Skip to content

GitHub Copilot Business

Sist vurdert: 18.2.2026
Verktøyansvarlig: Sondre Engebråten
Verktøyansvarlig (epost): sondre.engebraten@origo.oslo.kommune.no
Kostnad: 19 USD per "granted seat" per måned. Inkluderer bl.a. premium request‑kvote (300 per bruker per måned) og mulighet for kjøp av flere premium requests (0,04 USD per request). (GitHub Docs)

Status

Godkjent

Beskrivelse

GitHub Copilot Business er GitHubs Copilot‑plan for organisasjoner/bedrifter, og gir AI‑assistert koding i IDE-er og på GitHub‑nettstedet med sentral administrasjon, policy‑kontroll og (for enterprise‑kontekst) støtte for sikkerhetskrav som policies og audit logs. (GitHub Docs)

Planen omfatter typisk funksjoner som Copilot Chat (IDE/GitHub), Copilot CLI, code review og Copilot coding agent, samt tilgang til flere underliggende modeller avhengig av plan/policy. (GitHub Docs)

Leverandør

Leverandør

Navn: GitHub (GitHub, Inc.)
Nettside: GitHub Copilot (produktsider og dokumentasjon) (GitHub Docs)
Hovedkontor: USA (San Francisco, CA) (GitHub Docs)

Hvor er leverandøren basert?

Datasenterlokasjoner

GitHub oppgir en underleverandørliste (subprocessors) for enterprise‑kunder der flere leverandører kan behandle kundedata for bl.a. "AI Inference and AI Services". Eksempler på oppgitt "Location of Processing" inkluderer:

  • USA (f.eks. OpenAI, xAI, AWS, Microsoft/Azure m.fl.) (GitHub Docs)
  • USA, Island, Tyskland (Fireworks AI) (GitHub Docs)
  • USA, Belgia, Singapore (Google Cloud Platform) (GitHub Docs)

I tillegg beskriver GitHub at Copilot Chat kan bruke modeller hostet av ulike leverandører (OpenAI, Google/GCP, xAI m.fl.), og at prompts/metadata sendes til den aktuelle hosten ved bruk av disse modellene. (GitHub Docs)

Vurdering

Land er godkjent forutsatt at Gemini CLI slås av, siden Google Cloud Platform kan ha "Location of Processing" i Singapore, som ikke er i listen over godkjente land. (GitHub Docs)

Databehandlingsgarantier

Databehandlingsgarantier

Dokumentasjon:

  • GitHub Docs: "Plans for GitHub Copilot" (planinnhold, pris, premium requests) (GitHub Docs)
  • GitHub Docs: "GitHub Subprocessors" (hvem som kan behandle kundedata, behandlingslokasjoner) (GitHub Docs)
  • GitHub Docs: "Hosting of models for GitHub Copilot Chat" (modellhosting, data‑/treningsforpliktelser hos leverandører) (GitHub Docs)
  • Microsoft Product Terms: "GitHub Copilot Data" (hvordan prompts håndteres, sletting/lagring) (Microsoft)

Privacy policy: GitHub General Privacy Statement (GitHub Docs)

Deling av data

Data sendes til underleverandører for AI‑inferens (f.eks. OpenAI, xAI, Google Cloud Platform, Fireworks AI m.fl.) som en del av tjenesteleveransen. (GitHub Docs) I henhold til GitHubs dokumentasjon er dette regulert gjennom leverandøravtaler/forpliktelser slik at innhold ikke brukes til modelltrening (se "Trening av modeller"). Vi fikk dette bekreftet gjennom korrespondanse med vår kontaktperson hos Github.(GitHub Docs)

