Vibe coding i Power Automate: Når AI-flows bryder GDPR
Jeres bogholder har lige bygget et Power Automate-flow på 3 minutter. Hun skrev en sætning til Copilot, og nu kopierer flowet automatisk HR-data fra SharePoint til en delt mappe, som hele kontoret kan se. Ingen har godkendt det. Ingen har tjekket, om data forlader EU. Denne artikel giver jer en konkret tjekliste til at høste produktivitetsgevinsten ved Power Automate Copilot GDPR-sikkert — uden at bremse medarbejderne.
Det vigtigste I tager med
- Vibe coding er citizen development på steroider: Medarbejdere bygger integrationer via naturligt sprog. Kortlæg hvem der har adgang til Copilot i Power Automate i dag.
- AI-genererede flows arver brugerens rettigheder: Har medarbejderen adgang til hele SharePoint, har flowet det også. Segmentér adgange nu.
- Data kan krydse EU-grænsen: Visse Copilot-funktioner sender forespørgsler til US-regioner, medmindre I aktivt slår cross-region processing fra.
- Microsoft Purview DLP virker på AI-flows: I kan blokere flows fra at flytte data mellem følsomme systemer — uanset om et menneske eller AI har bygget dem.
- Ansvaret er jeres, ikke Microsofts: I er dataansvarlige. Et AI-genereret flow ændrer ikke på det.
Hvorfor vibe coding er den nye Shadow IT
Shadow IT plejede at handle om medarbejdere, der installerede Dropbox bag ryggen på IT. Vibe coding flytter problemet et niveau op: nu bygger medarbejdere hele integrationer mellem virksomhedens systemer på få minutter.
Ifølge Legit Security (2025) forventes vibe coding-værktøjer at stå bag 40 % af al ny enterprise-logik i 2028. Og Wiz (2025) dokumenterer, at mellem 25 % og 70 % af AI-genereret logik indeholder sårbarheder eller over-tilladelser.
For en dansk SMV med 30 medarbejdere betyder det: én medarbejder med en god idé og adgang til Copilot kan på 5 minutter bygge et flow, der forbinder jeres HR-system med en ekstern mail-tjeneste. Uden godkendelse. Uden log.
Før: Medarbejderen beder IT om en integration. IT vurderer GDPR-risiko, bygger flowet, dokumenterer det.
Efter (uden governance): Medarbejderen prompter Copilot, flowet kører inden frokost, og ingen ved det eksisterer — før Datatilsynet spørger.
Sender jeres Copilot-flows data ud af EU?
Microsoft lagrer jeres data i EU-datacentre. Men lagring og behandling er to forskellige ting.
Ifølge Microsoft Trust Center kan visse Copilot-forespørgsler (inferencing) blive sendt til USA — enten ved spidsbelastning eller fordi specifikke AI-funktioner endnu ikke er tilgængelige i EU-regionen. Det sker, hvis jeres admin ikke aktivt har slået “Cross-Region Processing” fra i Power Platform Admin Center.
Forward Forever (2025) bekræfter, at flere nye generative AI-funktioner i Power Platform i første omgang kun er tilgængelige i US-regioner og kræver Dataverse.
Tjek det i dag: Gå til Power Platform Admin Center → Environments → Settings → Generative AI features. Hvis “Allow cross-region data movement” er slået til, kan jeres prompts og data krydse Atlanterhavet.
Hvem får GDPR-bøden, når AI bygger et ulovligt flow?
Kort svar: jeres virksomhed.
Microsoft er databehandler. I er dataansvarlige. Det fremgår af Microsofts DPA og Copilot-dokumentation: prompts bruges ikke til at træne Microsofts modeller, men ansvaret for hvad der automatiseres og hvilke data der flyttes, ligger hos jer.
Når en medarbejder vibe coder et flow, der kopierer CPR-numre til en åben Teams-kanal, er det ikke Copilots skyld. Det er en organisatorisk fejl: manglende DLP-politikker, for brede adgangsrettigheder og fravær af godkendelsesprocesser.
Før: Kun IT-afdelingen kan bygge integrationer. Risikoen er centraliseret og overskuelig.
Efter (med governance): Alle kan vibe code, men Purview DLP blokerer automatisk flows, der forsøger at flytte følsomme data til uautoriserede destinationer. Risikoen er distribueret, men styret.
Er I usikre på, om jeres Power Platform-miljø sender data ud af EU? Vi gennemgår jeres tenant-indstillinger, DLP-politikker og Copilot-konfiguration på et uforpligtende 30-minutters governance-tjek. Book mødet her.
