Het Government Strategic Vendor Management Office maakt zich zorgen over privacy- en beveiligingsrisico's bij het gebruik van Microsoft-producten in overheidsomgevingen. Deze zorgen moeten worden overwogen bij de beslissing om al dan niet Microsoft 365 te gebruiken. In plaats van volledig af te zien van technologieproducten, is een gedifferentieerde aanpak aan te raden, waarbij privacyrisico's worden onderkend en tegelijkertijd de voordelen van efficiëntie en productiviteit worden behouden. Door goed risicobeheer en proactieve beveiligingsmaatregelen kunnen overheden de risico's minimaliseren en de voordelen van technologie benutten, met als topprioriteit de privacy en beveiliging van gegevens. Bij het gebruik van Microsoft moeten organisaties op zijn minst hun eigen gegevensbeschermingseffectbeoordeling (DPIA) opstellen met richtlijnen om specifieke gegevensbeschermingsrisico's te beoordelen op basis van hun implementatie, het niveau van vertrouwelijkheid en de verwerkte persoonlijke gegevens. IT Services specialisten kunnen de organisatie hierbij helpen. De DPIA van SLM Rijk bevat aanbevelingen¹ om privacykwesties aan te pakken. De checklist met aanbevelingen van SLM Rijk, evenals enkele aanbevelingen van onze consultant Stéphanie Mellink, kunnen worden gedownload Klik hier.
AI-software: Wat kun je ermee doen?
Een overheidsorganisatie heeft een grote hoeveelheid gegevens over burgers en bedrijven. Copilot kan gebruikt worden om trends te identificeren en verbanden te leggen tussen verschillende datapunten. Een ambtenaar zou Copilot kunnen instrueren om te kijken welke factoren bijdragen aan een hogere criminaliteit in bepaalde gebieden. De ambtenaar laat Copilot een diapresentatie samenstellen met vier verzachtende maatregelen om criminaliteit te verminderen, zodat tijdens de volgende vergadering beleidsbeslissingen kunnen worden genomen.
Een overheidsorganisatie ontwikkelt een nieuwe app voor het aanvragen van een paspoort. Het verantwoordelijke team gebruikt Copilot om ideeën te genereren voor functies in de app en laat Copilot een enquête maken ten behoeve van een gebruikersonderzoek. Vervolgens laat de projectmanager Copilot de app testen aan de hand van de resultaten van het onderzoek en laat Copilot suggesties doen voor verbeteringen.
In een wijk moet een weg worden geopend. De gemeente wil de burgers hierover informeren en laat Copilot een plan maken van wat er nodig is aan externe communicatie en informatievoorziening. Vervolgens laat de gemeente Copilot de brieven schrijven om naar de bewoners te sturen en laat ze de boodschap zo formuleren dat ze voor alle burgers begrijpelijk is.
De privacyproblemen met Microsoft: een samenvatting
Steeds meer gemeenten, ministeries en andere overheidsinstellingen kiezen voor ondersteuning door technologiegigant Microsoft. Uit het door SLM Rijk³ en SURF⁴ uitgevoerde Data Protection Onderzoek² kwamen verschillende risico's naar voren bij het gebruik van drie versies van de software: de lokale software voor op de laptops van medewerkers (Office 365 ProPlus), de versie voor smartphones en tablets (mobiele Office applicaties voor iOS en Android) en de online versie voor in de browser (Office for the web). Naar aanleiding van dit onderzoek zijn SLM Rijk en SURF in onderhandeling getreden met Microsoft over de maatregelen die Microsoft moest nemen om de bescherming van gegevens bij het gebruik van de Office 365 licentiesoftware te waarborgen. Deze onderhandelingen resulteerden in een aantal juridische, technische en organisatorische stappen van Microsoft om de risico's voor betrokkenen te beperken bij het verwerken van persoonsgegevens via Teams, OneDrive, SharePoint en Azure Active Directory. Een voorbeeld van een van deze beperkende maatregelen was de implementatie van een Data-boundary solution⁵ die overheidsinstellingen de zekerheid geeft dat belangrijke gegevens zowel binnen de EU als volgens de AVG-regels van de Europese Unie worden opgeslagen.
In een rapport⁶ van het Department of Justice and Security (februari 2022) werd echter vastgesteld dat Microsoft nog vier aanpassingen moest doorvoeren om de resterende risico's te beperken. Ten eerste moet Microsoft duidelijk zijn over welke gegevens worden verzameld en opgeslagen onder het mom van verplichte servicegegevens. Ten tweede moeten ze een derde partij in staat stellen om te controleren of Microsoft zich houdt aan overeengekomen standaarden en beperkingen bij het verzamelen, opslaan en gebruiken van gegevens. Ten derde moeten ze beheerders van hun analysediensten volledig informeren over hoe ze gegevens van die diensten verwerken en wat de impact daarvan is. Tot slot moeten ze alle Teams-communicatie voorzien van end-to-end encryptie (E2EE), zodat alleen de zender en ontvanger de inhoud van de communicatie kunnen lezen en voorkomen wordt dat gevoelige informatie in verkeerde handen valt.
