Kunstig intelligens (AI) > Er Microsoft Copilot trygt?

Er Copilot trygt?

Microsoft Copilot er innfelt direkte i Windows, Microsoft 365, Teams og Edge – noe som gir den bred tilgang til dataene dine. Før du deler en ny fil eller starter en ny samtale, bør du forstå hvor disse dataene havner og hva det betyr for personvernet ditt.

Det korte svaret

Til hverdagslige oppgaver kan Copilot generelt være trygg å bruke. Men på grunn av Microsofts praksis for datainnsamling og dokumenterte personvernrisikoer, bør du unngå å bruke den til noe sensitivt.

Muligens OK for:

Skrive utkast til uformelle meldinger og e-poster
Oppsummere offentlig tilgjengelige artikler
Idémyldring rundt generelle ideer
Generere ikke-sensitiv tekst
Korrekturlesing av offentlig rettet innhold
Formatere og restrukturere generelle tekstdokumenter
Svare på spørsmål om allmennkunnskap

Lim aldri inn:

Passord, API-nøkler eller påloggingsinformasjon
Personopplysninger (navn, e-postadresser, ID-er)
Konfidensielle økonomiske data
Pasientjournaler eller helseopplysninger
Juridiske dokumenter, kontrakter eller fortrolig kommunikasjon
Proprietære produktveikart eller forretningshemmeligheter
Ansatt- eller HR-data, lønnsinformasjon

Er Copilot trygg å bruke? En oversikt

Copilots risikoer varierer avhengig av om du bruker den gratis forbrukerversjonen, en Microsoft 365-bedriftslisens eller den innebygde Windows-opplevelsen. Før du velger AI-verktøy, inkludert Copilot, ChatGPT, Gemini, Meta AI og DeepSeek, bør du vurdere sikkerhets- og personvernrisikoene som er involvert.

Tabell
Risiko	Potensiell innvirkning	Hvorfor det er viktig
Data som brukes til opplæring av KI-modeller	Dine prompter og samtaler kan bli brukt til å trene opp Microsofts AI-modeller med mindre du aktivt velger det bort	Sensitivt innhold du deler, kan bli gjennomgått av mennesker eller dukke opp i fremtidige resultater
Dataoppbevaring og ubegrenset lagring	Copilot-interaksjoner kan lagres på ubestemt tid uten noen retningslinjer for oppbevaring	Gamle ledetekster som inneholder sensitive data, kan fremdeles finnes via elektronisk utlevering (e-discovery)
For brede tilganger	Copilot har tilgang til alt du har tillatelse til å se, inkludert mapper og stasjoner	Konfidensielle dokumenter kan bli utilsiktet eksponert
Grenseoverskridende databehandling (fleksibel ruting)	EU-/EFTA-leietakerdata kan bli behandlet utenfor EUs datagrense (EU Data Boundary) i perioder med stor etterspørsel	Organisasjoner underlagt GDPR, DORA eller bransjespesifikke forskrifter risikerer potensielle brudd på regelverket
Data er underlagt amerikansk jurisdiksjon	Amerikanske myndigheter kan potensielt få tilgang til dataene dine uavhengig av hvor du er fra eller hvor de er lagret	Selv data lagret i EU er ikke automatisk beskyttet mot forespørsler fra amerikanske myndigheter
Datainnhøsting på tvers av tjenester	Copilot henter data fra Bing, MSN, Edge og andre Microsoft-produkter som standard	Bygger en bredere aktivitetsprofil, noe som øker risikoen for re-identifisering
Prompt injection-angrep	Skadelige instruksjoner som er innfelt i dokumenter, kan kapre Copilots svar	Angripere kan manipulere resultater eller hente ut interne data via dokumenter

Personvernrisikoer

Her er hva du risikerer hver gang du bruker Copilot, og hvorfor Microsoft Copilots personvern fortjener langt mer granskning enn de fleste gir det.

Samtalene dine kan trene opp Microsofts AI-modeller

Som standard bruker forbrukerversjonen av Copilot samtalene dine til å trene opp KI-en sin – inkludert ledetekstene dine og svarene du mottar.

