Is Microsoft Copilot veilig voor bedrijfsgegevens?

Gepubliceerd op: 30 oktober 2025Geschreven door:

Microsoft Copilot biedt krachtige AI-functionaliteit binnen de Microsoft 365 omgeving, maar het gebruik ervan roept ook vragen op over privacy en gegevensbescherming. De manier waarop data wordt verwerkt verschilt per licentie en instelling. Niet elke versie van Copilot werkt binnen dezelfde beveiligingsgrenzen, en dat heeft gevolgen voor de manier waarop bedrijfsgegevens worden behandeld. In deze blog lees je hoe de verschillende Copilot varianten omgaan met data en wat organisaties kunnen doen om veilig te werken met deze technologie.

De verschillende varianten van Copilot

Microsoft 365 Copilot (betaalde licentie) en Microsoft 365 Copilot Chat (inbegrepen bij je standaard zakelijke licentie)
Beschikbaar voor organisaties met Microsoft 365 E3, E5 of Business Premium met een Copilot toevoeging. Werkt binnen de beveiligde tenant van de organisatie, waarbij Microsoft optreedt als verwerker onder de AVG. Gegevens blijven binnen de Microsoft 365 omgeving en worden niet gebruikt om AI-modellen te trainen.

Microsoft 365 premium en family (voorheen Copilot Pro)
Voor individuele gebruikers met een Microsoft 365 Personal of Family licentie. Microsoft fungeert hier als verantwoordelijke, waardoor gegevens buiten een zakelijke omgeving kunnen worden verwerkt. Niet geschikt voor bedrijfsgebruik.

Voor meer uitleg over de verschillende Copilot versies zie: https://avk.nl/blogs/ai-en-copilot/welke-versie-van-microsoft-copilot-heb-ik/

De webschakelaar binnen Microsoft 365 Copilot: hoe je voorkomt dat gegevens alsnog met Bing worden gedeeld

De keuze tussen Werk en Web verschijnt alleen bij gebruikers met een Microsoft 365 Copilot licentie, ofwel de aanvullend betaalde licentie.

  • Werk betekent dat Copilot uitsluitend gegevens gebruikt die zich binnen de eigen Microsoft 365 omgeving bevinden. Alles blijft binnen de tenant van de organisatie.
  • Web verwijst naar de versie van Copilot die altijd is aangesloten op de zoekmachine Bing, waarbij gegevens buiten de beveiligde omgeving kunnen worden verwerkt.

Voor organisaties met een Microsoft 365 Copilot Chat licentie, die is inbegrepen bij je E3, E5 of Business Premium licentie met Copilot toevoeging kan er ondanks het gebruik binnen de werkomgeving dus nog steeds data worden gedeeld met Bing.

Wat veel gebruikers met Microsoft 365 Copilot (betaalde versie) licentie niet weten, is dat zelfs binnen de Werk versie standaard de webschakelaar aanstaat. Deze instelling bepaalt of Copilot aanvullende informatie mag ophalen via Bing of andere openbare bronnen. Staat de webschakelaar aan, dan kan Copilot nog steeds online informatie gebruiken. Daarbij kunnen delen van de prompt of metadata tijdelijk buiten de tenant worden verwerkt.

Advies: zet de webschakelaar binnen de ‘werk’ omgeving uit als je wilt dat alle verwerking binnen de eigen Microsoft 365 omgeving blijft. Dit voorkomt dat Copilot gegevens deelt met Bing. Beheerders kunnen dit centraal uitschakelen via groepsbeleid of via Microsoft Purview.

Bevindingen uit de DPIA van SLM Rijk en SURF

De Nederlandse overheid heeft samen met SURF eind 2024 een Data Protection Impact Assessment (DPIA) uitgevoerd op Microsoft Copilot en september 2025 het advies aangepast naar aanleiding van verbeteringen en toezeggingen van Microsoft. Het was de eerste onafhankelijke en openbare beoordeling van een AI-tool. Voor bijvoorbeeld ChatGPT is geen openbare / noch onafhankelijke DPIA beschikbaar.

