SLM Rijk (Strategisch Leveranciersmanagement Microsoft) gaat vanaf januari 2025 in overleg met Microsoft over het mitigeren van risico’s die kleven aan het gebruik van Microsoft 365 Copilot. Dat schrijft SLM in een memo bij de DPIA (Data Protection Impact Assessment) die samen met externe privacy-experts van Privacy Company werd uitgevoerd.
Vier hoge risico’s
Het gaat om hetzelfde DPIA dat SURF er deze week toe bracht om het gebruik van Copilot af te raden voor onderwijs en onderzoek. Uit de DPIA blijkt dat er vier hoge risico’s gepaard gaan met het gebruik van M365 Copilot. Die komen hoofdzakelijk voort uit een gebrek aan transparantie van Microsoft over verwerkingen van persoonsgegevens. ‘Op basis van de huidige bevindingen uit de DPIA is M365 Copilot nog niet compliant te gebruiken,’ concludeert ook SLM.
Overheidsorganisaties die de generatieve AI-tool inzetten in een zogeheten sandbox, een veilige experimenteeromgeving, kunnen daar volgens SLM wel gewoon mee doorgaan.
Geen concrete toezeggingen
Uit de memo: ‘SLM heeft herhaaldelijk contact gehad met Microsoft en haar de gelegenheid gegeven om maatregelen voor te stellen die deze hoge risico’s mitigeren. Ook zijn er door SLM suggesties gedaan hoe Microsoft dit concreet zou kunnen invullen. Microsoft heeft nog geen concrete toezeggingen gedaan waardoor er momenteel geen effectieve maatregelen zijn voor het mitigeren van de hoge risico’s.’
Volgens Microsoft gaat het om een verschil in opvatting omdat SLM de DPIA wilde afronden. ‘We zijn continu in gesprek met SLM,’ verzekert een woordvoerder van Microsoft. ‘En dat blijven we ook doen.’
Vertrouwen
Microsoft is het niet eens met enkele tussentijdse conclusies, zoals dat het zou gaan om hoog risico. ‘We evalueren de tussentijdse bevindingen en zullen blijven samenwerken met de Nederlandse overheid om ervoor te zorgen dat het gebruik van Microsoft 365 Copilot ten goede komt aan Nederlandse burgers en in overeenstemming is met internationale regelgeving,’ stelt het bedrijf.
Microsoft laat weten dat het er vertrouwen in heeft dat klanten in de EU/EER, waaronder Nederland, Copilot kunnen blijven benutten in overeenstemming met de AVG. ‘De privacy-audits uitgevoerd door de Nederlandse overheid tonen aan dat Microsoft al technische en organisatorische maatregelen toepast om persoonsgegevens te beschermen en te verwerken, en daarnaast contractuele verplichtingen en uitgebreide garanties biedt.’
FRAIA
Naast de DPIA heeft SLM een Fundamental Rights en Algorithms Impact Assessment (FRAIA) uitgevoerd op Copilot. Dat leidt tot de voorlopige conclusie dat dit beoordelingsmodel niet goed aansluit bij een general purpose AI systeem zoals M365 Copilot. Het onderzoek is daarom tijdelijk gestopt. De Europese AI Office en de nationale toezichthouder zullen helpen met het zoeken naar een geschiktere manier om te onderzoeken of Copilot voldoet aan fundamentele rechten.
Eigen maatregelen
SLM benadrukt in de memo dat niet alleen Microsoft, maar ook overheidsorganisaties die Copilot willen inzetten maatregelen moeten nemen om aan de AVG te voldoen. De meest ingrijpende is het trainen van medewerkers, zodat ze de tool verantwoord gebruiken en alert zijn op foute output. Maar ook een goed ingericht identiteits- en toegangsbeheer (IAM) en zorgvuldige data governance zijn essentieel, aldus de memo.
Lees ook:
