- Nieuws
- |
- 18 december 2024
SURF raadt gebruik van Microsoft 365 Copilot vooralsnog af vanwege privacyrisico’s
SURF adviseert onderwijs- en onderzoeksinstellingen om vooralsnog geen gebruik te maken van Microsoft 365 Copilot. Uit onderzoek blijkt namelijk dat er privacyrisico’s verbonden zijn aan het gebruik van de generatieve AI-tool. SURF heeft aangegeven in gesprek te blijven met Microsoft om deze risico's op te lossen, maar raadt op basis van bestaande risico's het gebruik vooralsnog af.
Door de redactie
SURF is de ict-coöperatie van Nederlandse onderwijs- en onderzoeksinstellingen in het hoger onderwijs. In 2024 voerde SURF Vendor Compliance samen met externe privacy-experts van Privacy Company, een Data Protection Impact Assessment (DPIA) uit op Microsoft 365 Copilot. Hierbij is gekeken naar gebruik van medewerkers en volwassen studenten omdat Microsoft de betaalde educatie licentie vooralsnog niet beschikbaar stelt voor minderjarigen. Hieruit kwamen een aantal privacyrisico’s naar voren voor gebruikers.
Vastgestelde privacyrisico’s
De risico’s hebben onder andere betrekking op een gebrek aan transparantie van Microsoft. Het is niet duidelijk welke persoonsgegevens Microsoft verzamelt en bewaart over het gebruik van Microsoft 365 Copilot. Verder zijn de gegevens die gebruikers ontvangen als zij een inzageverzoek doen onvolledig en onbegrijpelijk. Daarnaast is het aannemelijk dat Microsoft 365 Copilot onjuiste en onvolledige persoonsgegevens genereert en merken gebruikers niet dat ze met onjuiste gegevens werken omdat ze te veel vertrouwen op de generatieve AI-tool.
Advies: gebruik Copilot vooralsnog niet
SURF blijft met Microsoft in gesprek om mitigerende maatregelen te treffen. Op dit moment kan SURF echter niet anders dan concluderen dat de vastgestelde hoge risico’s onvoldoende worden weggenomen. Daarom adviseert SURF haar leden om Microsoft 365 Copilot vooralsnog niet te gebruiken. Kennisnet staat achter dit advies en raadt ook scholen in het po en vo aan om voorlopig geen gebruik te maken van Microsoft 365 Copilot. SURF blijft met Microsoft in gesprek en Kennisnet blijft dat volgen. Zo gauw de situatie verandert laten we dat weten.
Meer informatie
- De volledige bevindingen van het onderzoek zijn te vinden in de Data Protection Impact Assessment (DPIA) die door SURF openbaar is gemaakt.
- Bezoek vendorcompliance.surf.nl of neem contact op via vendorcompliance@surf.nl.