Privacyrisico's Microsoft 365 Copilot naar oranje
SURF adviseert onderwijs- en onderzoeksinstellingen terughoudend om te gaan met de inzet van Microsoft 365 Copilot. Dat is de conclusie van een nieuwe DPIA (Data Protection Impact Assessment) op Microsoft 365 Copilot. Ondanks dat er verbeteringen zijn doorgevoerd in de AI-toepassing, zijn niet alle risico's overtuigend geadresseerd.
Terughoudende inzet en randvoorwaarden
De afgelopen maanden hebben SURF en SLM (Strategisch Leveranciers Management) van de Rijksoverheid intensieve gesprekken gevoerd met Microsoft om de risico's aan te pakken. Door de privacy verbeteringen in Microsoft 365 Copilot, waar alle gebruikers profijt van hebben, raadt SURF de inzet ervan nu niet meer volledig af. Maar gezien de nog aanwezige risico's raden onderwijs- en onderzoeksinstellingen aan terughoudend om te gaan met de inzet van Copilot en weloverwogen per soort gebruik de risico's af te wegen. Daarbij adviseren we in ieder geval duidelijke afspraken te maken binnen de instelling over de inzet van AI en een AI-gebruiksbeleid te hanteren.
Conclusies en risicobeoordeling
In december 2024 publiceerde SURF de eerste DPIA op Microsoft 365 Copilot, waaruit vier hoge risico’s naar voren kwamen. Van de vier eerder gevonden hoge risico's blijven er twee over die nu als ‘medium’ of ‘oranje’ zijn beoordeeld. Deze twee resterende risico’s hebben betrekking op inaccurate (persoons)gegevens en de bewaartermijn van de diagnostische (persoons)gegevens over het gebruik van de dienst. SURF houdt vinger aan de pols bij de gedane toezeggingen van Microsoft om deze medium risico's aan te pakken en maakt over 6 maanden een nieuwe afweging.
Regie op inzet kunstmatige intelligentie
Als coöperatie bewaakt SURF dat de sector regie houdt over de inzet van AI en dat dit verantwoord gebeurt. Met DPIA’s als deze en andere trajecten informeren we onze leden over de kansen en risico’s van AI. SURF houdt hierbij rekening met de balans tussen verschillende aanbieders en met de actuele geopolitieke situatie, om kwetsbaarheid als gevolg van afhankelijkheden binnen de bedrijfsvoering te voorkomen. SURF hanteert hierbij de Cloud Sourcing Strategie als uitgangspunt.
Volledig rapport openbaar beschikbaar
De volledige bevindingen van het onderzoek zijn te vinden in de Data Protection Impact Assessment (DPIA).
SURF lid en behoefte aan meer informatie?
Inschrijven Webinar (SURF leden only):Registratie webinar copilot sept 2025
Emailadres SURF Vendor Compliance:vendorcompliance@surf.nl
Website SURF Vendor Compliance: https://vendorcompliance.surf.nl/microsoft/
SURF is extra alert op verwerkingen van leveranciers en bijbehorende sub-leveranciers die gevestigd zijn in de VS. Voor meer informatie verwijst SURF naar het eerder opgestelde algemene informatiedocument over het gebruik van Amerikaanse leveranciers.
