Microsoft Copilot er i dag tilgjengelig for alle med Microsoft 365 Business Premium, E3 eller E5, noe som betyr at hundretusener av norske arbeidstakere har det tilgjengelig fra dag til dag. De fleste bedriftene som har rullet ut Copilot vet ikke at det stiller dem i en konkret juridisk forpliktelse etter EUs KI-forordning, allerede fra august 2025.
Her er hva du trenger å vite.
Er Microsoft Copilot et KI-system etter forordningen?
Ja. Microsoft Copilot er et KI-system etter definisjonen i KI-forordningens artikkel 3 nr. 1.
Forordningen definerer et KI-system som et maskinbasert system som opererer med varierende grad av autonomi, som kan tilpasse seg etter at det er tatt i bruk, og som genererer utdata, som tekst, bilder, prediksjoner eller anbefalinger, basert på inndata det mottar.
Copilot oppfyller alle disse kjennetegnene. Det er bygget på store språkmodeller (GPT-4-serien fra OpenAI) og genererer tekst, sammendrag, kodeforslag og møtereferater basert på brukerens instruksjoner og kontekst. Det er et KI-system, ikke bare et søkeverktøy.
Copilot er i tillegg en KI-modell for allmenne formål (GPAI), en type KI som er spesielt regulert i KI-forordningens kapittel 5, gjeldende fra august 2025.
Microsoft er leverandøren. Din bedrift er idriftsetter.
Dette skillet er avgjørende.
Microsoft er leverandøren av Copilot. Microsoft har ansvar for at selve systemet oppfyller forordningens tekniske krav: dokumentasjon, cybersikkerhet, transparens overfor sine kunder, og så videre.
Din bedrift er idriftsetter. Det er deg som bruker Copilot i din virksomhet, og det er du som har ansvar for at egne ansatte bruker det på en forsvarlig og lovlig måte.
Idriftsetter-rollen innebærer konkrete forpliktelser etter KI-forordningen, uavhengig av hva Microsoft gjør på sin side.
Kan vi bare lene oss på Microsofts compliance?
Nei. Microsofts ansvar som leverandør og din bedrifts ansvar som idriftsetter er separate og parallelle. At Microsoft oppfyller sine leverandørplikter fritar ikke din bedrift fra idriftsetter-pliktene. Dette er tilsvarende prinsipp som med GDPR: at Microsoft er databehandler, fritar ikke deg som behandlingsansvarlig fra ditt ansvar.
Hvilke konkrete plikter har din bedrift?
1. KI-kompetansekrav, gjelder nå (Artikkel 4)
Den viktigste forpliktelsen for de fleste bedrifter er Artikkel 4: alle ansatte som bruker Copilot skal ha tilstrekkelig KI-kompetanse. Dette betyr at de skal ha kunnskap om:
- Hva KI er og hvordan Copilot fungerer
- Begrensninger ved systemet, som hallusinering, bias og foreldede opplysninger
- Hvordan tolke og kvalitetssikre Copilot-utdata
- Hva som ikke bør legges inn i Copilot (sensitive persondata, forretningshemmeligheter)
- Menneskelig tilsyn, at ansatte er ansvarlige for det endelige resultatet
Kravet gjelder fra 2. august 2025 i EU. For norske bedrifter gjelder det formelt fra norsk KI-lov trer i kraft sensommeren 2026, men bedrifter som allerede bruker Copilot bør ikke vente.
2. KI-policy og intern styring
Bedriften bør ha interne retningslinjer for Copilot-bruk:
- Hvilke oppgaver er Copilot godkjent for?
- Hva er forbudt å legge inn (kundedata, helseopplysninger, finansiell informasjon)?
- Hvem godkjenner KI-generert innhold før det sendes ut?
- Hvem er ansvarlig for å holde retningslinjene oppdatert?
3. Merkekrav for KI-generert innhold (fra høst 2026)
Fra høsten 2026 gjelder merkekrav for KI-generert innhold. Innhold laget med Copilot, tekster, rapporter, e-poster, bilder, skal merkes som KI-generert. Forbered rutiner for dette i god tid.
4. Copilot i rekruttering og HR, potensielt høyrisiko (fra desember 2027)
Dersom bedriften bruker Copilot eller andre KI-verktøy til å støtte rekrutteringsprosesser, for eksempel til å rangere CV-er, vurdere kandidater, eller utforme stillingsbeskrivelser, er dette et potensielt høyrisikosystem etter Vedlegg III i forordningen.
Krav til høyrisikosystemer gjelder fra desember 2027 (utsatt via Digital Omnibus). Men det er klokt å begynne å kartlegge slik bruk nå.
Andre KI-verktøy dere sannsynligvis bruker
Microsoft Copilot er sjelden det eneste KI-verktøyet i en bedrift. Her er en oversikt over vanlige verktøy og hva de betyr for KI-forordningsstatusen din:
| Verktøy | Hva det gjør | Din rolle |
|---|---|---|
| Microsoft Copilot (365) | Tekstproduksjon, sammendrag, kodeassistanse | Idriftsetter |
| ChatGPT / ChatGPT Enterprise | Generell tekstproduksjon og analyse | Idriftsetter |
| GitHub Copilot | Kodegenerering for utviklere | Idriftsetter |
| Google Gemini (Workspace) | Teksthjelp og søk | Idriftsetter |
| Grammarly Business | Korrektur og skrivestøtte | Idriftsetter |
| HubSpot AI / Salesforce Einstein | CRM-anbefalinger og automatisering | Idriftsetter |
| Notion AI | Notater og tekstproduksjon | Idriftsetter |
| Midjourney / DALL-E | Bildegenerering | Idriftsetter |
| KI i e-rekrutteringsverktøy | CV-screening, kandidatrangering | Idriftsetter (potensielt høyrisiko) |
For hvert av disse verktøyene er din bedrift idriftsetter, og Artikkel 4-plikten gjelder for alle som bruker dem profesjonelt.
Hva er «skygge-KI», og hvorfor er det et problem?
Skygge-KI er KI-verktøy som ansatte bruker uten at ledelsen eller IT-avdelingen vet om det. Typisk eksempel: ansatte som bruker gratis ChatGPT, Claude.ai eller Gemini fra sin private Google-konto til arbeidsoppgaver.
Dette er et problem av tre grunner:
1. Juridisk ansvar uansett. At ledelsen ikke visste om bruken fritar ikke bedriften fra idriftsetter-ansvaret. Dersom en ansatt legger inn kundeopplysninger i et ikke-godkjent KI-verktøy, er det bedriftens problem.
2. GDPR-risiko. Gratis KI-tjenester bruker ofte brukerdata til å trene modellene sine med mindre dette er eksplisitt fravalgt. Sensitiv informasjon om kunder eller ansatte kan ende opp i fremtidige versjoner av modellen.
3. Merkekravet. Fra høsten 2026 skal KI-generert innhold merkes. Det er umulig å overholde dette kravet hvis ledelsen ikke vet hvilke KI-verktøy som brukes.
Løsningen: Kartlegg KI-bruken, skap en godkjentliste over verktøy, og inkluder dette i KI-opplæringen.
Er dette bare relevant for store bedrifter?
Nei. KI-forordningen skiller ikke mellom bedrifter basert på størrelse. Forpliktelsene gjelder en enkeltpersonforetak med én ansatt som bruker Copilot like mye som et konsern med tusen ansatte.
Det finnes et proporsjonalitetsprinsipp som betyr at kravets praktiske omfang skaleres med virksomhetens størrelse og risikonivå. En liten bedrift som bruker Copilot til intern tekstproduksjon vil ikke bli vurdert etter samme standard som en stor bank som bruker KI i kredittvurdering. Men plikten til å gjennomføre opplæring og ha noen form for dokumentasjon gjelder for alle.
Hva bør vi gjøre nå?
Her er en praktisk startliste for bedrifter som bruker Microsoft Copilot:
1. Kartlegg bruken. Finn ut hvem i bedriften som bruker Copilot, og til hva. Send en enkel spørreundersøkelse, eller se i Microsoft 365 Admin Center under Copilot-aktivitetsrapporter.
2. Gjennomfør KI-opplæring. Alle ansatte som bruker Copilot skal ha tilstrekkelig KI-kompetanse. Dette er et lovkrav fra august 2025. Opplæringen trenger ikke være lang, men den må dekke kjerneelementene i Artikkel 4.
3. Lag en KI-policy. Definer hvilke oppgaver Copilot er godkjent for, hva som ikke bør deles, og hvem som er ansvarlig for å kvalitetssikre KI-generert innhold.
4. Dokumenter alt. Oppbevar bevis på at opplæring er gjennomført og at dere har rutiner på plass. Dette er dokumentasjonen tilsynsmyndigheten vil etterspørre.
5. Forbered merkekrav. Fra høsten 2026 skal KI-generert innhold merkes. Legg en plan for hvordan dere skal håndtere dette i dokumenter, rapporter og kommunikasjon utad.
Oppsummering
- Microsoft Copilot er et KI-system etter KI-forordningens definisjon
- Din bedrift er idriftsetter, med konkrete forpliktelser
- Artikkel 4 (KI-kompetansekravet) gjelder fra august 2025
- Ansatte som bruker Copilot skal ha opplæring og kompetanse
- Merkekrav for KI-generert innhold gjelder fra høsten 2026
- Copilot brukt i rekruttering kan bli et høyrisikosystem fra desember 2027
- Skygge-KI er en reell risiko, kartlegg faktisk KI-bruk
Komplai hjelper bedrifter som bruker Copilot med å oppfylle kompetansekravet i Artikkel 4, med et ferdig kurs, enkel utrulling til alle ansatte, og dokumentasjon klar til tilsynsmyndigheten.
→ Les om Artikkel 4 og hva kompetansekravet innebærer → Steg-for-steg: slik oppfyller du KI-compliance → Tilbake til full KI-forordnings-guide
Kildegrunnlag: Forordning (EU) 2024/1689; Kvale advokatfirma, KI-forordningen for næringsdrivende; NKOM, hvem gjelder KI-loven; Lexolve, ki-loven.lexolve.com (april 2026).