De impact van Microsoft 365 Copilot: navigeer door veiligheid, compliance en ethiek 

Door /

Door: René van der Vlugt Gepubliceerd op: 25 maart 2024

Microsoft 365 Copilot heeft de mogelijkheid om de moderne werkplek drastisch te veranderen en medewerkers te helpen slimmer, productiever en creatiever te laten werken. De vraag is echter voor veel organisatie hoe je de balans vindt tussen een optimale gebruikerservaring en maximale regie over de digitale werkplek. In dit artikel duiken we dieper in de impact van Microsoft 365 Copilot op security, compliance en ethiek. Wat doet Microsoft om deze complexe vraagstukken het hoofd te bieden? En welke keuzes kun je zelf maken? Dat lees je in dit artikel. 

We vallen maar met de deur in huis: we raden je af om van het gebruik van Microsoft 365 Copilot te verbieden. Waarom? Omdat dit waarschijnlijk leidt tot schaduw-AI in je organisatie. Daar heb je totaal geen controle over en het gevaar bestaat dat gevoelige informatie straks voor iedere gebruiker van ChatGPT (of een andere openbare AI-tool) toegankelijk is. 

Laten we daaraan toevoegen dat we nog lang niet alle aspecten kennen van het gebruik van Microsoft 365 Copilot en andere AI-oplossingen. Dat zorgt uiteraard voor discussie binnen organisaties. AI is een onderwerp waar complexe disciplines als security, compliance en ethiek samenkomen. Het is bijna een soort Bermudadriehoek waar beslissingen niet genomen worden. Toch stelt Microsoft alles in het werk om Microsoft 365 Copilot veilig, compliant en toegankelijk te maken voor iedere organisatie. Hoe? Dat leggen we je kort uit per onderwerp. 

Security

Microsoft hanteert bij alle technologie het zogenoemde zero-trust principe. Dit is een beveiligingsmodel om je effectief aan te passen aan de complexe moderne digitale omgeving. Het principe omarmt de hybride werkplek, maar zorgt ook voor bescherming van mensen, apparaten, applicaties en gegevens. Het principe bestaat uit drie richtlijnen die ook bij Microsoft 365 Copilot worden toegepast. 

  1. Beperk toegang tot een minimum: geef gebruikers alleen toegang tot de informatie die ze daadwerkelijk nodig hebben, om hun dagelijkse werkzaamheden uit te voeren en op het moment dat zij dat nodig hebben. 
  1. Ga uit van een lek: Minimaliseer de gevolgen en de toegang tot gegevens en gebruik analyses om inzicht te krijgen, bedreigingen te detecteren en je te verdedigen tegen kwaadwillenden. 
  1. Altijd verifiëren: zorg ervoor dat gebruikers zich altijd op meerdere manieren moeten of kunnen identificeren op basis van identiteit, locatie, apparaatstatus, et cetera. 

Zero-trust geeft richting aan jouw securitybeleid. Onthoud: Microsoft 365 Copilot erft de huidige securityinstellingen van jouw digitale werkplek. Later geven we je een aantal uitgangsprincipes. 

Ethiek

Microsoft heeft zelf een Responsible AI Standard ontwikkeld. Dit is een framework waarop Microsoft 365 Copilot en andere AI-toepassingen zijn ontwikkeld volgens zes principes: 

  • Eerlijkheid: AI moet vooroordelen elimineren, zodat alle gebruikers gelijk worden behandeld. 
  • Betrouwbaarheid en veiligheid: Om vertrouwen te bouwen, is het essentieel dat AI-systemen betrouwbaar, veilig en consistent werken. 
  • Privacy en veiligheid: AI vereist transparantie over het verzamelen, gebruiken en opslaan van gegevens.  
  • Inclusiviteit: AI-tools zijn ontworpen om toegankelijk en nuttig te zijn voor iedereen, ongeacht fysieke mogelijkheden, geslacht of etniciteit. 
  • Transparantie: Wanneer AI-systemen helpen beslissingen nemen die enorme gevolgen hebben voor het leven van mensen, is het essentieel dat mensen begrijpen hoe deze beslissingen tot stand zijn gekomen. 
  • Verantwoordelijkheid: Ethische en juridische normen staan voorop, waarbij AI-ontwikkelaars en -ontwerpers verantwoordelijk worden gehouden voor hun creaties. 

