Hogeschool Utrecht moet stoppen met Microsoft Copilot, want de AI-tool brengt te veel privacyrisico’s met zich mee, waarschuwt SURF. De HU is echter van mening dat de tool alsnog veiliger is dan andere.
‘Het bezwaar tegen Copilot is dat het onduidelijk is welke persoonsgegevens Microsoft verzamelt en bewaart tijdens het gebruik’, schrijft SURF, de Nederlandse koepelorganisatie voor ICT in het onderwijs. Daarnaast zou Microsoft ‘onjuiste en onvolledige’ persoonsgegevens genereren. Op basis hiervan luidt hun advies: gebruik deze tool niet.
Microsoft en HU: Copilot wél het veiligst
Nog geen vier maanden geleden, in oktober 2024, gaf de HU juist het advies om Copilot te gebruiken als alternatief voor andere AI-tools zoals ChatGPT. Het was namelijk veiliger, doordat de HU een contract had met Microsoft. Die laatste partij verwerpt om die reden ook de kritiek van SURF op hun software. Het bedrijf stelt dat die juist ‘uitgebreide garanties’ biedt voor gegevensbeveiliging.
Met 350 miljoen wereldwijde gebruikers is ChatGPT van OpenAI marktleider in de wereld van AI-chatbots. Maar er zijn dus ook andere AI-tools zoals Anthropic, Gemini en Copilot. Van die laatste kun je sinds september 2024 als HU-student of medewerker met je inloggegevens gratis de premium-versie gebruiken. Ter vergelijking: ChatGPT Premium kost 22,50 euro per maand. En Copilot (voor niet-HU-ers) 22 euro per maand. Copilot lijkt veel op ChatGPT. Je kunt opdrachten (prompts) geven en het programma komt met een antwoord.
Er is geen reden tot paniek, vindt Joris Goos, directeur IM&ICT. Hij begrijpt het standpunt van SURF en ‘deelt hun zorgen’. Maar het afraden van de tool vindt hij niet nodig. ‘Onze grootste zorgen richten zich juist op AI-tools van bedrijven waarmee de HU geen afspraken heeft. Bij het gebruik van Copilot met een HU-account wordt de beveiliging gegarandeerd.’ Dat moet er volgens hem voor zorgen dat de gegevens niet buiten de eigen omgeving van de HU komen, iets wat bij andere AI-tools ontbreekt.
Blijf voorzichtig
Risico’s kwamen trouwens al eerder aan het licht, volgens Goos. SURF baseert haar advies op controles die ze uitvoert, ofwel de Data Protection Impact Assessments. Goos: ‘Daarbij kwamen al eerder risico’s voor Microsoft-producten aan het licht. Maar die zijn dus niet alarmerend genoeg.’ Goos benadrukt overigens dat ze niet gelden voor andere Microsoft-applicaties, zoals Outlook.
De HU blijft dus bij haar standpunt: wie AI wil gebruiken, zet het beste Copilot in. Goos is wél terughoudend de tool verder te integreren. Voorlopig daarom geen uitgebreide versie van de AI-tool, die gekoppeld zou worden aan andere Microsoft-apps zoals Word, Excel, PowerPoint, Outlook en Teams. Goos zegt dat dit kan veranderen als Microsoft risico’s heeft weggenomen.
Goos waarschuwt HU-medewerkers om wel voorzichtig te zijn met Copilot. ‘Deel geen herleidbare persoonsgegevens of vertrouwelijke HU-informatie in’, drukt hij hen op het hart. Alle ingevoerde gegevens worden namelijk buiten de Europese Unie verwerkt. Daar geldt de EU-privacywetgeving niet.
De ICT-directeur hoopt dat de meeste risico’s van Copilot tegen april 2025 zijn opgelost. Hij vertrouwt erop dat de gesprekken tussen SURF en Microsoft daartoe zullen bijdragen.