Lagring av data

Microsofts product terms beskriver at prompts (unntatt angitte tilfeller) kun overføres for å generere forslag i sanntid og slettes når forslagene er generert, og at prompts ikke lagres "at rest" uten tillatelse. (Microsoft) Samtidig finnes eksplisitte unntak der prompts kan beholdes (for eksempel "Copilot CLI and other tools outside of the code editor" og enkelte konfigurasjoner/utvidelser), og GitHub beskriver også bruk av "prompt caching" for å redusere latency. (Microsoft)

Trening av modeller

GitHub oppgir at de har leverandøravtaler/forpliktelser for hostede modeller der data ikke brukes til trening. Eksempler i GitHub‑dokumentasjon:

  • For Google‑hostede Gemini‑modeller: "Gemini doesn't use your prompts, or its responses, as data to train its models." (GitHub Docs)
  • For xAI‑hostede modeller: null‑retensjon/ikke logging og "Used for model training" står eksplisitt under "Will not be". (GitHub Docs)

I tillegg sier Microsoft Product Terms at prompts ikke brukes til andre formål enn å levere forslag (med angitte unntak), som støtter at dette ikke brukes til trening. (Microsoft)

Datakilder

Datakilder

Rammeverket for vurdering av KI verktøy har lagt til grunn følgende datakilder som inneholder bedriftsdata:

  1. Github
  2. AWS
  3. Datadog

Persondata:

  1. Ansatte E-post
  2. Ansatte brukernavn

Verktøyet kan også bruke offentlig tilgjenglig informasjon fra Internett. Når du bruker data fra usikre kilder er det en risiko for at dataene kan inneholde innhold som får modellen til å oppføre seg på uønskede måter. Du skal være oppmerksom på dette og vurdere risikoen før du bruker slike data med agenter som har bred tilgang.

Dersom verktøyet skal ha tilgang til andre datakilder eller persondata må du kontakte din jurist.

Vurdering

Ingen andre datakilder

Risikovurdering

Risikovurdering

Rammeverket for vurdering av KI verktøy har lagt til grunn følgende risikoer:

  1. Data på avveie
  2. KI agenten utfører uønskede handlinger

Vi har tatt utgangspunkt i at verktøyet ikke har tilgang til andre datakilder enn de som er listet opp i forrige seksjon. Vi har lagt til grunn at avtaleverket ikke tillater leverandør å bruke data til annet enn kun å levere tjenesten (ingen trening, lagring eller deling).

Det er gjort en vurdering av at verktøyet kan forårsake tap av data på utvikler-pc, tap av data i Github eller tap av data i AWS. For å unngå dette må bruker av verktøyet implementere tilstrekkelig tiltak til at vi kan ha tillit til at verktøyet ikke forårsaker skade. Det er opp til deg som bruker verktøyet å forsikre deg om at nødvendige sikkerhetstiltak er på plass. Ved utprøving av et nytt verktøy anbefales det å starte smått og bygge tillitt til verktøyet over tid.

Vi har valgt å ikke stille konkrete krav til at verktøyet skal ha begrensede tilganger innenfor de rammene som er gitt i forhold til datakilder og valg av verktøy. Dette er fordi verdien av verktøyet blir mindre dersom det ikke har tilstrekkelig tilganger og vi velger derfor å la det være opp til bruker av verktøyet å vurdere hva som er et fornuftig tilgangsnivå. Vi anbefaler at dersom man skal bruke fullstendig autonome moduser så bør dette gjøres i en kontrollert kontekst.

Er dette dekkende for verktøyet du vurderer?

Vurdering

Ja

Brukeransvar

Brukeransvar

Når du tar i bruk verktøyet går du god for følgende:

  • Du som tar i bruk verktøyet er ansvarlig for handlingene som utføres av verktøyet.
  • Du må være klar over at KI-verktøy kan gjøre feil og at du må følge med på hva som skjer.
  • Du må også være klar over at verktøyet kan utføre handlinger som du ikke ønsker.
  • Dersom noe skulle gå galt, følg avviksrutinen til Oslo Origo.

Bekreftelse

Ja, jeg forstår og godtar brukeransvaret