Microsoft voldoet nog niet aan alle eisen van SLM Empire om een veilig gebruik van Office 365 mogelijk te maken. Daarom bevat het rapport (februari 2022) een aantal aanbevelingen die overheidsinstanties individueel zouden moeten nemen om te voorkomen dat privégegevens van burgers en werknemers worden misbruikt, of bijvoorbeeld om uit te sluiten dat Amerikaanse opsporings- en inlichtingendiensten toegang krijgen tot Nederlandse overheidsgegevens.
Privacyproblemen met Microsoft: Wat moet ik doen?
Het Government Strategic Vendor Management Office maakt zich zorgen over privacy- en beveiligingsrisico's bij het gebruik van Microsoft-producten in overheidsomgevingen. Deze zorgen moeten worden overwogen bij de beslissing om al dan niet Microsoft 365 te gebruiken. In plaats van volledig af te zien van technologieproducten, is een gedifferentieerde aanpak aan te raden, waarbij privacyrisico's worden onderkend en tegelijkertijd de voordelen van efficiëntie en productiviteit worden behouden. Door goed risicobeheer en proactieve beveiligingsmaatregelen kunnen overheden de risico's minimaliseren en de voordelen van technologie benutten, met als topprioriteit de privacy en beveiliging van gegevens. Als organisaties Microsoft gebruiken, moeten ze op zijn minst hun eigen DPIA opstellen met richtlijnen om specifieke risico's voor gegevensbescherming te beoordelen op basis van hun implementatie, het niveau van vertrouwelijkheid en de verwerkte persoonlijke gegevens. IT Services specialisten kunnen de organisatie hierbij helpen. De DPIA van SLM Empire bevat aanbevelingen¹ om privacykwesties aan te pakken. De checklist met de aanbevelingen van SLM Empire en enkele aanbevelingen van onze specialisten kunt u hiernaast downloaden.
Microsoft Copilot: Voordelen en potentiële toepassingen
Microsoft Copilot biedt veelbelovende mogelijkheden voor overheidsinstellingen. Een van de meest voor de hand liggende voordelen is de verhoogde efficiëntie. Door repetitieve taken te automatiseren, kunnen ambtenaren zich richten op complexere en waardevollere taken, wat uiteindelijk de productiviteit en effectiviteit van de overheid kan verbeteren. Een tweede belangrijk voordeel van Copilot is de mogelijkheid om de dienstverlening van de overheid te verbeteren. Dit systeem kan bijdragen aan een snellere en effectievere communicatie met burgers en bedrijven en een betere toegang tot overheidsinformatie. Dit bevordert de tevredenheid van burgers en bedrijven en versterkt het vertrouwen in de overheid (mits correct, volledig, consistent en in de juiste context en taal gepresenteerd). Daarnaast biedt Copilot waardevolle mogelijkheden voor data-analyse. In een tijdperk waarin datagestuurde besluitvorming van vitaal belang is, kan Copilot helpen bij het analyseren van grote hoeveelheden data, wat op zijn beurt de besluitvorming binnen de overheid kan verbeteren. Last but not least kan de inzet van Copilot leiden tot kostenbesparingen. De efficiëntiewinst door automatisering en verbeterde dienstverlening kan aanzienlijke financiële voordelen opleveren, wat cruciaal is in het licht van de budgettaire beperkingen waarmee veel overheidsinstanties te maken hebben.
Overwegingen voor implementatie in overheidsomgevingen
De beslissing van overheden om Microsoft Copilot te implementeren is een complexe kwestie die zorgvuldig overwogen moet worden, met enkele cruciale aandachtspunten in het achterhoofd. Ten eerste zijn privacy en veiligheid van het grootste belang. Het waarborgen van de privacy van burgers moet een topprioriteit blijven. Andere belangrijke aspecten zijn transparantie, verantwoording en toezicht. Overheidsinstanties moeten kunnen begrijpen en uitleggen hoe AI-software werkt, vooral wanneer het gevolgen heeft voor burgers. Dit omvat het aanwijzen van verantwoordelijke functionarissen en het ontwikkelen van toezichtmechanismen. De kwaliteit van de gegevens en de gegevensethiek van de software moeten ook in overweging worden genomen; de meest recente en nauwkeurige gegevens moeten worden gebruikt, zoals recente wijzigingen in wet- en regelgeving, wetenschappelijke bevindingen en lokale verordeningen. Daarnaast moet er een mechanisme zijn om ethische en contextuele beslissingen te waarborgen. Dit omvat het voorkomen van het gebruik van gegevens die verkregen zijn door illegale of onethische praktijken en het vermijden van discriminatie, vooroordelen en oneerlijke behandeling van burgers.
