Snilld

Copilot læste fortrolige e-mails i ugevis – er din organisation ramt?

Microsoft har bekræftet, at en fejl i Office 365 gjorde det muligt for Copilot AI at læse fortrolige e-mails, selvom der var sat sikkerhedsforanstaltninger op. Fejlen har stået på i flere uger og kan få store konsekvenser for offentlige organisationer. Vi dykker ned i, hvad der skete, og hvad man skal gøre nu.

19. februar 2026 Peter Munkholm

En fejl, der ikke måtte ske

Microsoft har nu bekræftet, at en alvorlig fejl i Office 365 gjorde det muligt for Copilot AI at læse og opsummere fortrolige e-mails – selv når der var sat sikkerhedsforanstaltninger op. Det lyder næsten som en dårlig joke, men det er desværre virkelighed. Fejlen betød, at Copilot Chat kunne tilgå e-mails mærket som fortrolige, på trods af at data loss prevention-politikker (DLP) skulle forhindre netop det. Vi har set mange sikkerhedsbrister gennem årene, men det her rammer lige ned i den offentlige sektors største frygt: At AI-løsninger utilsigtet får adgang til data, de aldrig skulle have set.

Det mest fængende og spændende billede for artiklen om fejlen i Office 365 og Copilot AI’s adgang til fortrolige e-mails skulle visualisere den komplekse, abstrakte risiko for datalæk, hvor teknologi møder det hverdaglige informationsflow. Forestil dig et fotografi, der viser en almindelig kontorbordplade set gennem en omfattende, lagdelt visualisering af data og kode – symbolsk repræsenterende den digitale verden og dens skjulte sårbarheder – men uden mennesker. Over bordet svæver translucent lag af cifre, dokumenter og låste ikoner, der glider og samles som et netværk af tipper, næsten som en digital

Fejlens omfang og varighed

Hvad skete der egentlig? Fejlen, som Microsoft nu har døbt CW1226324, betød at Copilot Chat kunne læse og opsummere indholdet af e-mails i både “Sendt” og “Kladder”-mapperne, selvom de var mærket med fortrolighedslabels. Det var ikke bare et enkeltstående tilfælde – fejlen har stået på siden januar 2026, og Microsoft begyndte først at rulle en løsning ud i februar. Det efterlader et hul på flere uger, hvor fortrolige oplysninger har været eksponeret for AI’en.

Hvilke data blev kompromitteret?

Det er stadig uklart, præcis hvor mange og hvilke organisationer der er blevet ramt. Microsoft har ikke ønsket at kommentere på omfanget. Men ifølge Office 365 for IT Pros blev alle e-mails i “Sendt” og “Kladder”-mapperne, der var mærket som fortrolige, potentielt eksponeret. Det kan være alt fra interne HR-sager, økonomiske rapporter, elevdata eller følsomme sagsakter. Vi har ikke set konkrete eksempler på danske kommuner eller regioner endnu, men det ville undre os, hvis ingen offentlige organisationer er blevet ramt – Copilot er allerede udbredt i mange kommunale og regionale it-miljøer.

Microsofts reaktion og kommunikation

Microsofts håndtering har været… tja, lidt blandet. Fejlen blev første gang rapporteret af kunder 21. januar, men det tog flere uger før Microsoft anerkendte problemet og begyndte at rulle en løsning ud. Deres kommunikation har været sparsom – ingen kommentar til hvor mange kunder, der var berørt, og kun tekniske opdateringer i serviceportalen. Det overrasker mig faktisk, hvor lidt åbenhed der har været. Vi har set det før: Når det brænder på, bliver kommunikationen hurtigt meget kontrolleret.

Forestil dig et dokumentarisk, realistisk billede taget i en moderne data- og AI-operationscentral, hvor flere skærme fylder rummet med komplekse, abstrakte visualiseringer af datastrømme, kodelinjer og netværk. I midten er en stor, transparent serverrack, der symboliserer de immense datamængder, der flyder gennem et avanceret digitalt økosystem. Billedet mangler menneskelige figurer, men viser i stedet tætte, fokuserede observationer af den teknologiske infrastruktur, hvor kraftfulde, skiftende lys møder den mørke baggrund – som et visuelt kort over den usynlige, men vitale måde datasystemer kommunikerer og kan fejle. Det skaber en visuel fortælling om de komplicerede og sylespidse lag af datasikkerhed, hvor fejl opstår, og hvor risikoen for dataeksponering er konstant til stede.

Risici for offentlige organisationer

For kommuner, regioner og skoler er det her ikke bare en teknisk fejl – det er en potentiel katastrofe. Hvis fortrolige elevdata, personalesager eller borgerhenvendelser lækkes, kan det få både juridiske og økonomiske konsekvenser. GDPR stiller skrappe krav, og et brud kan betyde både bøder og tab af tillid. Vi har tidligere set, hvordan selv små datalæk kan føre til store ekstraomkostninger til oprydning, rådgivning og kommunikation. Og så er der den politiske dimension: Ingen vil stå på forsiden af lokalavisen med et AI-læk på samvittigheden.

Ekspertvurderinger og best practices

Hvordan kunne det ske? Ifølge Office 365 for IT Pros var det en kodefejl, der gjorde at DLP-politikken blev ignoreret for e-mails i “Sendt” og “Kladder”-mapperne. Eksperter peger på, at det er et wake-up call: Man kan ikke stole blindt på leverandørernes sikkerhed – især ikke når det gælder AI. Anbefalingen er klar: Brug DLP-politikker konsekvent, aktivér Restricted Content Discovery (RCD) i SharePoint, og følg op med jævnlige tests. Vi har selv oplevet, at mange organisationer tror, de har styr på deres labels og politikker, men virkeligheden er ofte mere rodet.

Tjekliste til datasikkerhed i AI-løsninger

  • Gennemgå alle DLP-politikker – især for AI-integrationer.
  • Test, om fortrolige labels faktisk blokerer AI-adgang (prøv selv at spørge Copilot om følsomme emner).
  • Aktivér RCD i SharePoint for at skjule følsomme sites for Copilot.
  • Følg op på leverandørens sikkerhedsopdateringer og kræv dokumentation for rettelser.
  • Lav en beredskabsplan for AI-relaterede databrud – hvem gør hvad, hvis uheldet er ude?
Forestil dig et dokumentaristisk billede af en moderne, steril datahalls atmosfære, hvor den centrale fokus er en række sorte, slanke AI-servere, der står i rækker og stråler svage, skiftende LED-lys i nuancer af blåt og grønt. Rundt om står tekniske specialister i beskyttelsesdragter, hvis bare hænder rækker ud mod en af serverne, mens de overvåger monitoring-skærme, der viser rigtige datatransmissionsstrømme – visuelle repræsentationer af følsomme data, der flyder gennem systemet. Uden menneskelige ansigter, men med tydelige elementer af aktivitet og forsigtighed, viser billedet en kompleks og kritisk infrastruktursituationen, hvor en fejl som Microsoft’s AI-læk kan true datasikkerheden. I baggrunden ses store vægpaneler med grafiske visualiseringer, der illustrerer datamængder og sikkerhedsprotokoller, hvilket symboliserer overvældende mængder af fortrolige oplysninger, der kan blive en del af 'den usynlige' kamp om datasuverænitet. Det subtilt oplyste rum kombinerer den teknologiske præcision med en føle

Hvad betyder det i praksis?

For IT-ansvarlige, digitaliseringskonsulenter, skoleledere og økonomichefer er der ingen vej udenom: Man skal være kritisk og grundig, når man implementerer AI i Office. Det er ikke nok at slå en politik til og håbe det bedste. Vi anbefaler, at man løbende tester, om Copilot faktisk respekterer de opsatte regler. Og vær opmærksom på, at fejl kan opstå – også hos de største leverandører. Vi har set flere eksempler på, at AI-funktioner opfører sig anderledes end forventet, især når der rulles nye features ud.

Kan man stole på AI-leverandører?

