En fejl, der ikke måtte ske
Microsoft har nu bekræftet, at en alvorlig fejl i Office 365 gjorde det muligt for Copilot AI at læse og opsummere fortrolige e-mails – selv når der var sat sikkerhedsforanstaltninger op. Det lyder næsten som en dårlig joke, men det er desværre virkelighed. Fejlen betød, at Copilot Chat kunne tilgå e-mails mærket som fortrolige, på trods af at data loss prevention-politikker (DLP) skulle forhindre netop det. Vi har set mange sikkerhedsbrister gennem årene, men det her rammer lige ned i den offentlige sektors største frygt: At AI-løsninger utilsigtet får adgang til data, de aldrig skulle have set.

Fejlens omfang og varighed
Hvad skete der egentlig? Fejlen, som Microsoft nu har døbt CW1226324, betød at Copilot Chat kunne læse og opsummere indholdet af e-mails i både “Sendt” og “Kladder”-mapperne, selvom de var mærket med fortrolighedslabels. Det var ikke bare et enkeltstående tilfælde – fejlen har stået på siden januar 2026, og Microsoft begyndte først at rulle en løsning ud i februar. Det efterlader et hul på flere uger, hvor fortrolige oplysninger har været eksponeret for AI’en.
Hvilke data blev kompromitteret?
Det er stadig uklart, præcis hvor mange og hvilke organisationer der er blevet ramt. Microsoft har ikke ønsket at kommentere på omfanget. Men ifølge Office 365 for IT Pros blev alle e-mails i “Sendt” og “Kladder”-mapperne, der var mærket som fortrolige, potentielt eksponeret. Det kan være alt fra interne HR-sager, økonomiske rapporter, elevdata eller følsomme sagsakter. Vi har ikke set konkrete eksempler på danske kommuner eller regioner endnu, men det ville undre os, hvis ingen offentlige organisationer er blevet ramt – Copilot er allerede udbredt i mange kommunale og regionale it-miljøer.
Microsofts reaktion og kommunikation
Microsofts håndtering har været… tja, lidt blandet. Fejlen blev første gang rapporteret af kunder 21. januar, men det tog flere uger før Microsoft anerkendte problemet og begyndte at rulle en løsning ud. Deres kommunikation har været sparsom – ingen kommentar til hvor mange kunder, der var berørt, og kun tekniske opdateringer i serviceportalen. Det overrasker mig faktisk, hvor lidt åbenhed der har været. Vi har set det før: Når det brænder på, bliver kommunikationen hurtigt meget kontrolleret.

Risici for offentlige organisationer
For kommuner, regioner og skoler er det her ikke bare en teknisk fejl – det er en potentiel katastrofe. Hvis fortrolige elevdata, personalesager eller borgerhenvendelser lækkes, kan det få både juridiske og økonomiske konsekvenser. GDPR stiller skrappe krav, og et brud kan betyde både bøder og tab af tillid. Vi har tidligere set, hvordan selv små datalæk kan føre til store ekstraomkostninger til oprydning, rådgivning og kommunikation. Og så er der den politiske dimension: Ingen vil stå på forsiden af lokalavisen med et AI-læk på samvittigheden.
Ekspertvurderinger og best practices
Hvordan kunne det ske? Ifølge Office 365 for IT Pros var det en kodefejl, der gjorde at DLP-politikken blev ignoreret for e-mails i “Sendt” og “Kladder”-mapperne. Eksperter peger på, at det er et wake-up call: Man kan ikke stole blindt på leverandørernes sikkerhed – især ikke når det gælder AI. Anbefalingen er klar: Brug DLP-politikker konsekvent, aktivér Restricted Content Discovery (RCD) i SharePoint, og følg op med jævnlige tests. Vi har selv oplevet, at mange organisationer tror, de har styr på deres labels og politikker, men virkeligheden er ofte mere rodet.
Tjekliste til datasikkerhed i AI-løsninger
- Gennemgå alle DLP-politikker – især for AI-integrationer.
- Test, om fortrolige labels faktisk blokerer AI-adgang (prøv selv at spørge Copilot om følsomme emner).
- Aktivér RCD i SharePoint for at skjule følsomme sites for Copilot.
- Følg op på leverandørens sikkerhedsopdateringer og kræv dokumentation for rettelser.
- Lav en beredskabsplan for AI-relaterede databrud – hvem gør hvad, hvis uheldet er ude?

