Strategisch Leveranciersmanagement Rijk (SLM) stelt dat de AI-assistent inmiddels verantwoord kan worden gebruikt, omdat Microsoft belangrijke wijzigingen in zijn dienstenpakket heeft doorgevoerd.
Die conclusie volgt uit een nieuwe Data Protection Impact Assessment (DPIA), die SLM samen met ict-coöperatie SURF opnieuw tegen het licht hield. Een eerdere versie van dit onderzoek uit december 2023 leidde nog tot stevige waarschuwingen over de risico’s van Copilot. Inmiddels spreekt SLM van “essentiële verbeteringen”. Met name rond de omgang met persoonsgegevens en de extra technische waarborgen die Microsoft heeft ingebouwd.
Verschillende accenten bij SLM en SURF
Opvallend is dat SLM en SURF, ondanks hun gezamenlijke onderzoek, niet volledig dezelfde boodschap afgeven. Waar SLM concludeert dat de eerder vastgestelde hoge risico’s zijn verdwenen of aanzienlijk verlaagd, blijft SURF terughoudend. Volgens de coöperatie bestaan er nog twee middelgrote risico’s, namelijk onnauwkeurigheden in (persoons)gegevens en de duur van het bewaren van diagnostische data over het gebruik van de dienst.
SURF benadrukt dat het product niet langer volledig wordt afgeraden, maar dat onderwijs- en onderzoeksorganisaties voorzichtig moeten zijn met grootschalige implementatie. De organisatie wil over zes maanden opnieuw evalueren of de toezeggingen van Microsoft voldoende zijn nagekomen.
Risicobeoordeling en vervolgstappen
SLM schetst een iets rooskleuriger beeld. In totaal ziet de organisatie nu twee risico’s op middelniveau en acht lage risico’s. Die laatste categorie kan volgens SLM grotendeels door instellingen zelf worden afgedekt via technische en organisatorische maatregelen. Voor de middelgrote risico’s blijft Microsoft echter aan zet. Mocht het bedrijf onvoldoende vooruitgang boeken, dan sluit SLM niet uit dat deze alsnog opschuiven naar de categorie ‘hoog risico’.
Voorwaarden voor verantwoord gebruik
Volgens SLM vormen de verbeteringen geen belemmering meer om Copilot in te zetten. Wel benadrukt de organisatie dat instellingen een duidelijk AI-beleid moeten hebben voordat de technologie breed kan worden uitgerold. Dat beleid moet zorgen dat Copilot binnen de juiste kaders en met oog voor privacy wordt toegepast.
De boodschap is dus genuanceerd: Copilot is niet langer ongeschikt, maar zijn toepassing vraagt om zorgvuldigheid en blijvende controle. Waar SLM vooral ruimte ziet voor gebruik, kiest SURF voorlopig voor de rem.