AI data sharing in de overheid: veiligheid en compliance bij Microsoft Copilot en Azure OpenAI

Daniel Verloop

De inzet van Microsoft Copilot en Azure OpenAI biedt krachtige AI-mogelijkheden, maar het gebruik ervan voor gevoelige overheidsgegevens roept belangrijke veiligheids- en compliance-vragen op. Hoewel Microsoft verschillende maatregelen voor gegevensbescherming biedt, zijn er nog steeds beperkingen aan welke soorten informatie veilig kunnen worden gedeeld met deze platforms. In dit artikel onderzoeken we de belangrijkste overwegingen voor overheidsinstanties bij het bepalen welke gegevens veilig kunnen worden gedeeld met Copilot versus Azure OpenAI, en bekijken we of volledig geïsoleerde lokale systemen noodzakelijk zijn voor het hoogste niveau van gegevensbeveiliging.

Enterprise Data Protection: een overzicht

Enterprise Data Protection (EDP) is een set controles en toezeggingen die Microsoft biedt aan gebruikers van Copilot en Microsoft 365 Copilot. Belangrijke kenmerken zijn:[1]

  • Versleuteling van gegevens in rust en tijdens overdracht
  • Strikte fysieke beveiligingscontroles en gegevensisolatie tussen tenants
  • Respect voor bestaande identiteitsmodellen, machtigingen en gevoeligheidslabels
  • Bescherming tegen AI-specifieke beveiligingsrisico’s zoals schadelijke inhoud en prompt-injecties
  • Garantie dat klantgegevens niet worden gebruikt om foundation models te trainen

EDP is zonder extra kosten beschikbaar voor gebruikers die zijn ingelogd met een Microsoft Entra-account. Het schildpictogram bovenaan de Copilot-interface geeft aan wanneer EDP actief is. Ondanks deze beschermingsmaatregelen moeten overheidsinstanties de risico’s zorgvuldig evalueren voordat ze gevoelige informatie delen, aangezien sommige gegevensbeschermingsautoriteiten bezorgdheid hebben geuit over Microsoft’s naleving van Europese wetgeving inzake gegevensbescherming.

GDPR compliance: zorgen en overwegingen

Hoewel Microsoft beweert te voldoen aan de GDPR voor Copilot en Azure OpenAI, hebben sommige Europese gegevensbeschermingsautoriteiten zorgen geuit over de toereikendheid van Microsoft’s Data Protection Addendum (DPA). De Duitse Federale en Statelijke Gegevensbeschermingsconferentie (DSK) adviseert organisaties om een aanvullende gegevensverwerkingsovereenkomst met Microsoft af te sluiten of de bestaande zorgvuldig te evalueren.[2]

Belangrijke aandachtspunten zijn:

  • Microsoft’s eigen verantwoordelijkheid bij gegevensverwerking
  • Verplichting om instructies op te volgen
  • Implementatie van technische maatregelen in overeenstemming met GDPR artikel 32

Overheidsinstanties dienen een nieuwe gegevensbeschermingseffectbeoordeling uit te voeren bij de implementatie van Copilot, aangezien de dienst in bepaalde scenario’s gegevens buiten de EU kan verwerken.

Richtlijnen voor het delen van gegevens

Bij het overwegen van het delen van gegevens met AI-platforms moeten overheidsinstanties zich aan strikte richtlijnen houden:

Microsoft Copilot

Deel alleen niet-gevoelige, openbaar beschikbare informatie, zoals:

  • Algemene bedrijfsinformatie
  • Niet-vertrouwelijke interne documenten
  • Openbare rapporten

Azure OpenAI

Azure OpenAI-implementaties bieden sterkere waarborgen, waardoor het delen van gevoeliger gegevens mogelijk is met de juiste beveiligingsmaatregelen. Dit kan omvatten:

  • Geanonimiseerde klantgegevens
  • Interne bedrijfsprocessen
  • Productspecificaties

Echter, zelfs met Azure OpenAI mag zeer gevoelige informatie nooit worden gedeeld, zoals:

  • Niet-geanonimiseerde persoonsgegevens
  • Wachtwoorden
  • Gedetailleerde financiële rapporten
  • Intellectueel eigendom

Overheidsinstanties moeten grondige risicobeoordelingen uitvoeren en nauw samenwerken met IT-beveiliging en juridische afdelingen om naleving van de regelgeving inzake gegevensbescherming te waarborgen.[3]

Lokale modellen als alternatief?

Volledig geïsoleerde lokale AI-modellen bieden maximale controle over gegevens en infrastructuur, maar zijn niet noodzakelijkerwijs de enige veilige oplossing voor het verwerken van gevoelige informatie. Deze systemen bieden voordelen zoals:

  • Minimaal risico op externe toegang
  • Onafhankelijkheid van internetconnectiviteit

Er zijn echter ook nadelen:

  • Beperkte schaalbaarheid
  • Hogere onderhoudskosten
  • Mogelijk minder geavanceerde beveiligingsmaatregelen in vergelijking met grote cloudproviders

Alternatieve benaderingen die een hoog niveau van beveiliging kunnen bieden, zijn:

  • Private cloud-omgevingen met strikte toegangscontroles
  • Hybride modellen waarbij gevoelige gegevens on-premises blijven
  • Geavanceerde versleuteling voor cloudopslag
  • Zero-trust beveiligingsframeworks

De optimale oplossing hangt af van het specifieke risicoprofiel, de compliance-vereisten en de beschikbare middelen van een organisatie.

Conclusie

Het delen van gegevens met AI-platforms zoals Microsoft Copilot en Azure OpenAI biedt overheidsinstanties krachtige mogelijkheden, maar vereist zorgvuldige overweging van veiligheids- en compliance-aspecten. Door de juiste richtlijnen te volgen, risicobeoordelingen uit te voeren en waar nodig alternatieve oplossingen te overwegen, kunnen overheidsorganisaties de voordelen van AI benutten zonder de bescherming van gevoelige gegevens in gevaar te brengen.

Wilt u meer weten over het veilig implementeren van AI in uw overheidsorganisatie? Neem dan contact op met CiviQs voor deskundig advies en ondersteuning.

Over de Auteur

Daniel Verloop is expert in AI-innovatie, governance en ethiek voor de publieke sector. Als senior AI consultant bij CiviQs, AI specialist bij gemeente Montferland, lid van de EU AI Alliantie en het kernteam Publieke Diensten van de Nederlandse AI Coalitie (NLAIC) bevordert hij mensgerichte AI in de samenleving. Zijn expertise omvat AI-strategie, compliance met de EU AI Act en implementatie van AI-oplossingen voor overheden.

Neem contact op voor een consultatie

Samen bouwen we aan verantwoorde AI-innovatie binnen uw organisatie.

Contact

CiviQs B.V.
's-Heerenberg
KVK 94628092
BTW NL866841751B01

+31 6 111 60 888

© CiviQs 2024

Privacy Voorwaarden