Tjekliste: Sikr jeres Power Automate-miljø mod GDPR-brud
Brug denne tjekliste, før I lader medarbejdere bruge Copilot i Power Automate. Hvert punkt har et konkret kriterium, I kan verificere.
| # | Handling | Hvad I kigger efter | Hvor |
|---|---|---|---|
| 1 | Slå cross-region processing fra | “Allow cross-region data movement” skal stå på Off | Power Platform Admin Center → Environments → Settings |
| 2 | Opsæt DLP-politikker i Purview | Bloker connectorer mellem følsomme kilder (HR-SharePoint, Dynamics) og eksterne tjenester (Gmail, Dropbox) | Microsoft Purview → DLP → Power Platform policies |
| 3 | Begræns Copilot-adgang | Kun godkendte brugere/grupper har adgang til Copilot i Power Automate | Power Platform Admin Center → Tenant settings |
| 4 | Segmentér SharePoint-rettigheder | Medarbejdere har kun adgang til de sites, de har brug for — ikke hele tenanten | SharePoint Admin Center → Site permissions |
| 5 | Aktivér audit-logging på flows | Alle nye flows (inkl. AI-genererede) logges med oprettelsestidspunkt, ejer og connectorer | Microsoft 365 Compliance Center → Audit |
| 6 | Indfør godkendelsesproces | Flows der tilgår følsomme data kræver godkendelse af IT eller compliance-ansvarlig, før de aktiveres | Power Automate → Environment-level policies |
| 7 | Dokumentér i behandlingsfortegnelsen | AI-genererede flows skal registreres som databehandlingsaktiviteter under GDPR Art. 30 | Jeres GDPR-dokumentation / IT-driftspartner |
Sådan bruger I Microsoft Purview DLP til at styre AI-flows
Microsoft Purview DLP er jeres vigtigste værktøj her. Det fungerer som et filter mellem connectorer i Power Automate.
Konkret kan I oprette politikker, der deler connectorer i tre grupper:
- Business: Interne systemer (SharePoint, Dynamics 365, Dataverse).
- Non-business: Eksterne tjenester (Gmail, Slack, Dropbox).
- Blocked: Connectorer der slet ikke må bruges.
Et flow kan kun forbinde connectorer inden for samme gruppe. Hvis en medarbejder vibe coder et flow, der forsøger at sende data fra jeres HR-SharePoint (Business) til Gmail (Non-business), blokerer Purview det automatisk. Det gælder uanset om flowet er bygget manuelt eller via Copilot.
ENISA’s AI Threat Landscape 2025/2026 fremhæver netop “oversharing via AI-genererede integrationer” som en af de største risici for virksomheder. DLP-politikker er det direkte modtræk.
FAQ: Power Automate Copilot og GDPR
Bruger Microsoft mine prompts til at træne AI-modeller?
Nej. Ifølge Microsofts officielle dokumentation bruges hverken prompts eller genererede flows til at træne deres foundation models. Jeres data forbliver inden for jeres tenant-grænse.
Kan Power Automate Copilot sende data ud af EU?
Ja, hvis “Cross-Region Processing” er aktiveret i Power Platform Admin Center. Slå det fra, og verificér at jeres environment er sat til en EU-region.
Hvem er GDPR-ansvarlig, når et AI-flow lækker persondata?
Jeres virksomhed er dataansvarlig. Microsoft er databehandler. At et flow er AI-genereret ændrer ikke ansvarsfordelingen. Dokumentér og godkend flows, der behandler persondata.
Kræver Copilot i Power Automate en særlig licens?
Copilot-funktionerne i Power Automate kræver typisk en Power Automate Premium-licens eller en Microsoft 365-plan med Power Platform-rettigheder. Databehandleraftalen (DPA) ændres ikke, men I skal sikre, at jeres DPA dækker AI-funktioner.
Virker DLP-politikker også på flows bygget med Copilot?
Ja. Purview DLP evaluerer connectorer på flow-niveau, uanset om flowet er bygget manuelt, importeret eller genereret af Copilot. Politikkerne gælder ens.
Skal AI-genererede flows registreres i vores behandlingsfortegnelse?
Ja. GDPR Art. 30 kræver, at alle behandlingsaktiviteter dokumenteres. Et AI-genereret flow, der behandler persondata, er en behandlingsaktivitet. Log det med formål, datakategorier og modtagere.
Hvordan opdager vi uautoriserede AI-flows i vores tenant?
Aktivér audit-logging i Microsoft 365 Compliance Center. Filtrér på “Power Automate” og “Flow created”. Gennemgå nye flows ugentligt, og håndhæv at flows uden godkendelse deaktiveres.
Tre skridt I gennemfører denne uge
- Auditér jeres nuværende Power Automate-miljø: Log ind i Power Platform Admin Center, tjek om cross-region processing er slået fra, og kortlæg alle eksisterende flows med deres connectorer og ejere.
- Opsæt DLP-politikker i Microsoft Purview: Opdel jeres connectorer i Business, Non-business og Blocked. Test politikkerne ved at oprette et dummy-flow, der forsøger at krydse grupperne.
- Indfør en godkendelsesproces for nye flows: Definér at flows, der tilgår følsomme data (HR, økonomi, kundedata), kræver skriftlig godkendelse fra compliance-ansvarlig eller jeres IT-driftspartner, før de aktiveres i produktion.
Vibe coding i Power Automate giver jeres medarbejdere en produktivitetsgevinst, der er svær at ignorere. Men uden DLP-politikker, adgangsstyring og audit-logs risikerer I, at et velment AI-flow bliver jeres næste GDPR-sag. Sæt rammerne op først — så kan I trygt lade medarbejderne bygge.
