Microsoft ligt wel vaker in de clinch met lokale overheden. Ook nu weer is er veel commentaar van allerlei partijen die onderzoek hebben gedaan naar de privacy risico’s die het gebruik van Copilot betekent voor haar gebruikers.
In Nederland is een DPIA uitgevoerd door SLM-Rijk en SURF. De opdracht is zoals eerder ook al gold voor de DPIA’s voor Google, Zoom en O365, verstrekt aan privacy experts van Privacy Company. Door de betrokkenheid van SURF kun je met zekerheid stellen dat in ieder geval de impact t.o.v. studenten in Nederland is beoordeeld.
4 hoge risico’s
De conclusie die SURF heeft getrokken, en inmiddels gepubliceerd op haar website, is dat onderwijs- en onderzoeksinstellingen vooralsnog geen gebruik zouden moeten maken van Microsoft 365 Copilot. De DPIA brengt een aantal hoge privacy risico’s aan het licht, waaronder;
- Gebrek aan transparantie
- Het niet kunnen uitoefenen van recht op inzage
- Het genereren van onjuiste en onvolledige persoonsgegevens
- Onvoldoende overzicht over de verwerking van persoonsgegevens die Microsoft nodig heeft voor het leveren van M365 Copilot
Nog geen veilig gebruik van Copilot
Gedurende het DPIA traject en voor publicatie heeft Microsoft de gelegenheid gekregen om maatregelen voor te stellen om deze hoge risico’s te mitigeren. Ook SLM-Rijk heeft suggesties gedaan hoe Microsoft hier concreet invulling aan zou kunnen geven. Microsoft heeft helaas tot dit moment nog geen toezeggingen gedaan. Er zijn wel gesprekken gepland voor medio januari 2025 waarin wordt gesproken over de geconstateerde risico’s.
Wat kun- en moet je zelf in ieder geval doen
Om privacy veilig gebruik te kunnen maken van een toepassing als Microsoft Copilot moet je als organisatie zelf beoordelen welke risico’s voor de rechten en vrijheden van betrokkenen worden geraakt door de voorgenomen verwerkingen. Nu er uit de DPIA een aantal hoog risico’s blijken kun je zonder extra maatregelen te treffen geen gebruik maken van Microsoft Copilot, althans, als je binnen de lijnen van de AVG wilt blijven opereren. De maatregelen die je moet treffen zijn altijd een combinatie van technische (instellingen) en organisatorische. Vooral deze laatste categorie zal impact hebben. Je kunt hierbij denken aan het trainen van je personeel zodat zij de tool op een correcte manier kunnen gebruiken en weten waarop gelet moet worden met betrekking tot de verkregen output.
Aan de technische kant is het van belang om je identity-en accessmanagement goed op orde te hebben en een volleidg geïmplementeerd datamanagement beleid is absolute noodzaak. Voor veel bedrijven zal dit een uitdaging blijken te zijn omdat er vaak nog geen volledig overzicht is van welke informatie als gevoelig of vertrouwelijk gelabeld hoort te zijn en dus de organisatie niet zou mogen verlaten.
Een laatste tip
Als je overweegt om Copilot of andere general purpose AI-systems te gaan gebruiken, werk dan een use-case uit. Bepaal voor welk proces of in welk domein je de toepassing wilt gebruiken en breng in kaart welke informatie hiervoor nodig is, hoe deze informatie uit je bestaande informatiesystemen beschikbaar gesteld moet worden en of je o.a. kunt garanderen dat je de rechten en vrijheden van betrokkenen niet schaadt bij die voorgenomen verwerkingen.
Conclusie
Misschien nog niet op dit moment, maar wellicht op termijn zou een general purpose AI-system dan zomaar eens een gewaarde compagnon kunnen zijn.