Kakor på nacka.se

På Nacka.se använder vi kakor (cookies) för att webbplatsen ska fungera på ett bra sätt för dig. Genom att fortsätta ditt besök godkänner du att vi använder nödvändiga kakor. Läs mer om kakor

Vill du göra inställningar och acceptera delar av kakorna?
Hantera kakor

Hoppa till innehåll

Mitt Nacka

Mitt Nacka

Sök Dölj sök
Meny
För medarbetare
DigiAkademin

Case: Trygg AI-start med Copilot

För att kunna använda AI på ett sätt som är både effektivt och tryggt har vi tagit fram en lösning som kombinerar Copilot med automatisk informationsklassning. Genom samarbete mellan digitalisering, informationssäkerhet och externa experter har vi skapat ett arbetssätt där AI blir ett kraftfullt stöd – utan att vi tappar kontrollen över vår information.
Gå till vår e-tjänst Skicka in ditt digitaliseringsärende

digiakademin-logo.png

Vad?

AI-verktyg som Copilot öppnar nya möjligheter för våra verksamheter – men för att dra nytta av dem fullt ut behöver vi kunna använda vår egen information på ett säkert sätt. I Nacka har vi därför haft ett tydligt behov: att kunna erbjuda Microsoft Copilot som en integrerad del av arbetsvardagen, utan att tumma på informationssäkerheten.

Förutsättningarna har varit både tekniska och organisatoriska – det behövdes lösningar som gör det enkelt att använda AI i vardagen, men också tryggt ur ett säkerhets- och integritetsperspektiv. Därför ville vi bygga ett stöd som hjälper användaren att göra rätt från början, utan att det kräver expertkunskap.

Varför?

Syftet har varit att möjliggöra ett smart och effektivt arbetssätt, där AI hjälper oss att få mer tid till värdeskapande uppgifter. Samtidigt är säker informationshantering en grundförutsättning för förtroende i offentlig sektor – och där gör AI det ännu viktigare att ha koll på vad som delas, var det lagras och vem som får se vad.

Vi ville skapa en lösning där medarbetare får tillgång till kraften i AI, men där det finns tydliga ramar och automatiska skydd för att undvika felhantering. Det handlar i grunden om att våga använda ny teknik – men göra det på ett ansvarsfullt sätt.

Hur?

Lösningen är en kombination av teknik, metodik och utbildning. Tillsammans med Nordic Information Control (NIC) har vi tagit fram automatisk informationsklassning som kan avgöra vilken känslighetsnivå ett dokument har – och koppla det till rätt skydd genom Microsoft 365:s känslighetsetiketter. Copilot får endast tillgång till information som är godkänd för ändamålet.

Vi har också tagit fram rutiner och utbildningar som är obligatoriska för alla som ska använda Copilot. Genom att göra det lätt att göra rätt – både tekniskt och i vardagen – har vi skapat en modell där AI blir ett verktyg som stärker både kvalitet och säkerhet. Resultatet är en trygg, användbar och verksamhetsnära AI-lösning som hela kommunen nu kan dra nytta av.

Frågor och svar

Här nedan har vi samlat några av de vanligaste frågorna vi får om hur vi har arbetat med projektet. Syftet är att ge andra kommuner insikter och praktiska råd baserat på våra erfarenheter.

Hur valde ni lösning för automatisk informationsklassning?

Efter en förstudie där vi utvärderade möjliga lösningar för automatisk informationsklassning valde vi NIC av två huvudsakliga skäl:

  • Plattformsoberoende: NIC kan scanna och autoklassa information oavsett IT-miljö.
  • Minskad sårbarhet: Genom att använda en svensk lösning minskar vi beroendet av amerikanska molntjänster för informationsscanning.

Har ni klassat andra ytor än Microsoft-miljön?

Ja, vi har även testat andra ytor än Microsoft365, vilket visar att lösningen fungerar i flera olika IT-miljöer

Hur jobbar ni praktiskt med insikterna om informationshanteringen som ni får?

