Microsoft Copilot for Microsoft 365 verwerkt e-mails, documenten, chatgesprekken en vergaderingen om contextueel relevante antwoorden te genereren. Voor Nederlandse overheidsorganisaties betekent dit dat AI-functionaliteit onlosmakelijk verbonden raakt met de bescherming van staatsgeheime informatie, persoonsgegevens van burgers en vertrouwelijke beleidsvorming. Het combineren van generatieve AI met bestaande Microsoft 365-workloads wekt begrijpelijke zorgen over datagrensbewaking, modeltraining en menselijke toezichtslagen. Deze zorgen verdwijnen alleen wanneer het volledige traject van een prompt – van invoer tot antwoord – inzichtelijk is gemaakt en wanneer technische en organisatorische privacycontroles aantoonbaar werken.
Een helder beeld van de gegevensstromen is daarvoor de basis. Elke vraag aan Copilot loopt via Microsoft 365-services, raadpleegt content op basis van bestaande toegangsrechten, verrijkt de prompt met relevante context en stuurt het geheel naar een Azure OpenAI-model dat binnen vooraf gekozen regio’s draait. Het antwoord komt terug via dezelfde weg en blijft, mits correct geconfigureerd, binnen de tenantgrenzen. Versleuteling in transit en at rest, gecombineerd met het expliciete beleid van Microsoft dat klantdata niet worden gebruikt om foundation models te trainen, geven vertrouwen, maar vragen om verificatie en voortdurende governance door de organisatie zelf.
Omdat Copilot direct interageert met gevoelige dossiers, is het essentieel dat informatiebeveiliging met sensitivity labels, DLP-beleid en auditlogs consequent wordt toegepast. Alleen dan kan de rijksoverheid verantwoorden dat AI-ondersteuning niet leidt tot ongewenste dataverdeling of onjuiste beleidsinterpretaties. De Nederlandse Baseline voor Veilige Cloud, de BIO en de AVG vragen bovendien om aantoonbare maatregelen, periodieke toetsen en duidelijke communicatie richting medewerkers.
Dit artikel beschrijft hoe privacy-architectuur en AVG-conforme processen worden ingericht voor Copilot in de publieke sector. We behandelen tenant-isolatie, dataminimalisatie, encryptie, auditlogging, gegevensresidentie en de praktische invulling van rechten van betrokkenen, DPIA’s en accountability. Het doel is een bestendige governanceketen te creëren waarin innovatie en publieke verantwoordelijkheid elkaar versterken.
Dit artikel richt zich op data protection officers, privacyprofessionals, Microsoft 365-beheerders en compliance managers die Copilot willen inzetten zonder concessies te doen aan de Nederlandse Baseline voor Veilige Cloud, de BIO en de AVG. Een combinatie van juridische kennis en technische configuratiekennis is noodzakelijk om beleid en platforminstellingen naadloos op elkaar aan te laten sluiten.
Activeer volledige Copilot-auditlogging zodat elke prompt, het geraadpleegde bronbestand, de gegenereerde output en de toegepaste beleidsregels zichtbaar worden in Microsoft Purview en centrale SIEM-oplossingen. Deze logs bewijzen richting de Autoriteit Persoonsgegevens welke persoonsgegevens zijn verwerkt, versnellen incidentonderzoeken en maken adoptie-analyses mogelijk. Overheidsorganisaties die logging koppelen aan Sentinel of Splunk detecteren privacy-incidenten aantoonbaar sneller en kunnen retentietermijnen afstemmen op de Archiefwet.
Privacy Architecture: Tenant Isolation, Data Boundaries en Processing Controls
Privacy-architectuur begint met een nauwkeurige beschrijving van de gegevensstromen binnen de tenant. Elke prompt wordt verwerkt binnen Microsoft 365, waarbij de dienst uitsluitend bronnen raadpleegt waarvoor de gebruiker al toestemming heeft. De context die Copilot toevoegt bestaat uit een tijdelijke selectie van documenten, e-mailthreads en Teams-chats die nodig zijn om de vraag te beantwoorden. Die context en de prompt worden aangeboden aan een Azure OpenAI-invoegpunt dat binnen door de organisatie gekozen regio’s draait. Microsoft garandeert contractueel dat klantdata niet worden gebruikt voor modeltraining en dat de verwerking binnen de tenantgrenzen blijft. Toch verwachten Nederlandse toezichthouders een eigen verificatie. Daarom leggen organisaties deze architectuur vast in technische dossiers, laten zij periodiek externe audits uitvoeren en documenteren zij in hun verwerkingsregister welke diensten exact betrokken zijn.
