De gemeente Amsterdam stopt een pilot met de AI-toepassing ‘Microsoft Copilot’ vanwege privacyrisico’s. Uit een recente privacytoets van SLM Rijk blijkt dat Copilot vooralsnog niet compliant te gebruiken is. De VNG adviseert gemeenten om bewust de keuze te maken of de risico’s opwegen tegen de baten.
Copilot kan gebruikt worden voor het notuleren van vergaderingen, het schrijven van documenten en het doorzoeken van onder andere e-mails en chats. De toepassing is interactief en werkt met ‘prompts’ waarbij de gebruiker vragen kan stellen en het AI-hulpprogramma antwoord geeft. Door deze interactie tussen de gebruiker en Copilot, worden er allerlei gegevens verwerkt. Deze gegevensverwerking moet voldoen aan wet- en regelgeving, bijvoorbeeld op het gebied van privacy.
De gemeente Amsterdam stopt een pilot met de AI-toepassing ‘Microsoft Copilot’ vanwege privacyrisico’s. Uit een recente privacytoets van SLM Rijk blijkt dat Copilot vooralsnog niet compliant te gebruiken is. De VNG adviseert gemeenten om bewust de keuze te maken of de risico’s opwegen tegen de baten.
Copilot kan gebruikt worden voor het notuleren van vergaderingen, het schrijven van documenten en het doorzoeken van onder andere e-mails en chats. De toepassing is interactief en werkt met ‘prompts’ waarbij de gebruiker vragen kan stellen en het AI-hulpprogramma antwoord geeft. Door deze interactie tussen de gebruiker en Copilot, worden er allerlei gegevens verwerkt. Deze gegevensverwerking moet voldoen aan wet- en regelgeving, bijvoorbeeld op het gebied van privacy.
Risico's Copilot
Om te zorgen dat technologieën als Copilot op een verantwoorde manier worden ingezet, zijn er diverse instrumenten en toetsen ontwikkeld, waaronder een privacytoets (het data protection impact assessment of DPIA). SLM Rijk (Strategisch Leveranciersmanagement Microsoft) voerde onlangs deze privacytoets uit en ontdekte een aantal risico's die hoofdzakelijk voortkomen uit een gebrek aan transparantie.
Afweging over gebruik generatieve AI
Diverse gemeenten maken al gebruik van de kansen die generatieve AI, zoals Copilot, biedt maar nog meer gemeenten willen dit effectiever, doelgerichter en betrouwbaarder kunnen doen. Dan is het wel nodig dat de producten die de markt aanbiedt aan bepaalde vereisten voldoen, op z’n minst aan de Europese wet- en regelgeving.
Gemeenten zullen zelf moeten afwegen of zij de risico’s die volgen uit de privacytoets van Copilot voldoende kunnen mitigeren of bewust accepteren. De informatiebeveiligingsdienst (IBD) heeft een aanvullende notitie (pdf, 168 kB) geschreven die de (mogelijke) gevolgen voor gemeentelijke organisaties belicht.
Behoeften en bescherming van inwoners centraal
De VNG vindt dat gemeenten de kansen die digitale technologie biedt moeten omarmen. Denk aan datagedreven beleid, digital twins, automatisering van processen en generatieve AI-toepassingen, bijvoorbeeld voor het schrijven of samenvatten van teksten. Daarbij moeten we samen zorgen dat dit niet gebeurt vanuit een market push of vanuit alleen het bedrijfsvoering- en IT-perspectief. En altijd op een manier waarbij de behoeften en bescherming van inwoners centraal staan én met een duidelijk doel voor ogen.
Reactie van de gemeente Amsterdam
'De uitkomsten van de DPIA bevestigen onze zorgen over de inzet van Microsoft Copilot. De geïdentificeerde risico’s maken dat deze technologie op dit moment niet veilig en juridisch verantwoord binnen onze organisatie kan worden toegepast. Daarom hebben we besloten onze pilot met Microsoft Copilot stop te zetten en de technologie voorlopig niet te implementeren. We sluiten ons aan bij het standpunt van SLM Rijk dat Microsoft eerst concrete stappen moet zetten om deze risico’s weg te nemen.'
Risico's Copilot
Om te zorgen dat technologieën als Copilot op een verantwoorde manier worden ingezet, zijn er diverse instrumenten en toetsen ontwikkeld, waaronder een privacytoets (het data protection impact assessment of DPIA). SLM Rijk (Strategisch Leveranciersmanagement Microsoft)
voerde onlangs deze privacytoets uit en ontdekte een aantal risico's die hoofdzakelijk voortkomen uit een gebrek aan transparantie.
Afweging over gebruik generatieve AI
Diverse gemeenten maken al gebruik van de kansen die generatieve AI, zoals Copilot, biedt maar nog meer gemeenten willen dit effectiever, doelgerichter en betrouwbaarder kunnen doen. Dan is het wel nodig dat de producten die de markt aanbiedt aan bepaalde vereisten voldoen, op z’n minst aan de Europese wet- en regelgeving.
Gemeenten zullen zelf moeten afwegen of zij de risico’s die volgen uit de privacytoets van Copilot voldoende kunnen mitigeren of bewust accepteren. De informatiebeveiligingsdienst (IBD) heeft een aanvullende notitie (pdf, 168 kB) geschreven die de (mogelijke) gevolgen voor gemeentelijke organisaties belicht.
Behoeften en bescherming van inwoners centraal
De VNG vindt dat gemeenten de kansen die digitale technologie biedt moeten omarmen. Denk aan datagedreven beleid, digital twins, automatisering van processen en generatieve AI-toepassingen, bijvoorbeeld voor het schrijven of samenvatten van teksten. Daarbij moeten we samen zorgen dat dit niet gebeurt vanuit een market push of vanuit alleen het bedrijfsvoering- en IT-perspectief. En altijd op een manier waarbij de behoeften en bescherming van inwoners centraal staan én met een duidelijk doel voor ogen.
Reactie van de gemeente Amsterdam
'De uitkomsten van de DPIA bevestigen onze zorgen over de inzet van Microsoft Copilot. De geïdentificeerde risico’s maken dat deze technologie op dit moment niet veilig en juridisch verantwoord binnen onze organisatie kan worden toegepast. Daarom hebben we besloten onze pilot met Microsoft Copilot stop te zetten en de technologie voorlopig niet te implementeren. We sluiten ons aan bij het standpunt van SLM Rijk dat Microsoft eerst concrete stappen moet zetten om deze risico’s weg te nemen.'