Hvad betyder det i praksis?
For IT-ansvarlige, digitaliseringskonsulenter, skoleledere og økonomichefer er der ingen vej udenom: Man skal være kritisk og grundig, når man implementerer AI i Office. Det er ikke nok at slå en politik til og håbe det bedste. Vi anbefaler, at man løbende tester, om Copilot faktisk respekterer de opsatte regler. Og vær opmærksom på, at fejl kan opstå – også hos de største leverandører. Vi har set flere eksempler på, at AI-funktioner opfører sig anderledes end forventet, især når der rulles nye features ud.
Kan man stole på AI-leverandører?
Det er fristende at tro, at store leverandører som Microsoft har styr på sikkerheden. Men sagen her viser, at selv de bedste kan fejle – og at fejl kan få store konsekvenser. Lessons learned? Man skal stille krav, følge op og aldrig tage sikkerhed for givet. Vi har selv været med til at lave leverandørgennemgange, hvor vi har opdaget overraskende huller – ofte fordi ingen havde stillet de rigtige spørgsmål. Det er ikke nok at læse brochuren.

Hvad nu?
Næste skridt for organisationer må være at gennemgå deres DLP-politikker, teste AI-funktionerne og kræve klar kommunikation fra leverandørerne. For Microsoft venter der formentlig et større arbejde med at genoprette tilliden. Og for os andre? Det er endnu en påmindelse om, at AI og datasikkerhed ikke er plug-and-play. Man opdager først forskellen, når man sidder med det i hænderne – eller når det går galt.
Kilder:
- https://techcrunch.com/2026/02/18/microsoft-says-office-bug-exposed-customers-confidential-emails-to-copilot-ai/
- https://office365itpros.com/2026/02/13/dlp-policy-for-copilot-bug/
Målgruppens mening om artiklen
Anne Madsen, IT-sikkerhedsansvarlig i kommune:
Jeg giver artiklen 92. Den rammer lige ned i min hverdag og de bekymringer, jeg har omkring AI og datasikkerhed i det offentlige. Det er præcist beskrevet, hvad der gik galt, og artiklen er ikke bange for at kritisere Microsofts håndtering. Jeg savner dog lidt flere konkrete eksempler fra danske forhold, men ellers er det spot on.
Jesper Holm, digitaliseringskonsulent i region:
Jeg giver den 85. Artiklen er meget relevant, især fordi den sætter fokus på, at man ikke kan stole blindt på leverandørernes sikkerhed. Jeg kunne godt have ønsket mig mere om, hvordan man konkret kan teste og følge op, men det er en vigtig advarsel til os alle.
Maria Jensen, skoleleder:
Jeg giver den 78. Det er vigtigt at få sat fokus på, at AI kan give problemer med datasikkerhed, men artiklen bliver lidt teknisk for mig. Jeg forstår alvoren, men jeg kunne godt have brugt flere eksempler fra skoleverdenen og mere om, hvad vi konkret skal gøre på skolerne.
Henrik Sørensen, økonomichef i kommune:
Jeg giver den 88. Artiklen forklarer meget klart, hvorfor det her er et problem – både økonomisk og politisk. Jeg synes, det er stærkt, at der er en tjekliste og konkrete anbefalinger. Det gør det nemmere at tage handling på baggrund af artiklen.
Lone Friis, IT-supporter i kommune:
Jeg giver den 80. Det er en god artikel, der forklarer, hvorfor vi skal være ekstra opmærksomme på AI og datasikkerhed. Jeg kunne dog godt have brugt mere om, hvordan vi som IT-supportere konkret kan opdage og håndtere sådanne fejl i praksis.
*Denne artiklen er skrevet af en redaktion bestående af kunstig intelligenser, der har skrevet artiklen på baggrund af automatiseret research og oplysninger om de seneste teknologi nyheder fra internettet.
Billederne i artiklen er lavet af Gemini 3 Pro Nano Banana 2 Pro fra Google.
Book Din AI-Booster Samtale
– Ingen Tekniske Forudsætninger Påkrævet!
Er du nysgerrig på, hvad generativ AI er og hvordan AI kan løfte din virksomhed? Book en gratis og uforpligtende 30 minutters online samtale med vores AI-eksperter. Du behøver ingen teknisk viden – blot en computer eller telefon med internetforbindelse.
I samtalen kigger vi på dine muligheder og identificerer, hvor AI kan optimere jeres arbejdsprocesser og skabe værdi. Det er helt uden bindinger, og vi tilpasser rådgivningen til lige præcis jeres behov.
Fordele ved samtalen:
- Samtalen handler om dig og dine behov
- Indblik i AIs potentiale for din virksomhed
- Konkrete idéer til effektivisering af dine processer
- Personlig rådgivning uden teknisk jargon
Det handler om at skabe værdi for dig