Downloads
Blog
Wie we zijn
Onze klanten
Neem contact op
Software
Advies
Training en E-learning

Update DPIA op Microsoft 365 Copilot voor het onderwijs: seinen op oranje

September 15, 2025
Blog overview
/
Update DPIA op Microsoft 365 Copilot voor het onderwijs: seinen op oranje
Privacy Company heeft een update DPIA uitgevoerd voor SURF op Microsoft 365 Copilot, de generatieve AI-tool die is geïntegreerd in de Microsoft Office 365 Suite. SURF is de ict-coöperatie van onderwijs en onderzoek. De DPIA is beperkt tot de betaalde Education-licenties die Copilot ook inzage geven in interne documenten op SharePoint, OneDrive en Exchange Online (te bestellen als M365 Copilot Edu Sub Add-on). Uit de update blijkt dat Microsoft maatregelen heeft genomen om de vier eerder geïdentificeerde hoge gegevensbeschermingsrisico's te verminderen, maar nog niet voor alle risico's groen licht krijgt.

Uitkomsten Update DPIA: 2 medium en 9 lage gegevensbeschermingsrisico's

Microsoft heeft maatregelen genomen of aangekondigd om de 4 eerder geïdentificeerde hoge risico's te verlagen. Twee risico's worden nu beoordeeld als medium/oranje in plaats van hoog/rood. Deze risico’s gaan over de verwerking van mogelijk onjuiste en onvolledige persoonsgegevens in de gegenereerde antwoorden, en op de algemene bewaartermijn van 18 maanden voor de gepseudonimiseerde vereiste servicegegevens en telemetriegegevens.

Advies SURF: Terughoudend omgaan met inzet en weloverwogen gebruik afwegen

Dit resultaat betekent dat onderwijsinstellingen beperkt gebruik van de dienst kunnen overwegen. Ze moeten wel eerst veel voorzorgsmaatregelen nemen. De risicobeperkende maatregelen van Microsoft zijn nog niet voldoende, of kunnen nog niet worden geverifieerd, om twee van de voormalige hoge risico's als laag te beoordelen, en de andere ‘lage’ risico's zijn alleen laag als de onderwijsinstellingen de aanbevolen maatregelen nemen. Bij gebrek aan meer informatie en opties om de RAI-filtering (zowel tegen schadelijke inhoud als het nieuwe filter tegen schade op de werkplek) uit te schakelen of aan te passen, en in afwachting van de door Microsoft aangekondigde verbeteringen aan de gebruikersinterface, worden deze twee risico's als medium beoordeeld.

Nieuwe beoordeling na een half jaar

SURF streeft ernaar om over een half jaar een nieuwe beoordeling uit te voeren, zodra Microsoft de aangekondigde maatregelen heeft geïmplementeerd. In afwachting van de uitkomsten van de voortdurende dialoog met Microsoft moeten onderwijsinstellingen er rekening mee houden dat de gemiddelde risico's opnieuw als hoog kunnen worden beoordeeld, als Microsoft onvoldoende risicobeperkende maatregelen neemt.

Maatregelen die onderwijsinstellingen moeten nemen

SURF roept onderwijsinstellingen die Microsoft 365 Copilot gaan gebruiken op om een kopie te delen van alle klachten over onjuiste persoonsgegevens, inclusief klachten over onjuiste filtering van gegevens. Deze beoordeling met twee oranje lichten legt een zware verantwoordelijkheid bij de onderwijsinstellingen om te beoordelen voor welke werk- en leertaken zij het gebruik van Copilot kunnen toestaan zonder onaanvaardbare risico's voor de gegevensbescherming te veroorzaken. Zij moeten onder meer een duidelijk beleid opstellen over het gebruik van generatieve AI, de aanbevelingen voor privacyvriendelijke instellingen opvolgen (waaronder het blokkeren van de inzage in Bing) en de kwaliteit van het met Copilot gegenereerde werk nauwlettend controleren. De volledige lijst maatregelen staat in de onderstaande tabel.

Privacy Company publiceert deze blog over de bevindingen met toestemming van SURF. Zie het persbericht, Update DPIA, en de oorspronkelijke DPIA van 17 december 2024 op de website van SURF.

Download
Sjoera
Adviseur
Den Haag
Maanweg 174
2516 AB Den Haag
+31 708209690
info@privacycompany.nl
Berlijn
Friedrichstrasse 68
1017 Berlijn
+49 16098404354
info@privacycompany.nl
© Privacy Company
ImpressumPrivacyverklaringCookieverklaring