Waar ben je naar op zoek?

Meest gezocht:

Meest gezocht:

Verbeterde toegankelijkheid modus

SURF streeft naar een website die voor iedereen toegankelijk is. We werken aan een volledig toegankelijke modus.
Man knielt bij kluisje op de UvA
Nieuws

Update van Data Protection Impact Assessment (DPIA)

Privacyrisico’s Microsoft 365 Copilot blijven ‘oranje’ ondanks verbeteringen

SURF blijft onderwijs- en onderzoeksinstellingen aanraden voorzichtig te zijn bij het gebruik van Microsoft 365 Copilot. Hoewel Microsoft verbeteringen heeft aangebracht aan de AI-assistent sinds SURF de DPIA in december 2024 voor het eerst publiceerde (gevolgd door een bijgewerkte beoordeling in september 2025), zijn niet alle privacyrisico’s voldoende gemitigeerd.

Dit is de conclusie van de tweede update van de Data Protection Impact Assessment (DPIA) met betrekking tot Microsoft 365 Copilot, uitgevoerd in opdracht van SURF en opgesteld door Privacy Company. Nederlandse onderwijs- en onderzoeksinstellingen wordt daarom aangeraden voorzichtig te blijven bij het gebruik van Microsoft 365 Copilot, geschikte toepassingen vast te stellen en de risico’s in elk afzonderlijk geval zorgvuldig te beoordelen.

Blijf voorzichtig met het gebruik van Microsoft 365 Copilot

In december 2025 heeft Microsoft een herziene roadmap bekendgemaakt met daarin diverse wijzigingen in de functionaliteit van Microsoft 365 Copilot. Tijdens vervolgbesprekingen tussen SURF, Strategisch Leveranciersmanagement Microsoft, Google Cloud, AWS + EU CSP’s (SLM MGA) van de Nederlandse overheid en Microsoft in januari en februari 2026, werd geconcludeerd dat twee middelgrote risico’s nog onvoldoende zijn gemitigeerd. Deze oranje risico’s gaan over twee kwesties.

Ten eerste past Microsoft 365 Copilot automatisch een zogenaamd ‘Workplace Harms’-filter toe op zowel invoerprompts als gegenereerde uitvoer. Dit filter is bedoeld om te voorkomen dat de AI-assistent oordeelt over werknemers op basis van hun gedrag op de werkplek, hun houding of persoonlijke kenmerken. Microsoft maakt de culturele normen, drempels of contextuele criteria waarop de ingrepen van het filter zijn gebaseerd niet bekend, en organisaties kunnen het filter evenmin aanpassen of uitschakelen. Hoewel Microsoft 365 Copilot soms weigert te antwoorden en soms naar Workplace Harms verwijst, is er geen neutrale aanduiding die op filtering wijst, en is er geen consistente terminologie over de toepassing van RAI-filtering. Daardoor kunnen gebruikers niet vaststellen of de ingreep gepast of gerechtvaardigd was.

Ten tweede bewaart Microsoft bepaalde diagnostische en telemetriegegevens tot 18 maanden. Hoewel deze gegevens gepseudonimiseerd zijn, legt Microsoft niet voldoende uit waarom deze bewaartermijn noodzakelijk is of onder welke omstandigheden de gegevens eerder kunnen worden verwijderd. Dit vergroot het risico dat de gegevens nog steeds tot individuen kunnen worden herleid.

Conclusie: advies blijft ongewijzigd

Op 31 maart 2026 heeft Microsoft een definitief antwoord gegeven op deze twee kwesties. Dit heeft niet geleid tot een andere beoordeling: beide risico’s blijven geclassificeerd als oranje (gemiddeld). Het advies van SURF blijft daarom ongewijzigd: Nederlandse onderwijs- en onderzoeksinstellingen wordt aangeraden voorzichtig te blijven bij het gebruik van Microsoft 365 Copilot, geschikte use cases te bepalen en de risico’s voor elke use case zorgvuldig te beoordelen.

Een nieuw laag risico op het gebied van gegevensbescherming  

In maart 2026 introduceerde Microsoft een nieuw gegevensbeschermingsrisico door de invoering van ‘flex routing’ voor het dataverkeer van Microsoft 365 Copilot. Microsoft deelde mee dat het voor nieuwe tenants gegevensoverdracht buiten de EU-gegevensgrens mogelijk zou maken, terwijl bestaande klanten hun instellingen moesten controleren.  SURF heeft geverifieerd dat Microsoft de instelling (voor gegevensverwerking uitsluitend binnen de EU) voor bestaande klanten in het onderwijs niet heeft gewijzigd. Aangezien nieuwe Microsoft 365-klanten in het onderwijs deze gegevensoverdracht kunnen uitschakelen, wordt dit probleem toegevoegd als een nieuw, tiende, laag risico.

Voor een uitgebreider overzicht van de beoordeling, de risico’s en de risicobeperkende maatregelen verwijst SURF naar het DPIA-rapport.

Wat betekent dit voor instellingen?  

De DPIA voor Microsoft 365 Copilot is afgerond na de definitieve verklaring van Microsoft. Aangezien Microsoft geen verdere stappen zal ondernemen, zijn er geen plannen voor een vervolgbeoordeling.

Nederlandse onderwijs- en onderzoeksinstellingen blijven verantwoordelijk voor het veilige gebruik van onderwijs- en digitale applicaties; zij beslissen welke applicaties hun instelling gebruikt en onder welke voorwaarden. Als zij besluiten de twee oranje risico’s te accepteren, wordt hen sterk aangeraden een beleid voor verantwoord AI-gebruik vast te stellen.

Houd controle over AI  

Als coöperatie ondersteunt SURF de sector om de controle te behouden over de implementatie van AI en moedigt verantwoord gebruik aan. Door DPIA’s en het verstrekken van regelmatige updates, informeren we leden over de kansen en risico’s van AI. In onze Cloud Sourcing Strategy houden we rekening met de noodzaak van verschillende aanbieders, de dynamische geopolitieke relatie met de VS en de noodzaak om kwetsbaarheden als gevolg van vendor lock-in te vermijden. 

Volledig rapport beschikbaar 

Download de DPIA

SURF besteedt bijzondere aandacht aan gegevensverwerking door leveranciers en hun onderaannemers in de VS. Zie voor meer informatie het eerder opgestelde document met algemene informatie over het gebruik van in de VS gevestigde leveranciers.

Gerelateerde onderwerpen: