SURF wijst onderwijsinstellingen op privacyrisico's Microsoft 365 Copilot

In dit artikel:

SURF, de ict-samenwerkingsorganisatie voor Nederlandse onderwijs- en onderzoeksinstellingen, adviseert terughoudendheid bij het gebruik van Microsoft 365 Copilot na een nieuwe Data Protection Impact Assessment (DPIA). In december publiceerde SURF al een eerste DPIA waarin vier hoge privacyrisico’s werden vastgesteld en instellingen werd geadviseerd Copilot niet te gebruiken. Na aanpassingen door Microsoft zijn twee van die hoge risico’s teruggebracht naar een middelhoge (oranje) inschatting; negen andere problemen blijven als laag risico aangemerkt.

De twee overgebleven zorgen betreffen onjuiste (persoons)gegevens die de AI kan genereren en de bewaartermijn van diagnostische persoonsgegevens die bij gebruik van de dienst worden vastgelegd. Omdat niet alle risico’s overtuigend zijn weggenomen, raadt SURF nu geen algemeen verbod meer aan maar wel een weloverwogen, terughoudende inzet per gebruikssituatie. Instellingen wordt geadviseerd afspraken en een AI-gebruiksbeleid te maken, meldingen van onnauwkeurige persoonsgegevens aan SURF te rapporteren, en de ontwikkelingen van Microsoft nauwgezet te volgen: over zes maanden komt SURF met een nieuwe beoordeling.