Privacyrisico's Microsoft 365 Copilot naar oranje

Terughoudende inzet en randvoorwaarden 

Door de verbeteringen in Microsoft 365 Copilot, waar alle gebruikers profijt van hebben, raden we vanuit ons consortium (SURF, SLBdiensten en APS IT-diensten) de inzet ervan niet meer volledig af. Wij raden onderwijs- en onderzoeksinstellingen echter aan om, gezien de nog aanwezige risico's, terughoudend om te gaan met de inzet van Copilot en weloverwogen per soort gebruik de risico's af te wegen. Daarbij adviseren wij in ieder geval duidelijke afspraken te maken binnen je instelling over de inzet van AI en een AI-gebruiksbeleid te hanteren.

Conclusies en risicobeoordeling 

In december 2024 publiceerde SURF de eerste DPIA op Microsoft 365 Copilot, waaruit vier hoge risico’s naar voren kwamen. Van de vier eerder gevonden hoge risico's blijven er twee over die nu als ‘medium’ of ‘oranje’ zijn beoordeeld. Deze twee resterende risico’s hebben betrekking op inaccurate (persoons)gegevens en de bewaartermijn van de diagnostische (persoons)gegevens over het gebruik van de dienst. SLBdiensten, SURF en APS IT-diensten houden vinger aan de pols bij de gedane toezeggingen van Microsoft om deze medium risico's aan te pakken en maken over 6 maanden een nieuwe afweging.

Volledig rapport openbaar beschikbaar

De volledige bevindingen van het onderzoek zijn te vinden in de Data Protection Impact Assessment (DPIA) die door SURF openbaar is gemaakt.

Meer informatie?

Op 25 september organiseert SURF een webinar rondom de DPIA op Microsoft 365 Copilot. Wij zullen hier binnenkort via de mail een uitnodiging voor sturen.