Inzet Copilot levert privacyrisico's op
De rijksoverheid overlegt met Microsoft over het verkleinen van de privacyrisico's die kleven aan het gebruik van Microsoft 365 Copilot.
De rijksoverheid en Microsoft zijn het niet eens over de vraag in hoeverre de generatieve AI-tool Microsoft 365 Copilot te gebruiken is in overeenstemming met de AVG. Uit een privacyonderzoek blijkt dat er hoge privacyrisico’s kleven aan het gebruik van Copilot. Vanaf januari gaan ze in overleg over het verkleinen van de risico’s.
Gebrek aan transparantie
Strategisch Leveranciersmanagement Microsoft (SLM Rijk) dat namens de rijksoverheid afspraken maakt met Microsoft, gaat vanaf januari 2025 in gesprek met het bedrijf over de omgang met risico’s die kleven aan het gebruik van Microsoft 365 Copilot. Dat schrijft SLM in een memo bij het privacyonderzoek (Data Protection Impact Assessment of DPIA) die samen met externe privacy-experts van Privacy Company werd uitgevoerd.
Het gaat om hetzelfde DPIA dat SURF er deze week toe bracht om het gebruik van Copilot af te raden voor onderwijs en onderzoek. Uit het DPIA blijkt dat er vier hoge risico’s gepaard gaan met het gebruik van M365 Copilot. Die komen hoofdzakelijk voort uit een gebrek aan transparantie van Microsoft over verwerkingen van persoonsgegevens. ‘Op basis van de huidige bevindingen uit de DPIA is M365 Copilot nog niet compliant te gebruiken,’ concludeert ook SLM.
Overheidsorganisaties die de generatieve AI-tool inzetten in een zogeheten sandbox, een veilige experimenteeromgeving, kunnen daar volgens SLM wel gewoon mee doorgaan. Ook sommige gemeenten experimenteren met Copilot.
Op basis van de huidige bevindingen uit de DPIA is M365 Copilot nog niet compliant te gebruiken.
Verschil in opvatting
Uit de memo: ‘SLM heeft herhaaldelijk contact gehad met Microsoft en haar de gelegenheid gegeven om maatregelen voor te stellen die deze hoge risico’s mitigeren. Ook zijn er door SLM suggesties gedaan hoe Microsoft dit concreet zou kunnen invullen. Microsoft heeft nog geen concrete toezeggingen gedaan waardoor er momenteel geen effectieve maatregelen zijn voor het mitigeren van de hoge risico’s.’
Volgens Microsoft gaat het om een verschil in opvatting omdat SLM de DPIA wilde afronden. ‘We zijn continu in gesprek met SLM,’ verzekert een woordvoerder van Microsoft. ‘En dat blijven we ook doen.’
Microsoft is het niet eens met enkele tussentijdse conclusies, zoals dat het zou gaan om hoog risico. ‘We evalueren de tussentijdse bevindingen en zullen blijven samenwerken met de Nederlandse overheid om ervoor te zorgen dat het gebruik van Microsoft 365 Copilot ten goede komt aan Nederlandse burgers en in overeenstemming is met internationale regelgeving,’ stelt het bedrijf.
Zelf maatregelen nemen
Microsoft laat weten dat het er vertrouwen in heeft dat klanten in de EU/EER, waaronder Nederland, Copilot kunnen blijven benutten in overeenstemming met de AVG. ‘De privacy-audits uitgevoerd door de Nederlandse overheid tonen aan dat Microsoft al technische en organisatorische maatregelen toepast om persoonsgegevens te beschermen en te verwerken, en daarnaast contractuele verplichtingen en uitgebreide garanties biedt.
SLM benadrukt in de memo dat niet alleen Microsoft, maar ook overheidsorganisaties die Copilot willen inzetten maatregelen moeten nemen om aan de AVG te voldoen. De meest ingrijpende is het trainen van medewerkers, zodat ze de tool verantwoord gebruiken en alert zijn op foute output. Maar ook een goed ingericht identiteits- en toegangsbeheer (IAM) en zorgvuldige data governance zijn essentieel, aldus de memo.
Niet alleen Microsoft, maar ook overheidsorganisaties die Copilot willen inzetten, moeten maatregelen nemen om aan de AVG te voldoen.
FRAIA
Naast de DPIA heeft SLM een Fundamental Rights en Algorithms Impact Assessment (FRAIA) uitgevoerd op Copilot. Dat leidt tot de voorlopige conclusie dat dit beoordelingsmodel niet goed aansluit bij een general purpose AI systeem zoals M365 Copilot. Het onderzoek is daarom tijdelijk gestopt. De Europese AI Office en de nationale toezichthouder zullen helpen met het zoeken naar een geschiktere manier om te onderzoeken of Copilot voldoet aan fundamentele rechten.
Plaats als eerste een reactie
U moet ingelogd zijn om een reactie te kunnen plaatsen.