Vanwege privacyrisico’s raadt SURF onderwijs- en onderzoeksinstellingen af de generatieve AI-tool van Microsoft te gebruiken. Ondertussen voert de IT-coöperatie gesprekken om deze risico’s aan te pakken.
Het advies van SURF volgt na een Data Protection Impact Assessment (DPIA) op Microsoft 365 Copilot. De analyse richtte zich op het gebruik door medewerkers en volwassen studenten, aangezien de betaalde educatielicentie voorlopig niet beschikbaar is voor minderjarigen. De DPIA bracht een aantal privacyrisico’s voor gebruikers aan het licht, vooral gerelateerd aan het gebrek aan transparantie van Microsoft.
SURF stelt dat het onduidelijk is welke persoonsgegevens Microsoft verzamelt en bewaart bij het gebruik van de AI-tool. Daarnaast zijn de gegevens die gebruikers ontvangen bij een inzageverzoek vaak onvolledig en moeilijk te begrijpen. Volgens SURF is het ook aannemelijk dat Microsoft 365 Copilot onjuiste en onvolledige persoonsgegevens genereert. Gebruikers zouden zich hier niet van bewust zijn, omdat ze te veel vertrouwen op de generatieve AI-tool.
“Op dit moment kunnen we echter niet anders dan concluderen dat de vastgestelde hoge risico’s onvoldoende worden weggenomen. Daarom adviseren we onze leden om Microsoft 365 Copilot vooralsnog niet te gebruiken”, concludeert SURF. Wel blijft de deur voor Microsoft op een kier. SURF voert gesprekken met de techgigant om mitigerende maatregelen te treffen. Zodra de situatie verandert, zal de onderwijsvereniging onderwijs- en onderzoeksinstellingen informeren.
Microsoft wil overeenstemming bereiken
Een woordvoerder van Microsoft laat aan Techzine weten dat het bedrijf samenwerkt met de Nederlandse overheid om Microsoft 365 Copilot beschikbaar te maken voor Nederlandse gebruikers en om het in overeenstemming te brengen met internationale regelgeving.
De techgigant benadrukt het echter niet eens te zijn met “enkele tussentijdse conclusies”. “De privacy-audits uitgevoerd door de Nederlandse overheid tonen aan dat Microsoft al technische en organisatorische maatregelen toepast om persoonsgegevens te beschermen en te verwerken, en daarnaast contractuele verplichtingen en uitgebreide garanties biedt”, aldus Microsoft tegenover Techzine.