Tenant-isolatie krijgt pas waarde als de onderliggende configuraties consequent zijn doorgevoerd. Overheidsorganisaties reserveren afzonderlijke subscriptions voor productie, testen en pilotomgevingen, koppelen deze aan Microsoft Entra Conditional Access en hanteren Privileged Access Workstations voor beheer. Hierdoor blijft het beheerpad gescheiden van eindgebruikersactiviteiten en kan ieder wijzigingsverzoek worden getoetst op privacy-impact. Daarnaast wordt gebruikgemaakt van customer lockbox-opties zodat Microsoft-personeel alleen na expliciete goedkeuring toegang kan krijgen tot gegevens. In combinatie met Customer Key of Double Key Encryption blijven encryptiesleutels onder regie van de organisatie en kan worden aangetoond dat zelfs Microsoft-beheerders geen plaintext kunnen lezen zonder toestemming van de tenantbeheerder.
Dataminimalisatie vereist meer dan het hergebruiken van bestaande toegangsrechten. In de praktijk betekent het dat datasets met bijzondere persoonsgegevens of staatsgeheime aanduidingen standaard buiten Copilot blijven totdat aanvullende controles zijn ingericht. Purview-labels worden verplicht gesteld via automatische classificatie, waardoor alleen correct gelabelde documenten in de Copilot-index terechtkomen. Wanneer gebruikers toch een brede vraag stellen, begrenst Copilot de hoeveelheid opgehaalde context en geeft het systeem aan wanneer gevoelige bronnen zijn uitgesloten. Organisaties vullen dit aan met heldere schrijfwijzers voor prompts en trainen medewerkers om gerichte vragen te stellen, zodat zo weinig mogelijk data worden verwerkt per interactie.
Transparantie vormt een afzonderlijke architectuurlaag. Copilot toont bronverwijzingen en laat gebruikers controleren welke documenten aan een antwoord hebben bijgedragen. Die informatie wordt aangevuld met Microsoft Purview Audit (Premium)-logboeken waarin elke prompt, het geraadpleegde bestand en de uitgevoerde beleidsregels worden vastgelegd. Door deze logs near real time door te sturen naar Microsoft Sentinel kunnen privacy officers automatische signalering instellen voor ongebruikelijke combinaties van gebruikers, locaties en datacategorieën. Ook wordt een standaardproces ingericht waarin gebruikers feedback kunnen geven wanneer een antwoord te veel of juist te weinig informatie bevatte. Deze feedbackloop voedt de voortdurende verbetering van beleid en configuraties.
Sterke cryptografie sluit de architectuur af. Alle netwerkverbindingen zijn minimaal beschermd met TLS 1.3, opgeslagen prompts in de service worden met AES-256 versleuteld en organisaties kunnen key-rotatie afdwingen via Azure Key Vault. Voor zeer gevoelige implementaties wordt verwerking beperkt tot Sovereign Cloud-regio’s of tot de Europese regio die past bij de dataclassificatie uit de Nederlandse Baseline voor Veilige Cloud. Security operations teams testen halfjaarlijks of kruis-tenanttoegang onmogelijk is door gecontroleerde penetratietesten uit te voeren en incidentscenario’s te oefenen. Zo ontstaat een complete keten van preventie, detectie en reactie die niet alleen de technologiestack beschermt, maar ook de bestuurlijke verantwoordelijkheid onderbouwt.
AVG Compliance: Data Subject Rights, Processing Transparency en Accountability
AVG-conformiteit vraagt om procedures die specifiek rekening houden met AI-gedreven verwerking. Rechten van betrokkenen starten met het kunnen reconstrueren welke gegevens Copilot heeft gebruikt of gegenereerd. Nederlandse overheden koppelen daarom Copilot-interacties aan Purview eDiscovery, zodat per verzoek inzichtelijk wordt welke prompts, documenten en antwoorden met een persoon of dossier te maken hadden. Wanneer iemand een inzageverzoek indient, kan het team de relevante conversatiegeschiedenis exporteren, controleren of classificaties correct zijn toegepast en toelichten welke logica het AI-systeem heeft gevolgd. Voor verwijderingsverzoeken geldt dat organisaties moeten bepalen of gegevens kunnen worden verwijderd zonder de bewijsvoering voor beveiligingsincidenten te schaden. Vaak ontstaat een hybride aanpak: persoonlijke content wordt verwijderd uit Copilot-indexen terwijl afgeschermde auditlogs bewaard blijven met een juridische grondslag uit artikel 6 AVG.
Rectificatie wordt geregeld door bronbestanden leidend te maken. Zodra een beleidsdocument of een HR-dossier wordt aangepast, start een geautomatiseerde workflow die de nieuwe versie opnieuw laat indexeren en verifieert of eerdere Copilot-antwoorden niet langer beschikbaar zijn. Gebruikers krijgen instructies hoe zij foutieve antwoorden kunnen markeren, zodat de privacyafdeling kan nagaan of er sprake was van onjuiste brondata of van een interpretatieprobleem. Ook dataportabiliteit verdient aandacht: wanneer een burger zijn gegevens wil meenemen, moeten conversaties en documenten in een gestructureerd, gangbaar formaat worden aangeboden. Copilot-configuraties worden daarom gekoppeld aan bestaande AVG-processen, zodat rechtenverzoeken binnen de wettelijke termijnen worden afgehandeld.
