Verklagsregla þessi er grunnur sem ríkisaðilar geta byggt á ef þær svo kjósa. 
Framkvæmd og eftirfylgni er á ábyrgð viðkomandi stofnunar.



Efnisyfirlit

1. Tilgangur og umfang

2. Skilgreiningar

3. Heimil notkun

4. Bönnuð notkun

5. Skráning og samþykki notkunar

6. Persónuvernd og gagnavernd

7. Persónuleg ábyrgð notenda

8. Brot og viðbrögð

9. Endurskoðun og gildistaka

1. Tilgangur og umfang

Verklagsregla þessi gildir um alla notkun Microsoft 365 Copilot innan skrifstofuumhverfis ríkisaðila.

Markmið reglunnar er að tryggja örugga, lögmæta og ábyrga notkun gervigreindar innan Microsoft 365 umhverfisins og skilgreina skýr mörk milli heimillar og óheimillar vinnslu gagna.

Microsoft 365 Copilot er ætlað að styðja starfsfólk við daglega þekkingarvinnu með því að auðvelda samantektir, skjalagerð, greiningu upplýsinga, undirbúning funda, vinnslu tölvupósta og önnur verkefni þar sem gervigreind getur aukið skilvirkni.


2. Skilgreiningar

Microsoft 365 Copilot

Gervigreindarþjónusta frá Microsoft sem vinnur með gögn og upplýsingar sem notandi hefur aðgang að innan Microsoft 365 umhverfisins, svo sem í Word, Excel, PowerPoint, Outlook, Teams og SharePoint.


Persónuupplýsingar

Allar upplýsingar sem hægt er að rekja til einstaklings, beint eða óbeint.


Viðkvæmar persónuupplýsingar

Persónuupplýsingar sem njóta sérstakrar verndar samkvæmt persónuverndarlögum, svo sem upplýsingar um heilsufar, stjórnmálaskoðanir, trúarbrögð, kynhneigð eða aðrar upplýsingar sem falla undir sérstaka vernd.


Fyrirmæli (Prompt)

Spurning, beiðni eða leiðbeining sem notandi setur inn í Copilot.


Svar (Response)

Úttak eða niðurstaða sem Copilot býr til út frá fyrirmælum notanda og þeim gögnum sem notandi hefur aðgang að.


3. Heimil notkun

Notkun Microsoft 365 Copilot er heimil fyrir:

  • Almenna þekkingarvinnu.

  • Samantektir á skjölum, fundum og tölvupóstum.

  • Gerð frumdraga að skjölum, kynningum og tölvupóstum.

  • Þýðingar og málfarsyfirferð.

  • Hugmyndavinnu og vinnslu tillagna.

  • Greiningu á upplýsingum sem notandi hefur heimild til að vinna með.

  • Aðstoð við gagnavinnslu í Excel og öðrum Microsoft 365 forritum.

  • Leiðbeiningar um notkun Microsoft 365 og tengdra verkfæra.

Öll notkun skal vera í tengslum við lögmæt og starfstengd verkefni ríkisaðila.


4. Bönnuð notkun

Eftirfarandi notkun er bönnuð nema sérstakt mat, heimild og viðeigandi verndarráðstafanir liggi fyrir:

  • Að setja inn eða vinna með viðkvæmar persónuupplýsingar í fyrirspurnum.

  • Að nota Copilot sem eina heimild eða einan grundvöll fyrir ákvörðunum sem hafa áhrif á einstaklinga.

  • Að nota Copilot til að komast framhjá samþykktum öryggis- eða aðgangsstýringum.

  • Að deila efni sem inniheldur trúnaðarupplýsingar með aðilum sem hafa ekki heimild til aðgangs.

  • Að nota Copilot í verkefnum sem fela í sér sjálfvirka flokkun eða mat á einstaklingum án sérstakrar heimildar.

  • Að nota Copilot til að búa til villandi, ólögmætt eða óviðeigandi efni.

  • Að tengja ósamþykktar viðbætur, sýndarfulltrúa (Agents) eða þriðju aðila lausnir við Microsoft 365 gögn stofnunarinnar.


5. Skráning og samþykki notkunar

Almenn notkun Microsoft 365 Copilot í daglegri skrifstofuvinnu krefst ekki sérstakrar skráningar.


Sérstök áhættugreining og eftir atvikum mat á áhrifum á persónuvernd (MÁP) skal framkvæmd 

ef nota á Copilot:

  • Í nýju vinnsluferli,

  • við vinnslu viðkvæmra upplýsinga,

  • við sjálfvirknivæðingu ákvarðanatöku eða

  • með sértækum sýndarfulltrúum (Agents).


Tæknilegur tengiliður og ábyrgðaraðili viðkomandi vinnslu skulu samþykkja slíka notkun áður en hún hefst.


6. Persónuvernd og gagnavernd

Notkun Microsoft 365 Copilot skal ávallt vera í samræmi við persónuverndarlög og reglur um upplýsingaöryggi.


Microsoft 365 Copilot:

  • Virðir sömu aðgangsstýringar og notendur hafa innan Microsoft 365.

  • Veitir ekki aðgang að gögnum sem notandi hefur ekki heimild til að sjá.

  • Notar ekki gögn, fyrirspurnir eða svör notenda til að þjálfa grunnmódel gervigreindarinnar.

  • Erfir öryggisstýringar Microsoft 365 umhverfisins, þar á meðal aðgangsstýringar, næmnimiða (Sensitivity Labels) og gagnaverndarstefnur.


Við notkun Copilot skal gæta sérstakrar varúðar gagnvart:

  • Ofdeilingu skjala í SharePoint.

  • Of víðtækum aðgangi að Teams svæðum.

  • Deilingu gagna úr OneDrive.

  • Rangri eða ófullnægjandi merkingu skjala.


7. Persónuleg ábyrgð notenda

Starfsmaður ber ábyrgð á öllum fyrirmælum sem hann setur inn í Copilot og því efni sem hann nýtir í kjölfarið.

Notandi skal:

  • Meta hvort heimilt sé að vinna með viðkomandi gögn.

  • Yfirfara allar niðurstöður áður en þær eru notaðar.

  • Staðfesta mikilvægar upplýsingar með frumheimildum.

  • Tryggja að svör Copilot séu ekki notuð óyfirfarin í formlegum skjölum eða ákvörðunum.

Efni sem Copilot býr til skal ávallt sæta yfirferð starfsmanns áður en það er birt eða sent áfram.


8. Brot og viðbrögð

Brot á þessari verklagsreglu geta leitt til:

  • Takmörkunar eða afturköllunar aðgangs að Microsoft 365 Copilot.

  • Tilkynningar til stjórnenda.

  • Tilkynningar til öryggisstjóra eða persónuverndarfulltrúa.

  • Frekari viðbragða samkvæmt reglum viðkomandi stofnunar.

Grunur um misnotkun, gagnaleka eða óheimila vinnslu upplýsinga skal tilkynntur tafarlaust til öryggisstjóra og persónuverndarfulltrúa.


9. Endurskoðun og gildistaka

Verklagsregla þessi skal endurskoðuð reglulega og að lágmarki árlega, eða þegar verulegar breytingar verða á virkni Microsoft 365 Copilot eða tengdu regluverki.


Gildistaka: 22. júní 2026

Ábyrgðaraðili: Umbra