SURF raadt onderwijs- en onderzoeksinstellingen aan voorzichtig te blijven bij het gebruik van Microsoft 365 Copilot. Dat meldt SURF op basis van de tweede update van de Data Protection Impact Assessment (DPIA), uitgevoerd door Privacy Company.
Microsoft heeft sinds de eerste DPIA in december 2024 verbeteringen doorgevoerd, maar twee middelgrote risico’s zijn nog steeds niet afdoende opgelost. SURF classificeert deze als ‘oranje’.
Twee openstaande risico’s
Het eerste risico betreft het zogeheten ‘Workplace Harms’-filter dat Microsoft 365 Copilot automatisch toepast op invoer en uitvoer. Dit filter is bedoeld om te voorkomen dat de AI-assistent oordelen velt over medewerkers op basis van gedrag of persoonlijke kenmerken. Microsoft maakt de gehanteerde normen en drempels niet openbaar, en organisaties kunnen het filter niet aanpassen of uitschakelen. Gebruikers kunnen bovendien niet zien of en wanneer het filter is ingegrepen.
Het tweede risico gaat over bewaartermijnen. Microsoft bewaart bepaalde diagnostische en telemetriegegevens tot achttien maanden. Hoewel deze gegevens gepseudonimiseerd zijn, onderbouwt Microsoft onvoldoende waarom die termijn noodzakelijk is. Daarmee blijft het risico bestaan dat gegevens toch naar individuen te herleiden zijn.
Op 31 maart 2026 gaf Microsoft een definitieve reactie op beide kwesties. Die reactie leidde niet tot een aangepaste beoordeling.
Nieuw laag risico rond flex routing
In maart 2026 introduceerde Microsoft ‘flex routing’, waarmee gegevensoverdracht buiten de EU-gegevensgrens voor nieuwe tenants mogelijk werd. SURF heeft geverifieerd dat bestaande onderwijsklanten niet zijn omgezet naar deze instelling. Nieuwe klanten kunnen de overdracht uitschakelen. SURF voegt dit toe als een tiende, laag risico aan de beoordeling.
Advies voor scholen
Scholen en instellingen blijven zelf verantwoordelijk voor de keuze welke applicaties ze gebruiken en onder welke voorwaarden. Wie de twee oranje risico’s accepteert, wordt sterk aangeraden een beleid voor verantwoord AI-gebruik vast te stellen.
Het volledige DPIA-rapport is beschikbaar via surf.nl.
