Copilot
25 juni 2026

De DPIA op Copilot is beoordeeld en verantwoord bevonden

Het Strategisch Leveranciersmanagement van het Ministerie van Justitie (SLM) en SURF (de ICT‑coöperatie voor Nederlands onderwijs en onderzoek) hebben hun herziene beoordeling van de DPIA op Microsoft 365 Copilot afgerond. De conclusie is helder: verantwoorde inzet binnen onderwijs‑ en overheidsorganisaties is mogelijk. Wat moet je hier als organisatie mee?

DPIA, de verplichte risicoanalyse

DPIA staat voor Data Protection Impact Assessment. Het is een verplichte risicoanalyse waarmee je vóóraf de privacyrisico's van een gegevensverwerking in kaart brengt en beheersmaatregelen bepaalt. 

Van elk van jouw softwareleveranciers zou je de DPIA willen beoordelen. Een DPIA bevat namelijk: 

  • Beschrijving van de verwerking: welke persoonsgegevens, doelen, betrokkenen, technologie. 
  • Noodzaak en proportionaliteit: is dit écht nodig en staat het in verhouding tot het doel?
  • Risicoanalyse: wat kan er misgaan voor betrokkenen (datalek, profilering, ongeautoriseerde toegang)?
  • Maatregelen, technisch en organisatorisch: encryptie, toegangsbeheer, retentie, logging, training. 

Maar goed, dat is de analyse van de software door de leverancier. Die ga je meestal niet helemaal doorlezen. Daarom heb je, als het goed is (!), een verwerkersovereenkomst per leverancier. Hierin heeft de leverancier vastgelegd wat zij doen om jouw data en die van je klanten te beschermen. En hoe zij dat doen. Dit gebeurt natuurlijk binnen het kader van de AVG. 

AVG

De bescherming van persoonsgegevens binnen jouw organisatie heb je natuurlijk goed geregeld. Natuurlijk, omdat je klant dat van je verwacht en omdat dit in het kader van de AVG vereist is. Daarom heb je in het AVG-verwerkingsregister vastgelegd binnen welke software persoonsgegevens staan, voor welk doel je deze verwerkt en welke technische en organisatorische maatregelen je hebt genomen om klantgegevens te beschermen. En met alle softwareleveranciers heb je een verwerkersovereenkomst afgesloten waarin zij ook beschrijven hoe zij de persoonsgegevens van jouw klanten beschermen. Toch?

AVG en AI

Omdat AI zoekt naar antwoorden in jouw data, komt AI ook persoonsgegevens en financiële gegevens tegen. Je moet het AVG-verwerkingsregister aanvullen op de plekken waar leveranciers AI-functionaliteit aan hun software toevoegen. Gelukkig is er nu voor Copilot een openbaar en onderbouwd risicokader mét concrete mitigerende maatregelen: de beoordeelde DPIA. Je kunt dus naar deze risico-inventarisatie verwijzen in je AVG-/AI-register.

Eigen verantwoordelijkheid blijft!

De DPIA beschrijft de techniek van de bescherming van data, maar neemt je verantwoordelijkheid niet over. Pas wanneer je grip hebt op je tenant (365-omgeving), je data, je gebruikersgedrag én je governance, kan Copilot veilig waardevolle output leveren.  

AI en veilig gebruik van jouw data 

Wil je Copilot verantwoord en efficiënt inzetten, dan moet je als organisatie de volgende maatregelen treffen:  

  • AI-beleid
  • Governance
  • Rechtenstructuren
  • Dataclassificatie
  • Trainen van gebruikers

AI-beleid

Stel een helder AI-beleid op waarin staat welke AI-tools gebruikt mogen worden, welke data nooit ingevoerd mogen worden, wie verantwoordelijk is voor controle van output en hoe medewerkers omgaan met vertrouwelijke, persoonlijke en klantgevoelige informatie. Leg dit beleid aan medewerkers uit en laat hen dit beleid actief bevestigen. Zo blijft AI-gebruik geen vrijblijvende afspraak, maar wordt het onderdeel van professioneel gedrag. 

Governance

Richt een AI-governancestructuur in met duidelijke rollen voor directie, IT, security, privacy, HR en proceseigenaren. Leg vast wie AI-toepassingen goedkeurt, wie risico’s beoordeelt, wie incidenten afhandelt. En ook: hoe periodiek wordt gecontroleerd of Copilot en andere AI-toepassingen nog passen binnen wetgeving, beleid en organisatiedoelen.

Rechtenstructuren

Controleer vóór ingebruikname van Copilot of gebruikers alleen toegang hebben tot informatie die zij echt nodig hebben. Ruim te brede SharePoint-, Teams- en OneDrive-rechten op, voorkom organisatiebrede toegang waar dat niet nodig is en voer periodieke toegangsreviews uit. Copilot vergroot namelijk niet je rechten, maar maakt wel zichtbaar wat iemand al mocht zien.

Dataclassificatie

Classificeer informatie op gevoeligheid, bijvoorbeeld openbaar, intern, vertrouwelijk en strikt vertrouwelijk. Gebruik gevoeligheidslabels en beveiligingsmaatregelen zoals encryptie, beperkingen op delen en het blokkeren van extern gebruik. Zo voorkom je dat vertrouwelijke documenten via AI-prompts, samenvattingen of gegenereerde output onbedoeld buiten de juiste context terechtkomen.  

Trainen van gebruikers

Copilot is nieuwe software die onderdeel wordt van het dagelijks werk. Train daarom medewerkers in het gebruik en de mogelijkheden ervan. Train ze niet alleen in het maken van goede prompts, maar ook in het kritisch beoordelen van AI-output, het herkennen van privacy- en beveiligingsrisico’s, het omgaan met hallucinerende of onvolledige antwoorden. Ook moeten ze weten wanneer menselijke controle verplicht is. AI-geletterdheid is geen eenmalige instructie, maar een terugkerend onderdeel van adoptie, compliance en veilig digitaal werken.

Wil je een gratis template voor AI-beleid ontvangen? Neem contact met ons op.  
Corné van Veldhuizen

Wellicht ook interessant

Klaar om aan de slag te gaan?
Vertel ons waar je heen wilt met jouw organisatie, dan selecteren wij de oplossingen. Helder en onafhankelijk!
Maak een afspraak
Copyright © 2026 yellow arrow. All rights reserved.
Algemene voorwaarden Cookiebeleid