Nieuws
image

SURF wijst onderwijsinstellingen op privacyrisico's Microsoft 365 Copilot

maandag 15 september 2025, 09:56 door Redactie, 7 reacties

Nederlandse onderwijs- en onderzoeksinstellingen moeten terughoudend zijn met het gebruik van Microsoft 365 Copilot, zo adviseert ict-samenwerkingsorganisatie SURF. Het advies volgt op een nieuwe Data Protection Impact Assessment (DPIA) op Microsofts chatbot. Afgelopen december publiceerde SURF de eerste DPIA op Microsoft 365 Copilot, waaruit vier hoge risico’s naar voren kwamen. Op basis daarvan kregen onderwijsinstellingen het advies om geen gebruik van Copilot te maken.

Van de vier eerder gevonden hoge risico's zijn er twee overgebleven die als ‘medium’ of ‘oranje’ zijn beoordeeld. Daarnaast zijn er nog negen 'low risk' problemen aanwezig. "Ondanks dat er verbeteringen zijn doorgevoerd in de AI-toepassing, zijn niet alle risico's overtuigend geadresseerd", aldus SURF. Deze twee resterende risico’s hebben betrekking op inaccurate (persoons)gegevens en de bewaartermijn van de diagnostische (persoons)gegevens over het gebruik van de dienst.

De aanpassingen die Microsoft de afgelopen maanden doorvoerde heeft ervoor gezorgd dat SURF het gebruik van Copilot door onderwijsinstellingen niet meer afraadt. "Maar gezien de nog aanwezige risico's raden we onderwijs- en onderzoeksinstellingen aan terughoudend om te gaan met de inzet van Copilot en weloverwogen per soort gebruik de risico's af te wegen." Verder wordt onderwijsinstellingen aangeraden om afspraken te maken over de inzet van AI en een AI-gebruiksbeleid te hanteren.

Tevens worden onderwijsorganisaties die Microsoft 365 Copilot beginnen te gebruiken opgeroepen om alle klachten over onnauwkeurige persoonlijke gegevens te melden. SURF zegt een vinger aan de pols te houden of Microsoft de toezeggingen over het aanpakken van de resterende privacyrisico's aanpakt en komt over zes maanden met een nieuwe afweging.

Reacties (7)
Reageer met quote
Vandaag, 10:16 door Anoniem
Als er geen SURF oid bestond zou Microsoft deze problemen dan laten voor wat ze zijn of zouden die dan evengoed opgelost worden?
Reageer met quote
Vandaag, 10:20 door Anoniem
Surf surft zo een open deur binnen. Dit is al een tijdje bekend. Je voert geen (gevoelige) persoonsgegevens in, in generatieve AI.
Reageer met quote
Vandaag, 10:33 door Anoniem
SURF wijst onderwijsinstellingen op privacyrisico's Microsoft 365 Copilot
Laat dat '365 copilot' maar gewoon weg...
Reageer met quote
Vandaag, 10:38 door Ewalt
Hoewel ik de overwegingen en waarschuwing van SURF begrijp, bewegen wij onze organisatie juist richting Copilot. We merken dat zolang het gebruik van AI vaag blijft, een hoge drempel heeft of zelfs verboden wordt, er overal data weglekt naar persoonlijke ChatGPT-accounts (of fantasievolle oplossingen).

Ik heb meer vertrouwen in de databeveiliging van Microsoft dan in die van individuele medewerkers binnen onze organisatie. Daarom publiceren wij deze week een herziening van ons AI-beleid en verwijzen we iedereen naar Copilot voor hun LLM-workflows. Het is niet perfect, maar we hebben dan wel inzicht in het gebruik en we houden de data (zo veel mogelijk) binnenboord.
Reageer met quote
Vandaag, 10:47 door Anoniem
SURF, dat zelf ("SURFspot") de MS vendor-lockin jarenlang heeft helpen faciliteren, effectief een pervasieve "Microsoft tax" opleggend aan iedereen in het hoger onderwijs? Tsja.

Het volgende geluid mag meer gehoord.

"Critics have already written thoroughly about the environmental harms, the reinforcement of bias and generation of racist output, the cognitive harms and AI supported suicides, the problems with consent and copyright, the way AI tech companies further the patterns of empire, how it’s a con that enables fraud and disinformation and harassment and surveillance, the exploitation of workers, as an excuse to fire workers and de-skill work, how they don’t actually reason and probability and association are inadequate to the goal of intelligence, how people think it makes them faster when it makes them slower, how it is inherently mediocre and fundamentally conservative, how it is at its core a fascist technology rooted in the ideology of supremacy, defined not by its technical features but by its political ones."

— https://anthonymoser.github.io/writing/ai/haterdom/2025/08/26/i-am-an-ai-hater.html
Reageer met quote
Vandaag, 10:58 door Anoniem
Door Ewalt: Hoewel ik de overwegingen en waarschuwing van SURF begrijp, bewegen wij onze organisatie juist richting Copilot. We merken dat zolang het gebruik van AI vaag blijft, een hoge drempel heeft of zelfs verboden wordt, er overal data weglekt naar persoonlijke ChatGPT-accounts (of fantasievolle oplossingen).

Ik heb meer vertrouwen in de databeveiliging van Microsoft dan in die van individuele medewerkers binnen onze organisatie. Daarom publiceren wij deze week een herziening van ons AI-beleid en verwijzen we iedereen naar Copilot voor hun LLM-workflows. Het is niet perfect, maar we hebben dan wel inzicht in het gebruik en we houden de data (zo veel mogelijk) binnenboord.
Precies, zo zitten wij er ook in. Bovendien hebben de meeste bezwaren te maken met het niet toepassen van de juiste beveiligingsmaatregelen. Als deze worden toegepast verdwijnen vrijwel alle privacy bezwaren als sneeuw voor de zon. Aan de andere kant moet je je ook afvragen dat als jet gebruik van het veiligere Co-Pilot verbied of mensen dan idd naar de alternatieven op zoek gaan, met alle gevolgen van dien. Privacy is een groot goed maar vasthouden aan onhoudbare principes kan een veel groter risico vormen voor de privacy dan het gebruik van Co-Pilot toestaan onder strikte voorwaarden. Uiteraard zullen er mensen zijn die zich daar niet aan zullen houden maar het risico met Co-Pilot is dan toch veel kleiner dan bij het gebruik van allerlei 'gratis' online alternatieven. Een lokale, on-premise, LLM is ook te overwegen maar als je deze wilt aanbieden voor een beetje organisatie kost deze je tonnen aan rekencapaciteit, wat je er nooit uit gaat halen qua ROI. Hybride kan ook maar dat hangt dan weer van het hostingplatform af en de gebruikte LLM of die wel aan de privacy en beveiligingsvoorwaarden voldoen.
Reageer met quote
Vandaag, 11:00 door Anoniem
Door Anoniem: Als er geen SURF oid bestond zou Microsoft deze problemen dan laten voor wat ze zijn of zouden die dan evengoed opgelost worden?
Microsoft houdt graag "het onderwijs" te vriend: Stel je voor dat scholieren en studenten even goed leren om te gaan met Linux en Libre Office als met de Microsoftproducten en daarna bij hun werkgever gaan kijken naar prijs/kwaliteit verhoudingen.
En met name de Overheid is ook een goede klant van Microsoft.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Zoeken
search
Certified Secure