Gemeenten moeten terughoudend zijn met Microsoft Copilot. Dat zegt de IBD (Informatiebeveiligingsdienst). Ze moeten vooral opletten met het gebruik van persoonsgegevens op deze computers totdat Microsoft maatregelen neemt.
De IBD zegt in het rapport dat in een notitie over de risico’s van het gebruik van Microsoft Copilot, een AI-hulpmiddel dat draait op Microsoft 365. Op zich biedt het handige ondersteuning, een Data Protection Impact Assessment (DPIA) laat zien dat gebruik ervan nogal hoge privacyrisico’s heeft. Volgens de DPIA, die namens SLM Rijk onderzoek deed, is het vooral onduidelijk of en zo ja hoe, de gegevensverwerking van Copilot voldoet aan de Algemene Verordening Gegevensbescherming (AVG).
Grootste probleem is de koppeling met Microsoft Graph. Die geeft toegang tot applicaties als Outlook, Teams en SharePoint. Dat kan weer leiden tot ongewenste dataverwerking. Volgens de IBD kan Copilot mogelijk documenten en metadata verwerkt zonder expliciete controle.
Microsoft is onduidelijk over gegevensverzameling
Ander probleem is dat Microsoft interacties met Copilot bewaart, maar hoe lang en wat precies, daar laat het bedrijf zich niet over uit. Wel duidelijk is dat het gaat om bewaren van prompts en gegenereerde antwoorden. Die onduidelijkheid levert voor gemeenten problemen op met AVG-compliance. Ook zijn ze hierdoor niet in staat medewerkers correct te informeren over welke gegevens Copilot doorstuurt en hoe die worden gebruikt.
Verder loop je ook het risico dat Copilot onjuiste of incomplete gegevens genereert, terwijl je hiervan niet op de hoogte bent. Dat betekent ook dat alle aannames die hierop zijn gebaseerd niet kloppen terwijl je dit niet kan corrigeren.
Wat het IBD betreft kunnen gemeenten Copilot dus beter niet gebruiken voor verwerking van persoonsgegevens. Pas als Microsoft maatregelen heeft genomen kunnen gemeenten de AI-software alsnog gebruiken.
Buiten dat is het grote advies aan gemeenten snel te zorgen voor grotere AI-geletterdheid van medewerkers. Verder is het nodig om heldere beleidsrichtlijnen op te stellen zodat iedereen weet wat wel en niet kan en mag.
Tip:
- Microsoft onderzoek maatschappelijke impact van AI