Onderzoeks- en ict-samenwerkingsorganisatie SURF heeft een nieuw privacyonderzoek gepubliceerd naar het gebruik van Microsoft 365 Copilot for Education. Het gaat om een zogeheten Data Protection Impact Assessment (DPIA), uitgevoerd door Privacy Company. Het onderzoek richt zich op de betaalde onderwijslicentie van Copilot, de generatieve AI-dienst die onder meer teksten, samenvattingen en berekeningen kan maken in Word, Excel, PowerPoint, Outlook en Teams.
Volgens het rapport zijn vier eerder vastgestelde hoge privacyrisico’s deels teruggebracht. Microsoft heeft maatregelen aangekondigd, waaronder meer transparantie over welke gegevens worden verwerkt, en een toezegging om gebruikers beter inzicht te geven in de data die worden opgeslagen. Ook is vastgelegd dat onderwijsinstellingen toegang krijgen tot bepaalde diagnostische en telemetriegegevens via inzageverzoeken.
Toch blijven er zorgen. Twee risico’s blijven volgens SURF op ‘medium’ niveau: het risico dat Copilot onnauwkeurige of onvolledige persoonsgegevens genereert en het risico rond de bewaartermijn van 18 maanden voor zogenoemde Required Service Data en Telemetry Data, waarbij heridentificatie van gebruikers niet uitgesloten is.
Negen lage risico’s
Daarnaast signaleert het rapport negen laag ingeschaalde risico’s, zoals beperkte mogelijkheden voor onderwijsinstellingen om zelf instellingen aan te passen, het gebruik van filters waarvan de werking niet transparant is, en de kans op reputatieschade bij foutieve weergave van persoonsgegevens.
SURF benadrukt dat onderwijsorganisaties zelf verantwoordelijk blijven voor een zorgvuldige inzet van Copilot. Instellingen wordt geadviseerd duidelijke gebruiksrichtlijnen op te stellen, toegang tot Bing te blokkeren, en nauwlettend te monitoren welke output de AI genereert. Ook worden zij gevraagd klachten over onjuiste persoonsgegevens te melden.
Copilot is op dit moment alleen beschikbaar voor medewerkers en studenten van 18 jaar en ouder. Gebruik door minderjarigen valt buiten de scope van het onderzoek.
Het volledige rapport is hier te vinden.
Lees meer:
