Update: DPIA for Microsoft 365 Copilot Completed: Deployment in the Public Sector Remains Possible
Update – 27 May 2026 The latest reassessment of the Data Protection Impact Assessment (DPIA) for Microsoft 365 Copilot by SLM (Strategic Vendor […]
Update: DPIA Microsoft 365 Copilot afgerond: implementatie in de publieke sector mogelijk
Michael Kimmijser
Public Sector Lead
Update – 27 May 2026
De meest recente herbeoordeling van de Data Protection Impact Assessment (DPIA) voor Microsoft 365 Copilot door SLM (Strategisch Leveranciersmanagement van het Ministerie van Justitie) en SURF (ICT-coöperatie die Nederlandse onderwijs- en onderzoeksinstellingen vertegenwoordigt) bevestigt het eerdere beeld: het advies blijft ongewijzigd en verantwoorde inzet van Copilot binnen onderwijs- en overheidsorganisaties blijft mogelijk. De analyse laat zien dat de eerder geïdentificeerde vier hoge risico’s zijn gemitigeerd of verlaagd. Deze verbeteringen stellen organisaties in staat om Microsoft 365 Copilot op een verantwoorde manier te implementeren. Microsoft is van mening dat Microsoft 365 Copilot kan worden gebruikt in overeenstemming met de Algemene Verordening Gegevensbescherming (AVG).
Implementatie van Microsoft 365 Copilot in de publieke sector
De uitkomsten van de DPIA maken implementatie mogelijk, maar benadrukken ook dat verantwoord gebruik meer vraagt dan technologie alleen. Een heldere AI-strategie, duidelijke governance en gerichte begeleiding van gebruikers blijven essentieel om de waarde van generatieve AI veilig en effectief te benutten.
SLM en SURF hebben in hun beoordeling twee resterende medium risico’s geïdentificeerd:
- Nauwkeurigheid van generatieve AI-output: Microsoft is van mening dat Microsoft 365 Copilot kan worden gebruikt in overeenstemming met het nauwkeurigheidsprincipe van de AVG. Microsoft 365 Copilot is ontworpen om gebruikers te ondersteunen, niet om beslissingen over te nemen. Het blijft belangrijk dat gebruikers uitkomsten beoordelen en in context plaatsen. Organisaties hebben de verantwoordelijkheid om hun gebruikers te leren dat Microsoft 365 Copilot een generatieve AI-tool is. In de DPIA wordt actief verwezen naar het Workplace harm filter die actief is in het product. Microsoft heeft deze toepassing toegevoegd in dialoog met Ondernemingsraden over de hele wereld. Het filter helpt voorkomen dat generatieve AI modellen conclusies, oordelen of evaluaties maken over een werknemer op basis van hun werkplekcommunicatie. Meer informatie vind je in dit blog.
- Bewaartermijn van diagnostische gegevens: Microsoft houdt zich aan de verplichtingen inzake gegevensminimalisatie op grond van artikel 5 van de AVG, wat betekent dat Microsoft persoonsgegevens niet langer mag bewaren dan de periode waarvoor deze vereist zijn. Microsoft heeft een algemeen beleid geïmplementeerd om diagnostische gegevens voor Microsoft 365-apps en -services, waaronder Microsoft 365 Copilot, maximaal 18 maanden te bewaren. Het is belangrijk om te vermelden dat diagnostische gegevens verwijzen naar gegevens die worden gebruikt om onze services veilig, up-to-date en actief te houden zoals verwacht, en geen klantgegevens bevatten.
Veilig en verantwoord
Microsoft 365 Copilot is op dit moment de enige AI-oplossing in Nederland die via een volledige DPIA is beoordeeld. Er ligt een publiek en onderbouwd risicokader inclusief concrete mitigerende maatregelen. Microsoft onderstreept het belang van verantwoord AI gebruik, maar ook veilig AI gebruik. Naast de compliancy afwegingen is het belangrijk de veiligheidsrisico’s te blijven meewegen van bijvoorbeeld onbeheersbare ‘bring your own AI’. Een duidelijk AI-beleid en een getoetste oplossing zijn daarin de eerste stap.
We nodigen bedrijven uit om actief samen te werken met Microsoft, waarin we best practices, learnings en skilling tools kunnen delen om de verantwoorde implementatie van Microsoft 365 Copilot mogelijk te maken.
