Nederlandse gemeenten krijgen strenge waarschuwingen over Microsoft 365 Copilot. Een vernieuwde notitie van de Informatiebeveiligingsdienst (IBD) van de Vereniging van Nederlandse Gemeenten (VNG) wijst op vier hoge risico’s die gemeenten moeten afwegen voordat ze de AI-tool inzetten.
De vernieuwde versie van de notitie, gepubliceerd op 12 augustus 2025, is tot stand gekomen na overleg tussen de IBD en Microsoft. Enkele nuances zijn aangebracht nadat Microsoft maatregelen heeft getroffen naar aanleiding van geconstateerde risico’s. Gesprekken tussen SLM Rijk en Microsoft over deze maatregelen lopen nog steeds.
Risico’s en overwegingen
De notitie van de Informatiebeveiligingsdienst richt zich op gemeentelijke organisaties die Microsoft 365 Copilot overwegen. Het document biedt geen officieel VNG-standpunt, maar dient als hulpmiddel voor gemeenten om risico’s in te schatten.
Microsoft 365 Copilot draait binnen de Microsoft data-omgeving van een organisatie en verzamelt gegevens om slimme oplossingen te genereren. De DPIA, uitgevoerd in opdracht van SLM Rijk, toont aan dat niet altijd duidelijk is in hoeverre de gegevensverwerkingen voldoen aan de AVG.
Een cruciaal aspect is dat interacties met Microsoft 365 Copilot worden opgeslagen, inclusief prompts en reacties. Gemeentelijke organisaties moeten zelf maatregelen nemen om de opslag van deze gegevens te beperken.
Vier hoge risico’s geïdentificeerd
De DPIA identificeert vier hoge risico’s bij het gebruik van Microsoft 365 Copilot door gemeenten. Het eerste risico betreft belemmeringen bij inzagerechten van gebruikers. Microsoft geeft incomplete resultaten terug over diagnostische data, ondanks dat beheerders toegang hebben tot content via Content Search of Microsoft Purview.
Het tweede risico draait om verlies van controle wanneer Microsoft 365 Copilot onjuiste persoonsgegevens genereert. Gebruikers merken vaak niet dat gegenereerde informatie incorrect is, wat leidt tot “overreliance on AI”. Microsoft plaatst weliswaar waarschuwingen onder antwoorden, maar voegt volgens de IBD te weinig frictie toe om gebruikers bewust te houden van de beperkingen.
Daarnaast kampt Microsoft met gebrek aan transparantie over welke persoonsgegevens het bedrijf verwerkt. De documentatie over Required Service Data biedt volgens de IBD ruimte voor verbetering. Het vierde risico betreft heridentificatie van pseudonieme data door lange bewaartermijnen van maximaal tien jaar plus 180 dagen.
Technische en organisatorische aanbevelingen
Voor gemeenten die Microsoft 365 Copilot willen gebruiken, formuleert de IBD concrete maatregelen. Op technisch niveau kunnen beheerders de toegang tot Bing uitschakelen, hoewel dit de kwaliteit van antwoorden beïnvloedt door mogelijk verouderde informatie.
Microsoft biedt standaard toegang tot consumentenversies van Microsoft 365 Copilot, zelfs bij geblokkeerde Enterprise Data Protection. Beheerders kunnen deze toegang centraal uitschakelen om ongewenste commerciële dataverwerking te voorkomen.
“Een goede informatiehuishouding is cruciaal voor waardevol en verantwoord gebruik van Microsoft 365 Copilot”, benadrukt de notitie. Documenten moeten actueel zijn en voorzien van passende labels en toegangsrechten. Het implementatieplan van Microsoft helpt gemeenten oversharing-risico’s beperken.
AI-geletterdheid essentieel
Op organisatorisch niveau moeten gemeenten investeren in AI-geletterdheid onder medewerkers. De IBD raadt aan duidelijke afspraken te maken over toegestane functionaliteiten en welke medewerkers de tool mogen gebruiken. Vooral werknemers die gevoelige persoonsgegevens verwerken, krijgen het advies Microsoft 365 Copilot te vermijden.
De Autoriteit Persoonsgegevens biedt met het document “Aan de slag met AI-geletterdheid” praktische voorbeelden voor organisaties. Regelmatige herhaling van boodschappen en actieve controle op naleving blijven volgens de IBD noodzakelijk.
Gemeenten zonder AI-beleid worden geadviseerd eerst een overkoepelend beleidskader te ontwikkelen. Verschillende gemeenten hebben al voorbeeldstukken gepubliceerd die als inspiratie kunnen dienen. De IBD-handreiking “AI en Algoritmen” biedt aanvullende ondersteuning bij beleidsontwikkeling.