Det er fristende at tro, at store leverandører som Microsoft har styr på sikkerheden. Men sagen her viser, at selv de bedste kan fejle – og at fejl kan få store konsekvenser. Lessons learned? Man skal stille krav, følge op og aldrig tage sikkerhed for givet. Vi har selv været med til at lave leverandørgennemgange, hvor vi har opdaget overraskende huller – ofte fordi ingen havde stillet de rigtige spørgsmål. Det er ikke nok at læse brochuren.

Banner

Hvad nu?

Næste skridt for organisationer må være at gennemgå deres DLP-politikker, teste AI-funktionerne og kræve klar kommunikation fra leverandørerne. For Microsoft venter der formentlig et større arbejde med at genoprette tilliden. Og for os andre? Det er endnu en påmindelse om, at AI og datasikkerhed ikke er plug-and-play. Man opdager først forskellen, når man sidder med det i hænderne – eller når det går galt.

Kilder:

 

Målgruppens mening om artiklen

Anne Madsen, IT-sikkerhedsansvarlig i kommune:
Jeg giver artiklen 92. Den rammer lige ned i min hverdag og de bekymringer, jeg har omkring AI og datasikkerhed i det offentlige. Det er præcist beskrevet, hvad der gik galt, og artiklen er ikke bange for at kritisere Microsofts håndtering. Jeg savner dog lidt flere konkrete eksempler fra danske forhold, men ellers er det spot on.

Jesper Holm, digitaliseringskonsulent i region:
Jeg giver den 85. Artiklen er meget relevant, især fordi den sætter fokus på, at man ikke kan stole blindt på leverandørernes sikkerhed. Jeg kunne godt have ønsket mig mere om, hvordan man konkret kan teste og følge op, men det er en vigtig advarsel til os alle.

Maria Jensen, skoleleder:
Jeg giver den 78. Det er vigtigt at få sat fokus på, at AI kan give problemer med datasikkerhed, men artiklen bliver lidt teknisk for mig. Jeg forstår alvoren, men jeg kunne godt have brugt flere eksempler fra skoleverdenen og mere om, hvad vi konkret skal gøre på skolerne.

Henrik Sørensen, økonomichef i kommune:
Jeg giver den 88. Artiklen forklarer meget klart, hvorfor det her er et problem – både økonomisk og politisk. Jeg synes, det er stærkt, at der er en tjekliste og konkrete anbefalinger. Det gør det nemmere at tage handling på baggrund af artiklen.

Lone Friis, IT-supporter i kommune:
Jeg giver den 80. Det er en god artikel, der forklarer, hvorfor vi skal være ekstra opmærksomme på AI og datasikkerhed. Jeg kunne dog godt have brugt mere om, hvordan vi som IT-supportere konkret kan opdage og håndtere sådanne fejl i praksis.









*Denne artiklen er skrevet af en redaktion bestående af kunstig intelligenser, der har skrevet artiklen på baggrund af automatiseret research og oplysninger om de seneste teknologi nyheder fra internettet.

Billederne i artiklen er lavet af Gemini 3 Pro Nano Banana 2 Pro fra Google.








Book Din AI-Booster Samtale






– Ingen Tekniske Forudsætninger Påkrævet!

Er du nysgerrig på, hvad generativ AI er og hvordan AI kan løfte din virksomhed? Book en gratis og uforpligtende 30 minutters online samtale med vores AI-eksperter. Du behøver ingen teknisk viden – blot en computer eller telefon med internetforbindelse.

I samtalen kigger vi på dine muligheder og identificerer, hvor AI kan optimere jeres arbejdsprocesser og skabe værdi. Det er helt uden bindinger, og vi tilpasser rådgivningen til lige præcis jeres behov.

Fordele ved samtalen:

  • Samtalen handler om dig og dine behov
  • Indblik i AIs potentiale for din virksomhed
  • Konkrete idéer til effektivisering af dine processer
  • Personlig rådgivning uden teknisk jargon

Det handler om at skabe værdi for dig





    Gør brugeroplevelsen bedre.
    Hvilket firma arbejder du for?