Nederlandse rijksoverheidsorganisatie kunnen Microsofts AI-assistent Copilot verantwoord inzetten, mits er beleid voor AI-gebruik is vastgesteld. Veilig gebruik van M365 Copilot is in hoge mate afhankelijk van de juiste randvoorwaarden.
Analyse: stoplicht op oranje voor Copilot
Zowel SLM als SURF benadrukken de verantwoordelijkheid van de organisaties zelf om Copilot alleen onder de randvoorwaarden in te zetten.
Zo luidt het oordeel van inkooporganisatie SLM (Strategisch LeveranciersmanagementMicrosoft, Google Cloud en Amazon Web Services) naar aanleiding van het herziene DPIA die door SLM en SURF is uitgevoerd. De boodschap uit de adviesmemo bij het herziene DPIA is bepaald niet ‘ga je gerust je gang’, maar eerder ‘bezint eer gij begint’.
Privacyrisico's
Het eerste data protection impact assessment (DPIA) vond in december vorig jaar plaats. Daaruit kwamen vier hoge privacyrisico’s naar voren, die SURF ertoe brachten om de inzet van Microsoft 365 Copilot in het onderwijs af te raden. SLM ging met Microsoft in gesprek.
Volgens het privacyonderzoek (link onderaan het nieuwsbericht) zijn vier eerder vastgestelde hoge privacyrisico’s inmiddels deels teruggebracht nu Microsoft een reeks maatregelen heeft aangekondigd. Zo komt er meer transparantie over welke gegevens worden verwerkt en krijgen gebruikers beter inzicht in welke data worden opgeslagen. SLM schrijft in de adviesmemo bij het DPIA over ‘essentiële verbeteringen’ die Microsoft heeft doorgevoerd.
SLM schrijft in de adviesmemo over ‘essentiële verbeteringen’ die Microsoft heeft doorgevoerd.
Overgebleven risico's
Volgens het DPIA zijn er twee risico’s van ‘medium’ niveau overgebleven: het kan nog steeds voorkomen dat Copilot onnauwkeurige of onvolledige persoonsgegevens genereert. Daarnaast leidt de bewaartermijn van 18 maanden ertoe dat heridentificatie van gebruikers niet is uitgesloten.
SLM blijft in gesprek met Microsoft over de acties die het bedrijf moet ondernemen om de medium risico’s te mitigeren. Uit de memo: ‘Het is denkbaar dat de medium risico’s hoge risico’s worden als Microsoft onvoldoende verbeteringen doorvoert, zoals in het DPIA vermeld.’ Ook zijn er nog acht lage risico’s. Die kunnen overheidsorganisaties zelf uitsluiten door het nemen van technische en organisatorische maatregelen.
Het rijk en Microsoft zelf menen dat de doorgevoerde verbeteringen genoeg zijn om Copilot verantwoord te implementeren.
Strikte voorwaarden
SURF komt op basis van hetzelfde privacyonderzoek tot de conclusie dat het onderwijs terughoudend moet zijn met de inzet van Copilot. Het rijk en Microsoft zelf menen dat de doorgevoerde verbeteringen genoeg zijn om Copilot verantwoord te implementeren.
Lekker onbeperkt met Copilot aan de slag dan maar? Nou nee, dat ook weer niet. In feite zetten zowel SLM als SURF het stoplicht op oranje. SLM waarschuwt in het memo dat er een aantal strikte voorwaarden gelden. Zo moeten overheidsorganisaties eerst beschikken over een AI-gebruiksbeleid en zijn er duidelijke afspraken nodig over toegestane use cases, kwaliteitscontrole en omgang met gevoelige informatie.
Daarnaast gelden randvoorwaarden als zorgvuldig autorisatiebeheer, compliance met het vigerend cloudbeleid. Ook is het altijd een goed idee om een eigen aanvullend DPIA uit te voeren, aldus SLM. Beide organisaties roepen gebruikers op om alle klachten en feedback over onjuiste persoonsgegevens te melden.
Plaats als eerste een reactie
U moet ingelogd zijn om een reactie te kunnen plaatsen.