Steeds meer gemeenten verkennen de mogelijkheden van Microsoft 365 Copilot. Deze AI-assistent kan binnen bekende Microsoft-applicaties als Word, Excel, Outlook en Teams samenvattingen maken, teksten genereren en gesprekken ondersteunen. Maar volgens een recente notitie van de Informatiebeveiligingsdienst (IBD) zijn er voor gemeentelijke organisaties ook stevige risico’s die zorgvuldige aandacht vragen.
De notitie is gebaseerd op een Data Protection Impact Assessment (DPIA) die in opdracht van SLM Rijk is uitgevoerd. Hoewel Microsoft inmiddels enkele maatregelen heeft genomen, blijven vier hoog ingeschatte risico’s overeind zolang de gesprekken hierover met SLM Rijk nog lopen.
Het eerste risico is dat gebruikers hun inzagerechten niet volledig kunnen uitoefenen: Microsoft biedt nog geen compleet en begrijpelijk overzicht van alle gegevens die Copilot verwerkt, met name diagnostische data.
Het tweede risico is het verlies aan controle en mogelijke sociaaleconomische nadelen voor betrokkenen, doordat Copilot onjuiste of onvolledige persoonsgegevens kan genereren. Overmatig vertrouwen in AI (“overreliance”) vergroot dit gevaar.
Persoonsgegevens heikel punt
Derde punt van zorg is de beperkte transparantie over welke persoonsgegevens precies worden verwerkt en hoe. Vooral de zogeheten ‘Required Service Data’. Dit zijn diagnostische gegevens die altijd worden verzameld. Deze zijn volgens VNG nog onvoldoende gedocumenteerd.
Tot slot is er het risico op heridentificatie van pseudonieme gegevens door mogelijk zeer lange bewaartermijnen. Microsoft kan deze data tot ruim tien jaar bewaren, afhankelijk van de duur van het dienstverband van de gebruiker.
De IBD adviseert om voorlopig terughoudend te zijn met het verwerken van persoonsgegevens via M365 Copilot totdat Microsoft meer transparantie en controle biedt. Bijzonder gevoelige gegevens, zoals medische of strafrechtelijke informatie, horen helemaal niet in Copilot thuis.
Oversharing
Technisch kan oversharing worden beperkt door het implementatieplan van Microsoft te volgen, Bing-integratie te beheren, toegang tot consumentenversies te blokkeren en feedbackfuncties uit te schakelen. Op organisatorisch niveau zijn een actuele, goed gelabelde informatiehuishouding en duidelijke toegangsrechten essentieel.
Daarnaast is AI-geletterdheid onder medewerkers cruciaal. Gemeenten doen er goed aan helder beleid op te stellen over wat wel en niet mag bij het gebruik van generatieve AI. Dit beleid moet breed gedeeld, herhaald en actief gehandhaafd worden.
M365 Copilot biedt potentie om werkprocessen te versnellen en de informatievoorziening te verbeteren, maar zonder duidelijke kaders, technische maatregelen en bewustwording kan de tool leiden tot juridische risico’s, privacy-inbreuken en verlies van vertrouwen. Gemeenten die de stap willen zetten, moeten volgens de VNG daarom eerst investeren in beleid, inrichting en training, zodat de voordelen van AI niet ten koste gaan van privacy en zorgvuldigheid.
Lees meer:
