Microsoft-update: Microsoft 365 Copilot DPIA aanpassingen 

Microsoft-update: Microsoft 365 Copilot DPIA aanpassingen 

In december 2024 publiceerden Strategisch Leveranciersmanagement van het Ministerie van Justitie en Veiligheid (SLM) en SURF (de ct-coöperatie van Nederlandse onderwijs- en onderzoeksinstellingen) hun Data Protection Impact Assessment (DPIA) van Microsoft 365 Copilot, met daarin hun zorgen over het gebruik op basis van 4 hoge risico’s. Deze overkoepelende DPIA ondersteunt individuele Rijksoverheden en onderwijsinstellingen bij het uitvoeren van hun eigen DPIA’s voor hun specifieke verwerkingsactiviteiten van persoonsgegevens bij potentieel gebruik van Microsoft 365 Copilot.  

Als reactie op de DPIA sprak Aleš Holeček, Microsoft’s Chief Technology Officer Enterprise and Devices,  het vertrouwen uit de zorgen over het mogelijke gebruik van Microsoft 365 Copilot te adresseren, in samenwerking met SLM en SURF. Microsoft heeft zich hierbij aan enkele concrete acties gecommitteerd.   

In deze blogpost delen we een update over onze voortgang en de inspanningen die we hebben geleverd om onze afspraken met SLM en SURF na te komen, waar al onze zakelijke klanten baat bij hebben. Microsoft heeft aanzienlijke inspanningen geleverd om de zorgen van SLM en SURF te adresseren en oplossingen te implementeren en heeft concrete resultaten opgeleverd op de streefdatum van 4 april.  We hebben een update gedeeld over de genomen acties en uitkomsten in een vervolgbrief, die hier is gepubliceerd. We zijn ervan overtuigd dat met deze aanpassingen een herevaluatie kan plaatsvinden van eerdere ‘hoge risico’-beoordelingen.

In de vervolgbrief staat hoe Microsoft de zorgen heeft aangepakt op het gebied van: 

1. Retention time of diagnostic data 
2. Data Subject Access Request output 
3. Required service data and diagnostic data transparency  
4. Accuracy of personal data in Copilot outputs

Microsoft investeert continue op het gebied van nauwkeurigheid van data. Zo is Microsoft 365 Copilot recent gecertificeerd volgens de ISO 42001-certificering. Ons perspectief blijft dat zowel Microsoft als organisaties zelf een gedeelde verantwoordelijkheid hebben om potentiële risico’s van onnauwkeurige generatieve AI-output te adresseren. Organisaties hebben bijvoorbeeld de verantwoordelijkheid om hun gebruikers te leren dat Microsoft 365 Copilot een generatieve AI-tool is die tekstaanbevelingen voorspelt. Het is bedoeld om gebruikers te helpen en is niet bedoeld, en mag ook niet zo worden gebruikt, om de besluitvorming door gebruikers te vervangen.  

We hechten grote waarde aan de dialoog en zijn trots op de vooruitgang die is geboekt om zowel SLM als SURF en hun achterban te helpen bij de inzet van AI-technologieën. Wij zetten deze dialoog voort om de ontwikkelingen van de technologie en de toepassing ervan door de Nederlandse overheid en het onderwijs te ondersteunen. 

Bij Microsoft hebben de privacy en beveiliging van de gegevens van onze klanten de hoogste prioriteit. Microsoft is en blijft stevig gecommitteerd aan het naleven van de AVG. Aanvullend heeft Microsoft de EU Data Boundary ingevoerd die verwerking en opslag van data in Europa garandeert. We werken er voortdurend aan om te blijven voldoen aan de veranderende en verschillende behoeften van onze klanten en creëren elke dag hogere standaarden.