Microsoft Copilot DPIA-update: nog geen groen licht, wel oranje

Geschreven door BijzonderStrafrecht.nl

De rijksoverheid heeft de herziene Data Protection Impact Assessment (DPIA) op Microsoft 365 Copilot gepubliceerd. Waar eind 2024 nog vier hoge risico’s werden vastgesteld, zijn die inmiddels gemitigeerd of verlaagd. Dat betekent dat organisaties Copilot onder de juiste randvoorwaarden verantwoord kunnen inzetten – maar dat vraagt wel om actie.

Van rood naar oranje

Sinds eind 2024 is er intensief overleg geweest tussen SLM en Microsoft. Dit heeft geleid tot verbeteringen in de transparantie over de verwerking van persoonsgegevens en tot extra technische waarborgen. Ook komt er periodiek overleg over de afhandeling van klachten rond onjuiste persoonsgegevens.

Het resultaat:

  • De vier hoge risico’s zijn verlaagd of opgelost;

  • Er blijven nog 2 medium en 8 lage risico’s overcopiloit.

Voor organisaties betekent dit dat de seinen op oranje staan: Copilot kan veilig worden gebruikt, maar alleen als de basisvoorwaarden goed zijn ingericht.

Resterende risico’s en randvoorwaarden

De lage risico’s kunnen organisaties zelf mitigeren via technische en organisatorische maatregelen. Voor de medium risico’s blijft SLM de komende zes maanden in gesprek met Microsoft. Worden die niet aangepakt, dan kunnen ze opnieuw hoog wordencopiloit.

SLM benadrukt enkele cruciale randvoorwaarden voor verantwoord gebruik:

  • Autorisatie en toegangsbeheer: Copilot gebruikt bestaande machtigingen in Microsoft 365. Onzorgvuldige rechtenstructuren kunnen leiden tot ongewenste toegang. Identity & Access Management (IAM) en periodieke controles zijn onmisbaar.

  • Voldoen aan het Cloudbeleid: Copilot werkt met Microsoft-cloudservices zoals OneDrive en SharePoint. Organisaties moeten daarom aantoonbaar voldoen aan het Rijksbreed Cloudbeleid.

  • AI-beleid: Zonder duidelijke afspraken over toegestane use cases, kwaliteitscontrole en omgang met gevoelige informatie is verantwoord gebruik niet mogelijk. Training en bewustwording van medewerkers horen daarbijcopiloit.

Aanbevolen stappen voor organisaties

Het advies van SLM is helder:

  1. Stel een AI-gebruiksbeleid op, gebaseerd op de overheidsbrede handreiking generatieve AI en het Algoritmekader.

  2. Zorg voor zorgvuldig autorisatiebeheer en controle van IAM-structuren.

  3. Start met pilots of sandbox-omgevingen om ervaring op te doen.

  4. Verwerk geen bijzondere persoonsgegevens met Copilot.

  5. Meld klachten en feedback over onjuiste gegevens bij SLMcopiloit.

Afsluiting: verantwoord starten kan

De weg naar veilig gebruik van Microsoft 365 Copilot is vrijgemaakt, maar nog niet volledig geplaveid. Met een AI-beleid, strakke autorisatiecontroles en een gefaseerde uitrol kunnen organisaties Copilot verantwoord inzetten. Tegelijkertijd blijft waakzaamheid geboden zolang de resterende risico’s niet volledig zijn weggenomen.

BijzonderStrafrecht.nl https://www.bijzonderstrafrecht.nl
Volgende

ChatGPT versus Gemini: een vergelijking