De belangrijkste bevindingen waren:

  • Onvoldoende transparantie over de verwerking van service- en telemetriegegevens, waaronder logbestanden en diagnostische data. Dit risico gaat vooral over de Bing zoekopdracht die gedaan wordt op de achtergrond als je Copilot gebruikt.
  • Risico op heridentificatie door lange bewaartermijnen (tot 18 maanden) van deze gegevens.
  • Verlies van controle door standaard ingeschakelde verbindingen met Bing en optionele “Connected Experiences”.
  • Gebrek aan duidelijkheid over de rolverdeling tussen Microsoft (verwerker) en OpenAI (subverwerker).

Na aanvullende toezeggingen van Microsoft in 2025 zijn de risico’s verlaagd van “hoog” naar “midden”, maar er blijven aandachtspunten. Overheidsorganisaties wordt geadviseerd om zelf een aanvullende DPIA uit te voeren en auditlogging en gevoeligheidslabels (dataclassificatie) in te schakelen.

Waar blijven je gegevens?

In Microsoft 365 Copilot worden prompts en antwoorden tijdelijk verwerkt (ephemeral processing). Ze worden niet gebruikt om AI-modellen te trainen en blijven binnen de tenant van de organisatie.

Wel verzamelt Microsoft zogenaamde Required Service Data (RSD) en telemetriegegevens voor functionele doeleinden, bijvoorbeeld om foutmeldingen te analyseren. Deze worden maximaal 18 maanden bewaard. Volgens de DPIA is nog onvoldoende onderbouwd waarom deze termijn nodig is.

Microsoft stelt dat alle inhoudelijke data binnen de EU Data Boundary blijft opgeslagen en verwerkt, tenzij er expliciet ondersteuningsverzoeken worden geopend via internationale teams.

Privacy en AVG-compliance

Voor organisaties met een zakelijk Microsoft-contract fungeert Microsoft als verwerker onder de AVG, maar dat is niet anders dan bij het standaard gebruik van Microsoft 365 met apps zoals Teams, SharePoint en Outlook/Exchange. Dat betekent dat gegevensverwerking plaatsvindt binnen overeengekomen contractuele kaders, inclusief de standaard verwerkersovereenkomst (DPA) en EU Model Clauses.

De AVG-principes die Copilot onderschrijft zijn:

  • geen training op klantdata (geen modelverbetering met jouw gegevens),
  • minimale gegevensverwerking,
  • duidelijke doelbinding,
  • tijdelijke verwerking van prompts en antwoorden,
  • volledige gebruikerscontrole en logging,
  • dataveiligheidsinstellingen van de tenant worden gerespecteerd,
  • aanvullende rapportages en beperkingen zijn in te richten via Purview, om bijvoorbeeld te kunnen voldoen aan de Wet Open Overheid.

Toch blijft het raadzaam dat organisaties zelf beleid en richtlijnen opstellen over het gebruik van generatieve AI. Medewerkers moeten weten welke informatie zij niet mogen invoeren in prompts (zoals persoonsgegevens of vertrouwelijke documenten).

Hoe implementeer je Microsoft Copilot veilig in jouw organisatie?

Een veilige implementatie van Microsoft Copilot vraagt om zorgvuldige voorbereiding en een stapsgewijze aanpak. Begin met het vaststellen van een duidelijk AI-beleid, voer een readiness assessment uit en zorg dat de data governance op orde is voordat Copilot wordt geactiveerd. Start bij voorkeur met een pilot in een beperkte groep gebruikers om ervaring op te doen en beleid te kunnen bijstellen op basis van praktijkinzichten.

De belangrijkste stappen voor een verantwoorde invoering zijn:

  1. Controleer de licenties. