Surf geeft een negatief advies voor Microsoft 365 Copilot. De ict-dienstverlener ziet in het gebruik van de generatieve ai-tool voorlopig vier grote privacyrisico’s die Microsoft weigert op te heffen. De leverancier wordt bovendien een gebrek aan transparantie verweten.
Het is Surf niet duidelijk welke persoonsgegevens Microsoft verzamelt en bewaart over het gebruik van Microsoft 365 Copilot. Verder zijn de gegevens die gebruikers ontvangen als zij een inzageverzoek doen onvolledig en onbegrijpelijk. Daarnaast is het aannemelijk dat de ai-tool onvolledige persoonsgegevens genereert, en merken gebruikers in al hun vertrouwen niet dat ze met onjuiste gegevens werken.
Surf hoopte Microsoft tot meer transparantie te bewegen. Omdat de vastgestelde hoge risico’s vooralsnog onvoldoende zijn weggenomen, blijft de ict-coöperatie van Nederlandse onderwijs- en onderzoeksinstellingen hierover in gesprek met Microsoft. Als Microsoft passende maatregelen neemt om de vier risico’s uit de hoogste categorie te verzachten, trekt Surf het negatieve advies in.
Eerder dit jaar voerde Surf samen met externe privacy-experts een DPIA uit ter beoordeling van de effecten op de bescherming van persoonsgegevens. Surf heeft de bevindingen openbaar gemaakt in een 213 pagina’s tellend document dat inzicht biedt in de privacyrisico’s van deze tool. Naast de vier grote risico’s ontdekten de onderzoekers nog zeven groepen van kleinere risico’s. Onderzocht is de betaalde versie van Microsoft 365 Copilot zoals die voor het onderwijs onder licentie verkrijgbaar is. Alleen meerderjarigen kunnen deze licentie gebruiken. Copilot werd getest op Word, Excel, PowerPoint en Outlook. Copilot genereert antwoorden gebaseerd op informatie in OpenAI’s grote taalmodel.
