SURF: privacyrisico’s Microsoft 365 Copilot

30-01-2025

SURF adviseert schoolbesturen om vooralsnog geen gebruik te maken van Microsoft 365 Copilot. Uit onderzoek blijkt namelijk dat er privacyrisico’s verbonden zijn aan het gebruik van de generatieve AI-tool. SURF blijft met Microsoft wel in gesprek om deze risico’s op te lossen.

In 2024 voerde SURF Vendor Compliance samen met externe privacy-experts van Privacy Company, een data protection impact assessment (DPIA) uit op Microsoft 365 Copilot. Hierbij is gekeken naar gebruik door medewerkers en volwassen studenten. Microsoft stelt de betaalde educatie licentie vooralsnog niet beschikbaar voor minderjarigen. Uit het DPIA kwamen een aantal privacyrisico’s naar voren voor gebruikers.

De risico’s hebben onder andere betrekking op een gebrek aan transparantie van Microsoft. Het is niet duidelijk welke persoonsgegevens Microsoft verzamelt en bewaart over het gebruik van Microsoft 365 Copilot. Verder zijn de gegevens die gebruikers ontvangen als zij een inzageverzoek doen onvolledig en onbegrijpelijk. Daarnaast is het aannemelijk dat Microsoft 365 Copilot onjuiste en onvolledige persoonsgegevens genereert, en merken gebruikers niet dat ze met onjuiste gegevens werken omdat ze te veel vertrouwen op de generatieve AI-tool.

SURF blijft met Microsoft in gesprek om mitigerende maatregelen te treffen. Op dit moment kan SURF echter niet anders dan concluderen dat de vastgestelde hoge risico’s onvoldoende worden weggenomen. Daarom is het advies richting onderwijs- en onderzoeksinstellingen om Microsoft 365 Copilot vooralsnog niet te gebruiken.

Namens instellingen voert SURF overkoepelende privacy- en security-risicoanalyses uit op leveranciers/applicaties en onderhandelt het over mogelijke aanpassingen en/of contractafspraken waar de gehele onderwijs- en onderzoekssector van kan profiteren.