Advies: gebruik Microsoft 365 Copilot vooralsnog niet vanwege privacyrisico’s

In 2024 voerden we samen met externe privacy-experts van Privacy Company een Data Protection Impact Assessment (DPIA) uit op Microsoft 365 Copilot. Hierbij is gekeken naar gebruik van medewerkers en volwassen studenten, omdat Microsoft de betaalde educatielicentie vooralsnog niet beschikbaar stelt voor minderjarigen. Uit de DPIA kwam een aantal privacyrisico’s voor gebruikers naar voren.   

Vastgestelde privacyrisico’s  

De risico’s hebben onder andere betrekking op het gebrek aan transparantie van Microsoft. Het is niet duidelijk welke persoonsgegevens Microsoft verzamelt en bewaart over het gebruik van Microsoft 365 Copilot. Verder zijn de gegevens die gebruikers ontvangen als zij een inzageverzoek doen onvolledig en onbegrijpelijk. Daarnaast is het aannemelijk dat Microsoft 365 Copilot onjuiste en onvolledige persoonsgegevens genereert, en merken gebruikers niet dat ze met onjuiste gegevens werken, omdat ze te veel vertrouwen op de generatieve AI-tool.  

Advies: gebruik Copilot vooralsnog niet 

We blijven met Microsoft in gesprek om mitigerende maatregelen te treffen. Op dit moment kunnen we echter niet anders dan concluderen dat de vastgestelde hoge risico’s onvoldoende worden weggenomen. Daarom adviseren we onze leden om Microsoft 365 Copilot vooralsnog niet te gebruiken. We blijven met Microsoft in gesprek en informeren onze leden zodra de situatie verandert. 

Volledig rapport en meer informatie   

De volledige bevindingen van het onderzoek vind je in de openbaar beschikbare Data Protection Impact Assessment (DPIA). Kijk voor meer informatie op vendorcompliance.surf.nl of neem contact op met ons team.