Vi har tillsammans med NIC utvecklat en portal där vi kan filtrera i metadatan på medarbetare, organisation, klassning med mera. Portalen möjliggör löpande rapportering och analys efter behov. Vi arbetar kontinuerligt med att anpassa och skapa identifierare för att automatiskt kunna klassificera olika informationsmängder, vilket är ett löpande arbete som vidareutvecklas i förvaltningen av lösningen.

Hur styr ni vad Copilot får komma åt och inte?

En grundläggande förutsättning är att vi har ett ställningstagande om användning av molntjänster med överföring till tredjeland, vilket styr vilken information vi kan hantera i Microsoft365-miljön. Automatisk informationsklassning med känslighetsetiketter och behörighetsbegränsningar gör att Copilot endast kan bearbeta information klassad som Försumbar eller Måttlig.

Vilka hinder har ni stött på och vilka är viktiga lärdomar för någon som ska in i detta arbete?

  • Mycket information var oklassificerad i början och passade inte in i identifierare.
  • Hantering av olika filtyper har varit svårt att förutse, särskilt kopplingen mellan autoklassning och synliga känslighetsetiketter i Microsofts appar. Många filformat, t.ex. PDF, stöds inte fullt ut, vilket kan skapa problem om dokument felaktigt klassas som känsliga och användaren vill göra dem åtkomliga för Copilot.
  • Det har krävts mycket utredning för att hitta pragmatiska lösningar som skyddar information utan att skapa svårlösta problem för slutanvändarna.

Viktiga lärdomar:

  • Underskatta inte tiden för riskanalys och systematiskt säkerhetsarbete, både under och efter projektet.
  • Involvera verksamheterna tidigt och fortlöpande framåt, eftersom nya risker upptäcks genom användning av verktygen och behöver hanteras kontinuerligt.

Vilka förutsättningar hade ni på plats som har varit avgörande och påverkat hur ni drivit projektet?

  • Beslutad AI-policy
  • Beslutad Informationssäkerhetsstrategi
  • Politiskt ställningstagande kring informationsbehandling i tredje land
  • Utbildningar för medarbetare om AI, informationssäkerhet och dataskydd
  • Drivkraft att motverka skugg-IT genom att erbjuda en AI-assistent som möjliggör arbete på ett ansvarsfullt sättMetodstöd, systematik och kunskap hos användarna för informationsklassning fanns på plats
  • Metodstöd, systematik och kunskap hos användarna för informationsklassning fanns på plats

Vilka resurser hade ni med i projektet (kompetenser) och hur mycket tid krävde det?

Projektet pågick under totalt 6 månader. Nedan följer en detaljerad beskrivning av roller och omfattning för oss internt.

Roll

Omfattning/tid

Informationssäkerhetssamordnare

20%

Dataskyddsombud

Enstaka insatser vid behov

IT-specialist/infrastruktur

10%

IT-specialist M365

10%

Testledare

20% under ett par veckor

Testgrupp från supportpersonal/service desk

5–10% några veckor

Digital strateg

10%

Kommunikatör

15%

Projektledare/tjänsteansvarig/förvaltning

50–100% rörligt

Styrgrupp med representanter från ledning, Digitalisering och berörda verksamheter

Kommentar: NIC har stått för merparten av all konfiguration. Deras tid är inte redovisad.

Vad har ni för rekommendationer till andra kommuner?

  • Ha en tydlig policy för informationshantering och AI.
  • Utbilda medarbetare om informationssäkerhet och dataskydd.
  • Lägg tid på riskanalys och säkerhetsarbete – det är avgörande för ett lyckat projekt.
  • Involvera verksamheterna tidigt och kontinuerligt.
  • Var beredd på att anpassa identifierare och klassificeringsregler efter era egna informationsmängder.
  • Ha en pragmatisk inställning och lös problem som uppstår längs vägen – många utmaningar upptäcks först vid faktisk användning, och M365-miljön med licenser och funktioner förändras ofta.

Vill du veta mer?

Monica Enderstein
Objektledare och tjänsteansvarig Kommungemensamma IT-tjänster
monica.enderstein@nacka.se

Emelie Rhodin
Informationssäkerhetssamordnare och signalskyddschef
emelie.rhodin@nacka.se

Sidan uppdaterades:

Vill du kontakta oss?