Update Microsoft 365 Copilot DPIA: SLM en SURF adviseren verantwoorde adoptie.  

Update – 15 september 2025 

We zijn verheugd een belangrijke update te delen over de inzet van Microsoft 365 Copilot binnen de Nederlandse overheid en onderwijsorganisaties. Na intensieve samenwerking en voortdurende dialoog met SLM (Strategisch Leveranciersmanagement van het Ministerie van Justitie) en SURF (ICT-coöperatie die Nederlandse onderwijs- en onderzoeksinstellingen vertegenwoordigt), hebben beide organisaties hun eerdere richtlijnen herzien. Op basis van verbeteringen en aanvullende maatregelen die Microsoft in de afgelopen negen maanden heeft doorgevoerd, concluderen SLM en SURF dat de eerder geïdentificeerde vier hoge risico’s zijn gemitigeerd of verlaagd. Deze verbeteringen stellen organisaties in staat om Microsoft 365 Copilot op een verantwoorde manier te implementeren. 

Mogelijke implementatie van Microsoft 365 Copilot in de publieke sector 

De mitigerende maatregelen die hebben geleid tot deze herziene beoordeling, maken het voor overheidsorganisaties en onderwijsinstellingen mogelijk om te starten met de implementatie van Microsoft 365 Copilot. Net als SLM en SURF adviseren, blijft Microsoft een partner voor onze klanten in de publieke sector om implementaties binnen hun organisaties op een verantwoorde manier vorm te geven. Het implementeren van een duidelijke AI-strategie is daarbij een van de belangrijkste voorwaarden om AI-tools zoals Microsoft 365 Copilot effectief en verantwoord in te zetten. 

SLM en SURF hebben in hun beoordeling twee resterende medium risico’s geïdentificeerd. Deze onderwerpen vragen extra aandacht in het implementatieproces:  

1. Nauwkeurigheid van generatieve AI-output:Microsoft is van mening dat Microsoft 365 Copilot kan worden gebruikt in overeenstemming met het nauwkeurigheidsprincipe van de Algemene Verordening Gegevensbescherming (AVG). Microsoft heeft aanzienlijke investeringen laten zien, zoals “grounding”, “citations” en de recente ISO 42001-certificering, en zal in dit onderwerp blijven investeren. Ons perspectief blijft dat zowel Microsoft als organisaties zelf een gedeelde verantwoordelijkheid hebben om potentiële risico’s met betrekking tot onnauwkeurige generatieve AI-output aan te pakken. Organisaties hebben de verantwoordelijkheid om hun gebruikers te leren dat Microsoft 365 Copilot een generatieve AI-tool is. Het is bedoeld om gebruikers te ondersteunen, maar niet bedoeld of geschikt om de besluitvorming van gebruikers te vervangen. We nemen feedback en suggesties van SLM en SURF serieus en zetten ons daarom in om aanvullende verbeteringen door te voeren op het gebied van controle en nauwkeurigheid. We blijven hierover in continue dialoog met SLM en SURF, volgens de afgesproken planning.
2. Bewaartermijn van diagnostische gegevens: Microsoft houdt zich aan de verplichtingen inzake gegevensminimalisatie op grond van artikel 5 van de AVG, wat betekent dat Microsoft persoonsgegevens niet langer mag bewaren dan de periode waarvoor deze vereist zijn. Microsoft heeft een algemeen beleid geïmplementeerd  om diagnostische gegevens voor Microsoft 365-apps en -services, waaronder Microsoft 365 Copilot, maximaal 18 maanden te bewaren. Het is belangrijk om te vermelden dat diagnostische gegevens verwijzen naar gegevens die worden gebruikt om onze services veilig, up-to-date en actief te houden zoals verwacht, en geen klantgegevens bevatten.  

Vervolgstappen 

We hechten grote waarde aan de voortdurende dialoog en zijn trots op de vooruitgang die is geboekt om zowel SLM als SURF en hun achterban te helpen bij de inzet van AI-technologieën. Wij zetten deze dialoog voort om de ontwikkelingen van de technologie en de toepassing ervan door de Nederlandse overheid en het onderwijs te ondersteunen. We nodigen bedrijven uit om actief samen te werken met de Microsoft-teams waarin we best practices, learnings en skilling tools kunnen delen om de verantwoorde implementatie van Microsoft 365 Copilot mogelijk te maken.