SURF houdt Microsoft Copilot in de gaten: Risico blijft oranje
Nederlandse onderwijs- en onderzoeksinstellingen moeten voorzichtig blijven bij het gebruik van de AI-assistent Microsoft 365 Copilot. Ondanks recente verbeteringen door de Amerikaanse techgigant zijn twee privacyrisico’s nog altijd onvoldoende weggenomen. Dat blijkt uit de tweede update van de Data Protection Impact Assessment (DPIA), die in opdracht van de ICT-coöperatie SURF is uitgevoerd door Privacy Company.
De status van de risico's blijft daardoor op 'oranje' (gemiddeld) staan. Omdat Microsoft op 31 maart jl. heeft laten weten geen verdere stappen te ondernemen, is de privacybeoordeling hiermee definitief afgerond. Het is nu aan de instellingen zelf om te beslissen of zij de resterende risico's accepteren.
Filters en langdurige databeheer
De aanhoudende privacyzorgen concentreren zich rond twee specifieke kwesties. Ten eerste maakt SURF zich zorgen over het zogeheten Workplace Harms-filter dat Microsoft automatisch toepast op de invoer en uitvoer van de AI-assistent. Dit filter moet voorkomen dat de AI oordelen velt over werknemers op basis van hun gedrag of persoonlijke kenmerken. Microsoft houdt de criteria en culturele normen achter dit filter echter geheim, en organisaties kunnen de functie niet aanpassen of uitschakelen. Omdat een duidelijke, neutrale melding ontbreekt wanneer het filter ingrijpt, kunnen gebruikers niet controleren of een weigering van de AI terecht was.
Het tweede pijnpunt is de bewaartermijn van diagnostische en telemetriegegevens. Microsoft bewaart deze gepseudonimiseerde data tot wel 18 maanden. Volgens de DPIA legt het techbedrijf niet goed uit waarom deze lange termijn noodzakelijk is en wanneer gegevens eventueel eerder worden gewist. Dit vergroot het risico dat data alsnog herleidbaar is tot individuele personen.
Nieuw risico door data-routing
Naast de twee bekende oranje risico's is er in maart van dit jaar een nieuw, laag privacyrisico (geclassificeerd als groen) bijgekomen. Microsoft introduceerde toen flex routing voor het dataverkeer. Hierdoor kan data van nieuwe gebruikers buiten de Europese privacygrenzen worden getransporteerd.
SURF heeft vastgesteld dat de instellingen voor bestaande onderwijsklanten — waarbij data strikt binnen de EU wordt verwerkt — niet zijn aangepast. Omdat nieuwe onderwijsklanten deze buitenlandse gegevensoverdracht handmatig kunnen uitschakelen, blijft de impact hiervan beperkt.
Eigen verantwoordelijkheid en vendor lock-in
SURF benadrukt dat onderwijsinstellingen zelf de wettelijke verantwoordelijkheid dragen voor de privacyrisico's die zij accepteren. Als een universiteit of hogeschool besluit met Copilot te blijven werken, adviseert de coöperatie dringend om een strikt beleid voor verantwoord AI-gebruik op te stellen.
De kwestie raakt bovendien aan een bredere discussie over afhankelijkheid. In haar overkoepelende Cloud Sourcing Strategy wijst SURF op de risico's van een vendor lock-in bij Amerikaanse techreuzen en de dynamische geopolitieke relatie met de Verenigde Staten. De coöperatie blijft de markt nauwgezet monitoren om instellingen te helpen de controle over hun eigen data te behouden.
Meer over ai
Over Witold Kepinski
