De eerste DPIA
Op 17 december vorig jaar is de openbare versie van de DPIA die Privacy Company in
opdracht van SLM Rijk heeft uitgevoerd op Copilot gepubliceerd. In deze DPIA worden de risico ’s van het gebruik van Copilot in kaart gebracht . In een blog hebben wij daar toen aandacht aan besteed. De uitkomst was dat er 4 hoge en 6 lage privacy risico’s zijn bij het gebruik van Copilot. Ik sta hier alleen stil bij de hoge risico’s, de 6 lage risico’s kun je lezen in de DPIA zelf.
Drie van de vier hoge risico’s hebben betrekking op een gebrek aan transparant ie over de verzameling van vereiste servicegegevens ( de zogenaamde Required Service Data). Dit zijn de minimale gegevens die nodig zijn om een dienst of service correct te laten functioneren.
Volgens Microsoft omvatten deze bij Copilot onder andere:
• Gebruikersgegevens: Identificatiegegevens zoals je account -ID en licentie -informatie.
• Apparaat – en softwaregegevens: Besturingssysteem, applicatieversie en instellingen.
• Interactiegegevens: Hoe je Copilot gebruikt, zoals welke functies je inschakelt.
• Diagnostische gegevens: Fouten, crashes en prestatiegegevens.
• Servicecommunicatie: Logbestanden over hoe Copilot met andere Microsoft -diensten
communiceert.
Het vierde hoge risico is het risico dat zich bij alle LLM’s (Large Language Model) voordoet: het risico van onjuiste en onvolledige persoonsgegevens in de gegenereerde antwoorden.
In de DPIA werden de volgende risico’s voor privacy geïdentificeerd.
1. De rechten van de betrokkene, waaronder het inzagerecht op de vereiste
servicegegevens is onvoldoende. Inzageverzoeken leverden geen duidelijke
antwoorden op.
2. Verlies van controle over persoonsgegevens doordat transparantie over de vereiste
servicedata ontbreekt.
3. Het risico op heridentificatie van gepseudonimiseerde gegevens door onbekende
bewaartermijnen van de vereiste servicedata.
4. Economische of sociale nadelen door het gebruik van gegenereerde teksten met
onjuiste persoonsgegevens.
Naar aanleiding van deze DPIA adviseerde SLM Rijk Copilot nog niet breed te gaan
gebruiken.
Update van de DPIA : van rode naar oranje vlag
In september 2025 heeft Privacy Compan y de DPIA geüpdate en de uitkomsten daarvan openbaar gemaakt .
Uit de update blijkt dat Microsoft een aantal verbeteringen heeft doorgevoerd die de risico’s hebben verkleind:
•De diagnostische service ‐data (Diagnostic Service Data) krijgt een minimum
bewaartermijn van 18 maanden , met mogelijkheden voor verwijdering na die periode
via instelbare instellingen.
• Transparantie bij verzoeken om persoonsgegevens (“DSARs”) is verbeterd, deze zijn
nu begrijpelijker en bruikbaarder.
• Meer duidelijkheid en documentatie over welke data ‐categorieën worden gebruikt,
voor welk doel, hoe lang, in welke context.
• Gegevens blijven binnen de EU/EFTA (“EU Data Boundary”) – inclusief log ‐ en
supportbestanden – in de relevante fase is dit gerealiseerd.
Twee risico’s zijn nog steeds aanwezig en worden beoordeeld als “medium”:
1. Onnauwkeurige of onvolledige persoonsgegeven s
Copilot kan nog steeds informatie genereren die niet klopt of onvolledig is, met
mogelijk schade voor privacy van betrokkenen.
2. Bewaartermijn van diagnostische gegevens/ her-identificatie
Er geldt een bewaartermijn van 18 maanden voor diagnostische data. Na die periode
is volgens de update de mogelijkheid van her -identificatie nog niet volledig
uitgesloten
Adviezen voor verantwoord gebruik
Er zijn dus geen dermate hoge risico ’s meer dat het gebruik van Copilot wordt ontraden.
SLM Rijk geeft wel een aantal adviezen voor verantwoord gebruik binnen de organisatie .
De belangrijkste daarvan zijn:
• Maak een AI-beleid en communiceer dit in de organisatie
• Besteed specifieke aandacht aan autorisatiebeheer en aan het ontwikkelen en
implementeren van een AI-gebruiksbeleid.
• Maak gebruik van afgebakende pilots met sandboxes of gefaseerde uitrol om
ervaring op te doen met de technologie.
• Voorkom de verwerking van bijzondere persoonsgegevens.
• Beoordeel afhankelijk van het gebruik, of een aanvullende DPIA noodzakelijk is