Du må aktivt velge det bort i personverninnstillingene dine, og selv da kan data som ble delt før du valgte det bort, allerede ha blitt behandlet.

Bilder og filer du laster opp, lagres i opptil 18 måneder

Hvis du deler et bilde eller et dokument med Copilot, bekrefter Microsofts eget personvern-FAQ at filen lagres sikkert i opptil 18 måneder før den blir slettet automatisk.

Ethvert sensitivt bilde, dokument eller fil du deler med Copilot, blir liggende på Microsofts tjenere og utenfor din kontroll.

Dataene dine kan falle under amerikansk lovgivning, uansett hvor du befinner deg

Fordi Microsoft er et amerikansk selskap, er det underlagt CLOUD Act, noe som betyr at amerikanske myndigheter potensielt kan få tilgang til dataene dine selv om du ikke er basert der, noen ganger uten at det kreves en rettskjennelse.

Dette utgjør en fundamental risiko for brukere utenfor USA, selv de som dekkes av Microsofts forpliktelse om EUs datagrense (EU Data Boundary).

Copilot henter dataene dine fra Microsofts økosystem som standard

«Microsoft usage data» er en innstilling som er aktivert som standard, og som gir tilgang til dataene dine fra Bing, MSN, Microsoft Edge og andre Microsoft-tjenester for å tilpasse Copilot-opplevelsen din.

ZDNet rapporterte(nytt vindu) at du eksplisitt må velge bort denne datainnsamlingen på tvers av tjenester. Resultatet er en stadig mer detaljert profil av aktiviteten din, nettleservanene dine og interaksjonene dine, uten din viten eller samtykke.

Risiko for reidentifisering fra «anonymiserte» data

Microsoft oppgir at de avidentifiserer data før de bruker dem til modelltrening, ved å fjerne telefonnumre, sladde ansikter og fjerne visse identifikatorer.

Imidlertid kan disse antatt anonyme datasettene reidentifiseres når de kombineres med tidsstempler, enhetskarakteristikker eller plasseringssignaler.

Siden Copilot is dypt innfelt i et økosystem på tvers av tjenester som spenner over Windows, Microsoft 365, Bing og Edge, øker risikoen for re-assosiering over tid stadig.

Microsoft gikk tidligere bort fra sitt eget løfte om «ingen oppbevaring»

Microsoft markedsførte opprinnelig Copilot med personvern ut fra at den ikke sparte på brukerinstrukser.

Men i slutten av 2024 gikk de bort fra dette løftet(nytt vindu), og innførte oppbevaring av instrukser for samsvars- og revisjonsformål. Hva er lærdommen?

Reglene som gjelder for dataene dine, kan endres når som helst – og med et lukket kildekodeprodukt finner du kanskje først ut av det i etterkant.

Forretningsrisikoer

Hvis du tror organisasjonens bedriftslisens holder dataene dine trygge, må du tro om igjen. Flere hendelser fra den virkelige verden viser at selv betalende bedriftskunder har blitt rammet av Copilots sikkerhetshull, ofte uten advarsel.

Copilot overtar alle brukerrettigheter, inkludert tilgang til begrensede filer

Hvis du kjører en Copilot-agent i Microsoft 365, gir du den tilgang til alt brukeren har – inkludert sensitive interne filer som aldri var ment å være allment tilgjengelige.

Forskning fra Metomic(nytt vindu) viste at over 15 % av virksomhetskritiske filer står i fare for å bli overdelt, og over 3 % av sensitive forretningsdata ble delt i hele organisasjonen uten tilstrekkelige kontroller.

Hvis en Copilot-bruker har tilgang til sensitiv informasjon, får Copilot nøyaktig samme tilgang. Dette kan føre til eksponering av sensitiv informasjon, ettersom Copilot potensielt kan trene opp modellene sine og lekke disse dataene i resultatene sine.

Flex-ruting sender EU-data utenfor EUs datagrense (EU Data Boundary)

Fra april 2026 aktiverer Microsoft flex-ruting(nytt vindu) som standard for alle EU- og EFTA-leietakere.

I perioder med høy etterspørsel kan Copilot-instrukser og -data rutes til behandlingsinfrastruktur utenfor EU – inkludert USA eller Australia – noe som kan medføre samsvarsproblemer for organisasjoner underlagt GDPR, NIS2 eller DORA.

Avgjørende er det at flex-ruting er basert på utmelding (opt-out) som standard, ikke innmelding (opt-in).

Prompt-injeksjonsangrep kan gjøre e-poster og dokumenter til våpen

Med prompt-injeksjoner kan angripere felle inn skjulte instruksjoner i e-poster eller dokumenter som, når de behandles av Copilot, lurer AI-en til å sende ut interne data.

EchoLeak-sårbarheten(nytt vindu) demonstrerte dette i stor skala, der angripere kunne stjele data fra en brukers Microsoft 365-miljø selv uten noen brukerhandling.

Dine konfidensielle data kan potensielt bli eksponert

I begynnelsen av 2026 bekreftet Microsoft at en feil i programvaren hadde latt Copilot lese og oppsummere brukernes konfidensielle e-poster, og dermed omgå retningslinjer for forebygging av datatap som organisasjoner er avhengige av for å beskytte sensitiv informasjon.

Feilen var aktiv i flere uker(nytt vindu) før Microsoft foretok seg noe, og sikkerhetseksperter påpekte hvordan dette demonstrerer en fundamental svakhet i «tillitsgrensen» Microsoft hadde lovet bedriftskunder: Copilot har potensial til å få tilgang til beskyttede e-poster selv når selskaper eksplisitt hadde konfigurert den til å ikke gjøre det.

Mangel på åpenhet

Microsoft Copilot er programvare med lukket kildekode. Modellarkitekturen, treningsdataene og datastrømveiene kan ikke inspiseres eller revideres uavhengig, noe som betyr at det forventes at du tar Microsofts forsikringer for god fisk.

Ingen uavhengig bekreftelse av påstander om datahåndtering

Microsoft publiserer dokumentasjon om hvordan Copilot behandler data, men ingen uavhengige forskere, revisorer eller regulatorer kan inspisere den faktiske kildekoden for å verifisere disse påstandene. Personvernsertifiseringer er nyttige signaler, men ingen erstatning for åpen kildekode som kan revideres uavhengig.

Endringer i retningslinjer kan skje uten brukerens samtykke

Microsoft kontrollerer vilkårene som dataene dine behandles under, og har endret dem tidligere. Reverseringen av oppbevaring av instrukser i 2024 og datautvidelsen på tvers av tjenester i 2026 er to eksempler. Bedrifter som stoler på Copilot for sensitivt arbeid, er eksponert for et samsvarsgrunnlag de ikke kan kontrollere eller forutsi.

Slik holder du deg trygg når du bruker Copilot

Du trenger ikke å gi opp AI-verktøy helt – men hvis du fortsetter å bruke Copilot, vil disse trinnene redusere eksponeringen din betydelig.

Velg bort å la dine prompter bli brukt til å trene opp Copilots AI-modeller.

Slå av datadeling på tvers av tjenester.

Unngå å laste opp noen form for personopplysninger, inkludert bilder og dokumenter.

Behandle KI-chatter med utgangspunkt i at de kan bli sett av andre.

Velg bort fleksibel ruting for virksomheter i EU eller EFTA.

For virksomheter bør du kontrollere mappe- og stasjonstillatelser før du gir tilgang til Copilot.

Bytt til en privat AI-assistent

Lumo er utviklet for folk som vil ha en AI-assistent de kan stole på. Lumo trener aldri på chattene dine og lagrer heller ikke logger, noe som sikrer at dataene dine er helt private. Selv ikke Proton har tilgang til det.

