Privacyrisico's Microsoft 365 Copilot naar oranje

Terughoudende inzet en randvoorwaarden 

De afgelopen maanden hebben SURF en SLM (Strategisch Leveranciers Management) van de Rijksoverheid intensieve gesprekken gevoerd met Microsoft om de risico's aan te pakken. Door de privacyverbeteringen in Microsoft 365 Copilot, waar alle gebruikers profijt van hebben, raadt SURF de inzet ervan nu niet meer volledig af. Maar gezien de nog aanwezige risico's raden we onderwijs- en onderzoeksinstellingen aan terughoudend om te gaan met de inzet van Copilot en weloverwogen per soort gebruik de risico's af te wegen. Daarbij adviseren we in ieder geval duidelijke afspraken te maken binnen de instelling over de inzet van AI en een AI-gebruiksbeleid te hanteren. 

Conclusies risicobeoordeling 

In december 2024 publiceerde SURF de eerste DPIA op Microsoft 365 Copilot, waaruit vier hoge risico’s naar voren kwamen. Van de vier eerder gevonden hoge risico's blijven er twee over die nu als ‘medium’ of ‘oranje’ zijn beoordeeld. Deze twee resterende risico’s hebben betrekking op inaccurate (persoons)gegevens en de bewaartermijn van de diagnostische (persoons)gegevens over het gebruik van de dienst.  SURF houdt een vinger aan de pols bij de gedane toezeggingen van Microsoft om deze medium risico's aan te pakken en maakt over 6 maanden een nieuwe afweging. 

Regie op inzet kunstmatige intelligentie 

Als coöperatie bewaakt SURF dat de sector regie houdt over de inzet van AI en dat dit verantwoord gebeurt.  Met DPIA’s als deze en andere trajecten informeren we onze leden over de kansen en risico’s van AI.  SURF houdt hierbij rekening met de balans tussen verschillende aanbieders en met de actuele geopolitieke situatie, om kwetsbaarheid als gevolg van afhankelijkheden binnen de bedrijfsvoering te voorkomen. We hanteren hierbij de Cloud Sourcing Strategie als uitgangspunt.