VNG: Gemeenten moeten voorzichtig zijn met Microsoft 365 Copilot

In dit artikel:

De Informatiebeveiligingsdienst (IBD) van de Vereniging van Nederlandse Gemeenten (VNG) heeft op 12 augustus 2025 een herziene notitie gepubliceerd die gemeenten scherp waarschuwt voor risico’s bij het gebruik van Microsoft 365 Copilot. De update, tot stand gekomen na overleg met Microsoft, beschrijft vier hoge risico’s en geeft technische en organisatorische maatregelen die gemeenten moeten overwegen voordat ze de AI-assistent inzetten. Gesprekken tussen SLM Rijk en Microsoft over genomen maatregelen lopen nog door.

Wat en waarom: Microsoft 365 Copilot werkt binnen de datasfeer van een organisatie en slaat interacties op (prompts en antwoorden). Een DPIA in opdracht van SLM Rijk concludeert dat het niet altijd duidelijk is of die verwerkingen voldoen aan de AVG, waardoor gemeenten zorgvuldig moeten afwegen of en hoe ze Copilot gebruiken.

Vier hoge risico’s:
- Inzagerechten: Microsoft verstrekt geen volledige diagnostische data, waardoor het lastig kan zijn om verzoeken om inzage volledig af te handelen, ondanks dat beheerders wel toegang hebben tot content via Content Search of Microsoft Purview.
- Verlies van controle en onjuiste persoonsgegevens: Copilot kan feitelijke fouten produceren; gebruikers zien die fouten niet altijd en vertrouwen te snel op de AI (overreliance). De waarschuwingsmeldingen van Microsoft creëren volgens de IBD te weinig ‘frictie’.
- Onduidelijkheid over welke persoonsgegevens Microsoft verwerkt: Documentatie over Required Service Data laat lacunes zien, waardoor gemeenten onvoldoende inzicht hebben in de datastromen.
- Heridentificatie: Lange bewaartermijnen (tot tien jaar plus 180 dagen) vergroten het risico dat gepseudonimiseerde gegevens later herleidbaar worden.

Aanbevelingen:
Technisch: beheerders kunnen bijvoorbeeld toegang tot Bing uitzetten (met mogelijk kwaliteitsverlies van antwoorden) en consumentenversies van Copilot centraal blokkeren om onbedoelde commerciële verwerking te voorkomen. Zorgvuldige labeling, toegangsbeheer en actuele documentatie zijn essentieel om oversharing te beperken; Microsofts implementatieplan kan daarbij helpen.
Organisatorisch: investeer in AI-geletterdheid, leg duidelijke regels vast over wie welke functionaliteiten mag gebruiken en voorkom gebruik door medewerkers die met gevoelige persoonsgegevens werken. Gemeenten zonder eigen AI-beleid wordt aangeraden eerst een overkoepelend kader op te stellen; de Autoriteit Persoonsgegevens en IBD bieden handreikingen en voorbeeldbeleid ter ondersteuning.

Kortom: de notitie is geen officieel VNG-standpunt, maar een praktisch hulpmiddel dat gemeenten moet helpen de juridische, technische en organisatorische gevolgen van Copilot-gebruik beter te beoordelen.