.

Før man vurderer om M365 Copilot kan innføres, og for å kunne vurdere hvorvidt og hvordan det kan skje, er det helt nødvendig å ha en uttømmende og oppdatert behandlingsprotokoll på plass, slik vi allerede har nevnt ovenfor. Da kan virksomheten som første steg vurdere, per behandling, hvorvidt M365 Copilot er egnet til å tas i bruk i forbindelse med den og, hvis ja, hvordan.

Ved å ta i bruk M365 Copilot, vil flere nye behandlinger uunngåelig oppstå. Dette inkluderer som nevnt lagringen av hver brukers logg over samhandlinger med M365 Copilot (samhandlingsloggen). Dette er en ny behandling, og det må vurderes særlig hva formålet med den er, når loggen skal slettes og hvem i virksomheten som skal ha tilgang til den. Vi drøfter også anvendelse av den norske e-postforskriften lenger ned. Administratorer har tilgang til brukerens samhandlingslogg og har mulighet til å søke i den ved bruk av eDiscovery. Andre nye behandlinger som oppstår kan være at M365 Copilot genererer opplysninger når den svarer på instrukser, og disse kan være personopplysninger. Det er også uklart for NTNU hvorvidt det skjer en profilering av brukeren. NTNU har valgt å regne det som høyst sannsynlig at profilering skjer. Hvilke nye behandlingsoperasjoner bruk av M365 Copilot medfører, vil variere noe ut fra hvilke innstillinger som skrus av eller på, og disse nye behandlingene må også inn i behandlingsprotokollen.

Tilgangsstyring

I det følgende skriver vi om tilgangsstyring som sikkerhetstiltak etter personvernforordningen artikkel 32.

Det overordnede kravet etter personvernforordningen artikkel 32 nr. 1 er at den behandlingsansvarlige gjennomfører «egnede tekniske og organisatoriske tiltak for å oppnå et sikkerhetsnivå som er egnet med hensyn til risikoen» ved behandlingen av personopplysninger. Hensikten er at sikkerhetstiltakene skal stå i et rimelig forhold til den konkrete risikoen ved behandlingen.

Personvernforordningen stiller ikke spesifikke krav til det nærmere innholdet i sikkerhetstiltakene. For offentlige myndigheter gjelder likevel en plikt til å bruke etablerte standarder ved anskaffelse, utvikling, oppsett, drift og bruk av IT-løsninger, jf. forskrift 5. april 2013 nr. 959 om IT-standarder i offentlig forvaltning § 14. Det finnes en rekke slike standarder for personopplysningssikkerhet, som gjennomgående stiller krav om at tiltak som tilgangsstyring, logging og loggkontroll er på plass, se for eksempel ISO/IEC 27002:2022 kapittel 5 og 8. Det er på det rene at tilgangsstyring er et nødvendig element i tiltakene som er påkrevd etter artikkel 32.

Hva menes egentlig med tilgang?

Vi har merket oss at begrepet «tilgang» i praksis anvendes på litt ulike måter når folk snakker om M365 Copilot. Vi vil derfor forklare noe nærmere hva vi mener med tilgangsstyring som sikkerhetstiltak.

NTNU understreker i sin funnrapport viktigheten av «aktiv stillingtaken til hvilke data M365 Copilot skal ha tilgang til». For å hindre at verktøyet brukes på feil data, vil tiltak for å styre sluttbrukernes tilgang til data være hjelpsomt. Tilgangsstyring kan understøtte arbeidet med å sikre at personopplysninger bare brukes innenfor rammene av det en har rettslig grunnlag for etter personvernforordningen artikkel 6 og 9. Men det er ikke dette som ligger i kjernen av tilgangsstyring som sikkerhetstiltak. Som sikkerhetstiltak er målet med tilgangsstyring først og fremst å sørge for at personopplysninger har et egnet konfidensialitetsvern, jf. personvernforordningen artikkel 5 nr. 1 bokstav f og artikkel 32 nr. 1 bokstav b.

Eksempel fra UiO

Betydningen av dette kan illustreres med et eksempel fra virkeligheten. Khrono omtalte 27. juni 2024 en avvikshendelse hos UiO, hvor jobbsøkeres CV og ansettelseskomiteens vurderinger lå åpent tilgjengelig for alle ansatte ved universitetet. Som formildende omstendighet ble det trukket fram at opplysningene var vanskelig tilgjengelig. I avviksmeldingen som ble sendt til Datatilsynet, gjengitt i Khronos artikkel, skrev UiO:

Slike argumenter har vanligvis en viss gyldighet når det kommer til vurderingen om hvorvidt det er sannsynlig at et sikkerhetsbrudd har påvirket den registrerte. Det vil imidlertid stille seg annerledes for virksomheter som bruker M365 Copilot. M365 Copilot henter enkelt fram opplysninger fra obskure kilder, som brukeren selv kanskje ikke visste at hen hadde tilgang til. Dette øker sannsynligheten for at personopplysninger eksponeres ulovlig.

Datatilsynets erfaring er at denne typen avvik – hvor personopplysninger lagres på steder som gjør dem tilgjengelige for uvedkommende – er svært vanlig. Tilgangsstyring og klassifisering av informasjon bør derfor være et høyt prioritert sikkerhetstiltak dersom virksomheten vurderer å innføre M365 Copilot.