Artikel 30 AVG verplicht tot het bijhouden van een gedetailleerd verwerkingsregister. Voor Copilot betekent dit dat in het register wordt beschreven welke rol de dienst speelt, welke categorieën persoonsgegevens worden verwerkt, welke systemen de output ontvangen en hoe lang gegevens worden bewaard. Overheidsorganisaties voegen daarbij referenties toe naar de Nederlandse Baseline voor Veilige Cloud en de BIO, zodat auditors direct zien hoe technische maatregelen aansluiten op beleidsnormen. Het register wordt minimaal per kwartaal herzien, omdat Copilot-scenario’s vaak iteratief worden uitgebreid. Door het register te koppelen aan Microsoft Purview Compliance Manager ontstaat een actuele lijst van controles, maatregelen en verantwoordelijken.
DPIA’s vormen het centrale instrument om hoge risico’s te beoordelen. Copilot-implementaties waarin gevoelige persoonsgegevens, grootschalige monitoring of geautomatiseerde besluitvorming voorkomt, worden standaard aan een DPIA onderworpen. Tijdens deze beoordeling wordt gekeken naar noodzaak en proportionaliteit, de beschrijving van de datastromen, de impact op de rechten van burgers en de beoogde mitigerende maatregelen. Denk aan het uitsluiten van medische dossiers, het verplicht inzetten van human-in-the-loop reviews of het toepassen van synthetische datasets voor testdoeleinden. De uitkomsten worden vastgelegd in een bestuurssamenvatting zodat CIO’s, CISO’s en FG’s dezelfde feitenbasis delen wanneer zij de risicoacceptatie onderschrijven.
Accountability gaat verder dan documentatie. Organisaties richten privacy steering committees in die elk kwartaal de gebruiksstatistieken, incidentrapportages en auditbevindingen bespreken. Incidentresponsprocessen bevatten specifieke stappen voor AI, zoals het bevriezen van Copilot-toegang wanneer misbruik wordt vermoed en het binnen 72 uur melden van datalekken bij de Autoriteit Persoonsgegevens. Medewerkers volgen trainingen waarin zij leren hoe prompts persoonsgegevens kunnen blootleggen en hoe zij onbedoelde publicatie voorkomen. Door deze combinatie van governance, rapportage en opleidingsprogramma’s kan de overheid aantonen dat Copilot past binnen een gecontroleerde privacy- en complianceomgeving.
Tot slot borgen departementen de samenhang met Rijksbrede beleidscycli. De FG, de CIO en de CISO leggen jaarlijks verantwoording af in één integraal privacy- en beveiligingsverslag waarin Copilot als afzonderlijk hoofdstuk terugkomt. Deze rapportage wordt gedeeld met de Auditdienst Rijk en de regeringscommissaris voor informatiehuishouding, zodat verbetermaatregelen gekoppeld kunnen worden aan begrotings- en veranderportefeuilles. Zo wordt privacy-by-design geen eenmalig project, maar een doorlopend governanceproces dat Copilot binnen de grenzen van de Nederlandse rechtsstaat houdt.
Copilot kan pas op grote schaal worden ingezet binnen de overheid wanneer privacyarchitectuur en AVG-governance even volwassen zijn als de AI-functionaliteit zelf. Een heldere beschrijving van de datastromen, aantoonbare tenant-isolatie, verplichte encryptie en continue auditlogging vormen het technologische fundament. Deze maatregelen bewijzen dat AI-antwoorden binnen de gekozen regio blijven, dat alleen bevoegde personen toegang hebben en dat incidenten snel te herleiden zijn.
Daarnaast blijft de AVG leidend. Rechten van betrokkenen, verwerkingsregisters, DPIA’s en accountability-rapportages moeten specifiek verwijzen naar Copilot-activiteiten. Alleen dan kan een toezichthouder zien hoe generatieve AI in de bestaande privacyprocessen past en welke aanvullende maatregelen – zoals human-in-the-loop of synthetische testdata – zijn getroffen.
Door techniek en governance te combineren realiseren organisaties de doelstellingen van de Nederlandse Baseline voor Veilige Cloud: innovatie mogelijk maken zonder de vertrouwelijkheid van publieke informatie te ondergraven. Copilot levert productiviteitswinst op, maar blijft geborgd binnen duidelijke kaders. Dat is de kern van verantwoord AI-gebruik in de Nederlandse publieke sector.