Dit ethisch kader kan een goed startpunt zijn voor je organisatie om het eigen ethisch beleid dat je hebt ontwikkeld te toetsen. Daarover verderop in dit artikel meer. 

Compliance

Compliance is momenteel de meest besproken kwestie bij Microsoft 365 Copilot. Dat heeft vooral te maken met de AVG én de AI Act, die recent is goedgekeurd door het Europees Parlement. Voldoet Microsoft 365 Copilot aan de AVG? Ja, Microsoft heeft onlangs verklaard dat het systeem voldoet aan alle AVG-richtlijnen. Dat betekent echter niet dat je als eindgebruikers geen document met persoonlijke gegevens in Microsoft 365 Copilot kan zetten. De ethisch vraag is in welke mate Microsoft of de gebruiker verantwoordelijk is voor het naleven van de AVG.  

Daarnaast is er nog de vraag welk risicoprofiel van de AI Act van toepassing is op Microsoft 365 Copilot: onaanvaardbaar, hoog, beperkt of minimaal risico. Wij vermoeden dat Microsoft 365 Copilot behoort tot de categorie van beperkt risico. Wat dat in de praktijk betekent voor Microsoft en jouw organisatie, is echter nog niet altijd bekend. 

Aanbevelingen

Duidelijk is dat Microsoft bij de ontwikkeling van 365 Copilot goed heeft nagedacht over complexe vraagstukken. Toch is er nog veel ruimte voor discussie, omdat de technologie volop in ontwikkeling is. En dat blijft voorlopig! Daarom is het goed om als organisatie zelf ook te zoeken naar oplossingen. Om progressie te boeken en te zorgen dat je als organisatie verder kunt, geven we je een aantal tips en laten je zien hoe je binnen Microsoft 365 Copilot zelf de regie kan houden met slimme tooling. 

1. Jouw data is (en blijft) jouw data

Je bent binnen Microsoft 365 Copilot altijd zelf in controle over je data. Dat wil zeggen dat je zelf bepaalt welke informatie waar staat en welke data je indexeert voor gebruik in Copilot. Inmiddels kun je in SharePoint bepalen welke informatie wel of niet geïndexeerd kan worden door gebruik te maken van Sharepoint Restricted Search. 

Denk daarnaast na over het gebruik van Microsoft 365 Purview. Daarin kun je onder andere met vertrouwelijkheid labels werken. Stel dat je een document voorziet van het label ‘zeer vertrouwelijk’, dan neemt Copilot dat label over. Als je dus met dat document nieuwe content ontwikkelt, wordt die content ook als ‘zeer vertrouwelijk’ geclassificeerd en zien gebruikers dat ook direct. Bekijk in deze korte video hoe dat in de praktijk werkt. 

2. Wat een gebruiker ziet, kan Copilot gebruiken

De toegang tot informatie moet goed geregeld worden. Als iedereen in je organisatie namelijk toegang heeft tot alle informatie, dan kan dat ook in Copilot gebruikt worden voor iedereen. In de meeste organisaties is dat een onwenselijke situatie. Denk daarom goed na over een duidelijke structuur binnen Microsoft 365 voor het verzamelen en delen van persoonlijke informatie. Gebruik bijvoorbeeld OneDrive alleen als persoonlijk domein voor gebruikers en Teams als domein voor samenwerking en het delen van informatie met teams of afdelingen. Je bepaalt dus als gebruiker zelf met wie je iets deelt via OneDrive en met wie je samenwerkt in Teams (door toegang te beperken). 

3. Denk zelf na over ethische kwesties

Zet ethische vragen over AI voor je organisatie op een rij en bepaal zelf hoe je daarmee om wilt gaan. Hiermee voorkom je dat je pas tijdens het gebruik van Microsoft 365 Copilot na gaat denken over ethische kwesties. Enkele suggesties: 

  1. Menselijke maat: Is de mens altijd eindverantwoordelijk voor dat wat AI genereert. Is dat haalbaar?  
  1. Transparantie: Hoe creëer je in- en extern transparantie over AI. Als je bijvoorbeeld binnen een contact center AI gaat gebruiken om antwoorden te genereren. Weten medewerkers hoe die antwoorden tot stand komen? Hoe controleren zij de volledigheid en correctheid? En hoe communiceer je daarover naar je klanten? 
  1. Impact op werkgelegenheid: Hoe ga je als organisatie om met baanzekerheid? Welke impact heeft het gebruik van Microsoft 365 Copilot op het werk van mensen? Als taken overbodig worden, hoe ga je daarmee om? 
  1. Inclusiviteit: Kan iedereen overweg met Microsoft 365 Copilot of ontstaat er een digitale kloof? Hoe ga je daarmee om? Wie laat je wel of niet met AI werken? Bepaal je dat per rol of taak? 

4. Jouw data blijft binnen de Europese grenzen

Copilot maakt gebruik van de huidige Service Boundaries van Microsoft 365 voor ‘data at rest’ en ‘data in transit’. Jouw data die opgeslagen staat in de cloud, blijft altijd binnen de EU datacenter service boundaries. De enige uitzondering is als je webgrounding gebruikt, om gegenereerde antwoorden te verrijken met informatie uit de Bing Search Engine. Deze functionaliteit kun je zelf aan of uitzetten in Microsoft 365 Copilot. Mocht je het willen gebruiken: Copilot gebruikt alleen externe informatie als de AI denkt dat het daarmee een beter antwoord kan genereren. 

5. Bescherming van copyright

Microsoft garandeert dat je beschermd bent voor copyright claims. Als je eigen content gebruikt om nieuwe content te genereren, zit er automatisch copyright op. Microsoft gaat daarbij altijd uit van behoorlijk gebruik. Hetzelfde geldt voor externe bronnen waarvan je het copyright hebt afgekocht. Denk aan het Wetboek van Strafrecht of het Burgerlijk Wetboek. Ook daar verbindt Microsoft 365 Copilot automatisch copyright aan bij gegenereerde content. 

6. Behoud regie bij onboarding

Ga bij de onboarding per groep na wat het risicoprofiel is als zij toegang krijgen tot Microsoft 365 Copilot. Met welke data werken zij primair? Welke risico’s loop je doordat zij werken met AI? Zo werkt je HR-afdeling waarschijnlijk met veel meer privacygevoelige informatie dan een afdeling communicatie. Dit helpt je in je afweging met welke groepen je de proef met AI start en welke afdelingen later pas in aanmerking komen.  

Daarnaast is het verstandig om tijdens de onboarding medewerkers als bewust te maken waar ze informatie opslaan, hoe ze toegang regelen en hoe ze daar zicht op houden. Geef ze bovendien de ethische kaders mee die je eerder hebt bepaald (zie punt 3). Door transparant te zijn over deze zaken, creëer je meer verantwoordelijkheid en bewustzijn binnen je organisatie. 

Tot slot

Security, compliance en ethiek zijn onherroepelijk met elkaar verbonden als het gaat om Microsoft 365 Copilot. Dat kan zorgen voor veel discussie en mogelijk ook besluiteloosheid. Dat kun je voorkomen door zelf goed na te denken over cruciale vraagstukken en te kijken naar oplossingen die Microsoft biedt. We hopen dat aanbevelingen je op weg hebben geholpen. 

Zelf aan de slag?

Met het Microsoft 365 Copilot Kickstart Programma van Adoptify bieden we een op maat gemaakte pilot die perfect is afgestemd op de specifieke behoeften van jouw organisatie, en dat al vanaf 10 licenties. Het programma van 10 weken is ontworpen om inzicht te verwerven, te experimenteren, te leren en te onderzoeken hoe de randvoorwaarden voor effectief en veilig gebruik binnen jouw organisatie kunnen worden ingeregeld.

Ja, ik wil aan de slag met Copilot
Scroll naar boven