De vijf adviezen: strategisch beheer voor Microsoft Copilot
1. Privacy-eerst benadering
Implementeer een privacy-first benadering om de privacy van burgers te waarborgen. Microsoft 365 Copilot krijgt toegang tot je exclusieve organisatiegegevens en presenteert de gegevens aan de individuele gebruikers die de rechten op deze gegevens hebben. Het is dus belangrijk om een goed overzicht te hebben van waar elke individuele functionaris toegang toe moet hebben, aangezien gevoelige gegevens met één druk op de knop kunnen worden opgevraagd. Zorg er, net als bij het gebruik van andere Microsoft-producten, voor dat alle adviezen uit de DPIA van SLM Rijk worden opgepakt en opgevolgd, en maak uw eigen DPIA met bijbehorend beleid.
2. Transparantie en uitlegbaarheid
Duidelijke richtlijnen opstellen voor transparantie en uitlegbaarheid van AI-beslissingen. Zorg ervoor dat ambtenaren begrijpen hoe Microsoft Copilot werkt, wie verantwoordelijk is voor inputs en outputs, en zorg ervoor dat ze beslissingen kunnen uitleggen aan het publiek. Overweeg het inhuren van een externe, onafhankelijke specialist om te helpen bij het opzetten van de mechanismen; dit benadrukt de betrokkenheid bij het juiste gebruik en kan helpen bij het opbouwen van vertrouwen tussen belanghebbenden.
3. Ethiek en non-discriminatie
Ethische normen ontwikkelen en implementeren voor het gebruik van Microsoft Copilot. Ervoor zorgen dat het systeem geen discriminatie, vooroordelen of oneerlijke behandeling van burgers toestaat. Regelmatig controles uitvoeren om mogelijke vooroordelen in de resultaten te identificeren en te corrigeren.
4. Kwaliteit en actualisering van gegevens
De kwaliteit van de gegevens en het bijwerken van Microsoft Copilot garanderen. Ervoor zorgen dat de gebruikte gegevens actueel en accuraat zijn, rekening houdend met recente wijzigingen in wet- en regelgeving, wetenschappelijke bevindingen en lokale verordeningen. Een mechanisme implementeren om gegevens ethisch en contextueel bij te werken.
5. Betrokkenheid en onderwijs
Het publiek en belanghebbenden betrekken bij het implementatieproces van Microsoft Copilot. Organiseer publieke consultaties en informatiesessies om feedback te verzamelen en eventuele zorgen te identificeren. Investeer in het opleiden en trainen van ambtenaren en medewerkers in het verantwoord gebruik van AI binnen overheidsomgevingen om ervoor te zorgen dat ze maximale efficiëntie- en productiviteitsvoordelen kunnen behalen met minimale risico's. De Nationale Academy voor Digitalisering en Informatisering Overheid (RADIO) biedt een cursus aan, maar je kunt je ook aanmelden voor trainingen bij externe aanbieders zoals Supply Value.
Samenvatting
De introductie van Microsoft Copilot in Europese overheidsinstellingen belooft een efficiëntere, datagestuurde aanpak, maar roept ook vragen op over privacy en beveiliging. De bevindingen benadrukken de noodzaak van een evenwichtige aanpak. De vijf strategische aanbevelingen voor het beheer van Copilot benadrukken het belang van privacy, transparantie, ethiek, gegevenskwaliteit en betrokkenheid bij de implementatie. Het is essentieel voor overheidsinstellingen om de voordelen van Copilot te omarmen met sterke aandacht voor de privacy en veiligheid van gegevens en tegelijkertijd te streven naar efficiëntie. Strikte naleving van deze richtlijnen is cruciaal om Copilot verantwoord en effectief in te zetten in overheidsomgevingen, de voordelen te maximaliseren en tegelijkertijd de ethiek en privacy voor burgers te behouden.
¹Rapport: DPIA over Microsoft Teams, OneDrive, Sharepoint en Azure AD, februari 2022, h.17.2.1.
²Rapport: DPIA Office 365 Online en mobiele Office apps, juli 2019.
Microsoft Strategisch Leveranciersheerkantoor Rijk.
⁴Centrale IT Inkooporganisatie voor Nederlandse Universiteiten.
⁵Rapport: Inzicht in de Microsoft EU Data Boundary Roadmap, februari 2022.
Rapport: DPIA op Microsoft Teams, OneDrive, Sharepoint en Azure AD, februari 2022.
