IBD waarschuwt gemeenten voor risico’s Microsoft Copilot

De Informatiebeveiligingsdienst (IBD) heeft een notitie uitgebracht waarin gemeenten worden gewezen op de risico’s van Microsoft Copilot. Het AI-hulpmiddel, dat binnen Microsoft 365 draait, biedt handige ondersteuning, maar brengt volgens een Data Protection Impact Assessment (DPIA) serieuze privacyrisico’s met zich mee. De IBD adviseert daarom om terughoudend te zijn met het gebruik ervan voor persoonsgegevens totdat Microsoft aanvullende maatregelen neemt.

Uit de DPIA, uitgevoerd in opdracht van SLM Rijk, blijkt dat het onduidelijk is in hoeverre de gegevensverwerking binnen Microsoft Copilot voldoet aan de Algemene Verordening Gegevensbescherming (AVG). Met name de koppeling met Microsoft Graph, die toegang biedt tot bedrijfsapplicaties zoals Outlook, Teams en SharePoint, kan leiden tot ongewenste dataverwerking. Zo blijkt volgens de IBD dat Copilot mogelijk documenten en metadata verwerkt zonder dat hier expliciete controle over is.

Prompts en gegenereerde antwoorden

Daarnaast bewaart Microsoft interacties met Copilot, zoals prompts en gegenereerde antwoorden, maar is het onduidelijk hoelang en met welk doel deze data wordt opgeslagen. Dit gebrek aan transparantie bemoeilijkt voor gemeenten de verplichting om medewerkers correct te informeren over het gebruik van hun gegevens.

De DPIA identificeert meerdere grote risico’s. Zo kunnen gebruikers niet eenvoudig achterhalen welke gegevens Microsoft verwerkt, en bestaat het risico dat Copilot onjuiste of incomplete gegevens genereert. Het gebrek aan transparantie over welke persoonsgegevens worden verzameld, in combinatie met onduidelijke bewaartermijnen, maakt het voor gemeenten moeilijk om te voldoen aan hun wettelijke verplichtingen. De IBD adviseert gemeenten Copilot niet te gebruiken voor het verwerken van persoonsgegevens totdat Microsoft maatregelen heeft getroffen. Daarnaast wordt gemeenten geadviseerd om AI-geletterdheid onder medewerkers te stimuleren en strikte beleidsrichtlijnen op te stellen voor het gebruik van generatieve AI-tools.

Dataverzameling beperken

Voor gemeenten die Microsoft Copilot toch willen inzetten, is het belangrijk om de toegang en dataverzameling zo veel mogelijk te beperken. Copilot zou niet moeten worden gebruikt voor bijzondere persoonsgegevens, en beheerdersinstellingen moeten worden aangepast om onnodige risico’s te minimaliseren. Medewerkers dienen zich bewust te zijn van de beperkingen en mogelijke risico’s van generatieve AI, en een helder AI-beleid is essentieel om het gebruik van deze technologie binnen de organisatie te reguleren.

De IBD benadrukt dat het gebruik van Copilot zonder aanvullende maatregelen risico’s met zich meebrengt. Gemeenten wordt aangeraden om in afwachting van verdere stappen van Microsoft een terughoudende houding aan te nemen bij de inzet van deze technologie.