Op 24 februari jl. kopte de VNG groot “gemeenten heroveroverwegen inzet Microsoft Copilot”. Bij nader inzien bleek het artikel alleen te gaan over de gemeente Amsterdam. Zij hebben besloten om een voorgenomen pilot met Copilot niet te gaan starten. Daarbij moest het de eerdere versie van het artikel ook nog een gerectificeerd worden omdat daar in stond dat de gemeente was gestopt met een pilot. Het ging dus alleen om een voornemen. Wat exact de pilot was, valt helaas niet op te maken uit de reactie die de gemeente Amsterdam in het artikel geeft. In ieder geval zorgde dit bericht weer voor hernieuwde aandacht voor de privacy risico’s die al in december vorig jaar gesignaleerd waren in een DPIA voor Copilot.
In opdracht van SLM Rijk heeft de Privacy Company een DPIA uitgevoerd op Microsoft 365 Copilot. De openbare versie daarvan is op 17 december jl. gepubliceerd. Voor alle duidelijkheid: de DPIA en daarmee deze blog gaat alleen over de privacy risico’s, niet over de risico’s van het delen van bedrijfsgevoelige of – geheime informatie.
Zoals bekend is Copilot een generatieve AI-dienst van Microsoft. Copilot kan onder andere helpen bij het maken van samenvattingen, teksten, gesprekken en berekeningen in de belangrijkste applicaties van Microsoft: Word, Excel, PowerPoint, Outlook en Teams. Microsoft Enterprise-gebruikers worden sinds half september vorig jaar automatisch ingelogd op Copilot. De DPIA is uitgevoerd op de betaalde Enterprise- licentie.
Het belangrijkste verschil met de gratis versies van Copilot en met de Enterprise versie met Data Protection is dat de betaalde Enterprise licentie toegang heeft tot zogenaamde Graph-informatie. Met Graph kan Copilot relevante informatie ophalen uit jouw werkcontext, zoals:
Recente documenten waarmee je hebt gewerkt
E-mails of chats die betrekking hebben op een project
Agenda-afspraken en vergadernotities
Organisatiestructuur en collega's waarmee je samenwerkt
Copilot gebruikt Microsoft Graph om:
Contextuele antwoorden te geven: Bijvoorbeeld, als je vraagt: "Wat waren de actiepunten uit mijn laatste vergadering?", kan Copilot notities ophalen uit je Teams-vergadering.
Bestanden en documenten te vinden: Bijvoorbeeld, als je vraagt: "Laat me de nieuwste versie van het marketingplan zien," kan Copilot de juiste OneDrive- of SharePoint-bestanden tonen.
E-mails en gesprekken te samenvatten: Copilot kan een overzicht geven van recente e-mails of Teams-chats over een specifiek onderwerp.
Zowel de gratis als de betaalde versies van Copilot genereren antwoorden op basis van informatie uit het OpenAI Large Language Model (LLM) en de op Bing gebaseerde webchat.
De uitkomst van deze DPIA is dat er 4 hoge en 6 lage privacy risico’s zijn bij het gebruik van Copilot. Ik sta hier alleen stil bij de hoge risico’s , de 6 lage risico’s kun je lezen in de DPIA zelf.
Drie van de vier hoge risico’s hebben betrekking op een gebrek aan transparantie over de verzameling van vereiste servicegegevens (de zogenaamde Required Service Data). Dit zijn de minimale gegevens die nodig zijn om een dienst of service correct te laten functioneren. Volgens Microsoft omvatten deze bij Copilot onder andere:
Gebruikersgegevens: Identificatiegegevens zoals je account-ID en licentie-informatie.
Apparaat- en softwaregegevens: Besturingssysteem, applicatieversie en instellingen.
Interactiegegevens: Hoe je Copilot gebruikt, zoals welke functies je inschakelt.
Diagnostische gegevens: Fouten, crashes en prestatiegegevens.
Servicecommunicatie: Logbestanden over hoe Copilot met andere Microsoft-diensten communiceert.
Het vierde hoge risico is het risico dat zich bij alle LLM’s voordoet: het risico van onjuiste en onvolledige persoonsgegevens in de gegenereerde antwoorden.
In de DPIA worden de volgende risico’s voor privacy geïdentificeerd.
De rechten van de betrokkene, waaronder het inzagerecht op de vereiste service gegevens is onvoldoende. Inzageverzoeken leverden geen duidelijke antwoorden op.
Verlies van controle over persoonsgegevens doordat transparantie over de vereiste servicedata ontbreekt.
Het risico op heridentificatie van gepseudonimiseerde gegevens door onbekende bewaartermijnen van de vereiste servicedata.
Economische of sociale nadelen door het gebruik van gegenereerde teksten met onjuiste persoonsgegevens.
In de overeenkomst die de Nederlandse overheid heeft met Microsoft is vastgelegd dat Microsoft voor de persoonsgegevens die zij verwerkt, de rol van verwerker heeft. Uit deze DPIA blijkt dus dat Microsoft eigenstandig gegevens verwerkt buiten de instructies van de verwerkingsverantwoordelijke en daar niet transparant over is. Daarbij is de verwerking niet verenigbaar met de doeleinden waarvoor overheidsorganisaties Microsoft toestaan persoonsgegevens te verzamelen.
SLM Rijk en de IBD (InformatieBeveiligingsDienst van de VNG) adviseren daarom om Copilot niet te gebruiken zolang Microsoft de vier hoge risico’s niet heeft gemitigeerd. Vorig jaar december adviseerde Surf (de ict-coöperatie van onderwijs en onderzoek) ook al aan haar leden om Copilot voorlopig niet te gebruiken.
SLM Rijk is overigens sinds januari in overleg met Microsoft over het mitigeren van de 4 hoge risico’s.
Beide partijen geven een advies, het is natuurlijk aan organisaties zelf om op basis van de risico’s uit de DPIA een afweging te maken om Copilot al dan niet te gebruiken.
