Voor ICT in het belang van je school
AI
18 december 2024

Gebruik van Microsoft 365 Copilot vooralsnog afgeraden

De DPIA op Microsoft 365 Copilot is afgerond. Hieruit blijkt dat er privacyrisico’s verbonden zijn aan het gebruik van deze generatieve AI-tool. Daarom raden wij vanuit ons consortium (SURF, SLBdiensten en APS IT-diensten) het gebruik van Microsoft 365 Copilot vooralsnog af. We blijven met Microsoft in gesprek om de risico’s op te lossen.

Op deze pagina houden we je op de hoogte van de actuele ontwikkelingen. Let op: dit is momenteel ook alle informatie die onze Servicedesk beschikbaar heeft.

18 december 2024

Hieronder lees je de berichtgeving vanuit SURF.

In 2024 voerden wij als SURF samen met externe privacy-experts van Privacy Company een Data Protection Impact Assessment (DPIA) uit op Microsoft 365 Copilot. Hierbij is gekeken naar gebruik van medewerkers en volwassen studenten omdat Microsoft de betaalde educatie licentie vooralsnog niet beschikbaar stelt voor minderjarigen. Hieruit kwamen een aantal privacyrisico’s naar voren voor gebruikers (medewerkers en volwassen studenten).

Vastgestelde privacyrisico's 
De uitkomst van deze DPIA is dat er 4 hoge en 7 lage gegevensbeschermingsrisico's zijn met betrekking tot het gebruik van de onderzochte Microsoft 365 Copilot-diensten door werknemers en volwassen studenten.  

De risico’s hebben onder andere betrekking op het gebrek aan transparantie van Microsoft. Het is niet duidelijk welke persoonsgegevens Microsoft verzamelt en bewaart over het gebruik van Microsoft 365 Copilot. Verder zijn de gegevens die gebruikers ontvangen als zij een inzageverzoek doen onvolledig en onbegrijpelijk. Daarnaast is het aannemelijk dat Microsoft 365 Copilot onjuiste en onvolledige persoonsgegevens genereert, en merken gebruikers niet dat ze met onjuiste gegevens werken, omdat ze te veel vertrouwen op de generatieve AI-tool. 

De hoge gegevensbeschermingsrisico’s zijn als volgt (de volledige uitwerking vind je in de bijlage): 

  1. Belemmeringen bij het uitoefenen van inzagerechten door gebruikers. 
  2. Verlies aan controle en sociaal-economisch nadeel voor betrokkenen als Microsoft 365 Copilot onjuiste en/of incomplete persoonsgegevens over hen genereert. 
  3. Gebrek aan transparantie over de persoonsgegevens die Microsoft verwerkt over het gebruik van Microsoft 365 Copilot. 
  4. Een risico op heridentificatie van pseudonieme persoonsgegevens door de potentieel hele lange bewaartermijn van de Required Service Data

Lage gegevensbeschermingsrisico’s zijn laag als de instellingen zelf maatregelen kunnen nemen om de risico’s te verlagen.   

  • Onrechtmatige toegang tot persoonsgegevens door ingehuurd personeel van Microsoft dat in landen werkt zonder adequaat beschermingsniveau.
  • Individuele reputatieschade als Microsoft 365 Copilot onjuiste persoonsgegevens genereert.
  • Verlies aan controle over verdere verwerkingen voor eigen commerciële doelen van Microsoft (standaard toegang tot diensten waarvoor Microsoft de verantwoordelijke is).
  • Verlies van tijd en aandacht door ongevraagde mail.
  • Verlies aan controle door het aanhalen van onjuiste auteursnamen in bronvermeldingen door Microsoft 365 Copilot. 
  • Mogelijk misbruik door instellingen van de gegevens over het gebruik van Microsoft 365 Copilot in een personeelsvolgsysteem.
  • Verlies van controle als medewerkers toegang krijgen tot teveel persoonsgegevens op SharePoint en in OneDrive, waar ze op basis van hun rol geen toegang toe zouden mogen hebben.

Ondanks de pogingen van SURF om met Microsoft mitigerende maatregelen te treffen, kan SURF niet anders concluderen dan dat de vastgestelde hoge risico’s voorlopig onvoldoende worden weggenomen. We blijven met Microsoft in gesprek om deze risico’s op te lossen, maar raden op basis van de bestaande risico’s het gebruik vooralsnog af. 

Advies: gebruik Copilot vooralsnog niet
We blijven met Microsoft in gesprek om mitigerende maatregelen te treffen. Op dit moment kunnen we echter niet anders dan concluderen dat de vastgestelde hoge risico’s onvoldoende worden weggenomen. Daarom adviseren we onze leden om Microsoft 365 Copilot vooralsnog niet te gebruiken. We informeren onze leden zodra de situatie verandert.

Het advies geldt ook voor de gratis Copilot diensten, inclusief Copilot met Enterprise Data Protection. Zo noemt Microsoft het gebruik van haar gratis Copilot-diensten als mensen inloggen met hun Microsoft werk- of schoolaccount. Microsoft treedt dan op als verwerker voor de prompts en antwoorden, maar die bescherming geldt niet voor de ingebouwde toegang tot de commerciële zoekmachine Bing.

Volledig rapport openbaar beschikbaar 
De volledige bevindingen van het onderzoek zijn te vinden in de Data Protection Impact Assessment (DPIA). De vier hoge gegevensbeschermingsrisico's staan ook in deze bijlage.

Webinar van SURF op 14 januari 

Op dinsdag 14 januari van 10.30 tot 12.00 uur organiseert SURF een diepgaand webinar voor experts, om je mee te nemen in het proces en de bevindingen in de DPIA. Enige kennis over het onderwerp is hierbij dus vereist. Meld je uiterlijk 13 januari aan. 

Let op: je komt op een reservelijst, deze melding kun je negeren
Omdat je niet bent aangesloten bij SURF, moet je bij het inschrijven kiezen voor Inschrijven zonder account. Na de inschrijving krijg je een e-mail dat je op de reservelijst bent geplaatst. Maar maak je geen zorgen, dit bericht kun je negeren. Voorafgaand aan het webinar ontvang je van SURF het bericht dat je deel mag nemen en ontvang je de link naar het webinar.

Vragen of meer informatie?

Onze Servicedesk staat voor je klaar. We zijn elke werkdag bereikbaar tussen 8.30 en 17.00 uur. 030 2856870 info@apsitdiensten.nl

Ook interessant voor jou

Artikel

AI in het basisonderwijs
Artikel

Ervaar jij een hoge werkdruk omdat je vaak in tijdnood komt?
Artikel

Automatiseer processen: efficiënt werken in het onderwijs

Cookies

Wij maken gebruik van cookies (Functioneel, Analytisch, Marketing) die noodzakelijk zijn om de website zo goed mogelijk te laten functioneren. Door op alle cookies accepteren te klikken geef je aan hiermee akkoord te gaan. Bekijk onze privacy verklaring.