Prøv Lumo nå Bruk Lumo for Business

Ofte stilte spørsmål om Copilots sikkerhet

Er Copilot trygt for konfidensiell informasjon?: Nei, Copilot er ikke et trygt miljø for konfidensiell, sensitiv eller regulert informasjon. KI-trening er slått på som standard for personlige kontoer, filer kan lagres i opptil tre år, og Microsoft – sammen med tredjeparter som offentlige myndigheter – kan få tilgang til dine lagrede samtaler.
Er Copilot ende-til-ende-kryptert?: Nei, ende-til-ende-kryptering (E2EE) er ikke praktisk med dagens teknologi. Microsoft Copilot krypterer data under overføring med TLS/IPsec og under lagring med AES-256 og BitLocker. Sann ende-til-ende-kryptering betyr imidlertid at bare avsenderen og mottakeren kan lese innholdet, ikke tjenesteleverandøren.
Microsoft har, som tjenesteleverandør, dekrypteringsnøklene og kan dermed få tilgang til innholdet for etterlevelses-, revisjons- og juridiske formål, noe som betyr at de ikke bruker E2EE. Forskjellen mellom Copilot og Lumo is at mens Microsoft beholder dataene dine og dekrypteringsnøklene, lagrer Lumo ingen logger og bruker nulltilgangskryptering for å beskytte chatteloggen din, slik at bare du har dekrypteringsnøkkelen.
Hva er risikoene ved å bruke Microsoft Copilot?: Generelt utgjør Microsoft Copilot ulike personvern- og sikkerhetsrisikoer, ettersom dataene dine kan oppbevares og brukes til å trene opp Copilots AI-modeller. Dette betyr at chattene dine, opplastede filer og tilkoblede stasjoner eller mapper potensielt kan bli eksponert eller delt med tredjeparter uten din viten eller samtykke.
Hva er 5 ting du aldri bør fortelle Copilot?: Passord, API-nøkler og påloggingsinformasjon
Personlige identifikasjonsdata, inkludert navn, e-postadresser og identifikasjonsnumre
Konfidensiell økonomisk informasjon, for eksempel inntektsprognoser, lønnsdata eller ikke-publiserte økonomiske resultater
Personlig medisinsk informasjon og helseinformasjon, enten det er din egen eller andres
Alt som er underlagt taushetsplikt mellom advokat og klient, eller som du ikke vil skal bli offentliggjort i en rettssak
Beholder Copilot bildene dine?: Ja. I henhold til Microsofts egne vanlige spørsmål om personvern (Privacy FAQ) blir bilder og filer du deler med Copilot, lagret sikkert i opptil 18 måneder og deretter slettet automatisk. Filen og den tilhørende samtalen er underlagt innstillingene dine for modelltrening – noe som betyr at hvis du ikke har valgt det bort, kan bildet og samtalen rundt det bli brukt til å forbedre Microsofts AI.
Kan arbeidsgiveren min se Copilot-samtalene mine?: Hvis du bruker Microsoft 365 Copilot på en konto som administreres av en bedrift, så ja – arbeidsgiveren din og selskapets administratorer har mulighet til å få tilgang til og se gjennom dine Copilot-interaksjoner. Bedriftsadministratorer kan bruke retningslinjer for eDiscovery og juridisk oppbevaring på Copilot-data lagret i Microsoft Purview, deres felles plattform for datasikkerhet, administrasjon og etterlevelse. Behandle din bruk av Copilot på jobbkontoen som potensielt synlig for IT- og samsvarsteamene dine.
Er Microsoft 365 Copilot tryggere enn forbrukerversjonen?: På noen måter, ja. Bedriftsdata brukes ikke til å trene opp Microsofts grunnleggende AI-modeller, isolasjon på leietakernivå (tenant-level isolation) forhindrer datalekkasje på tvers av organisasjoner, og organisasjoner kan konfigurere retningslinjer for styring gjennom Purview, Microsofts enhetlige plattform for datastyring og etterlevelse. Bedriftsbrukere står imidlertid fortsatt overfor risikoer knyttet til tilgang med for omfattende rettigheter, flex-ruting (for EU-kunder), prompt-injeksjonsangrep og den oppdagbare naturen til AI-interaksjonslogger. Ingen av versjonene garanterer genuint konfidensielle data.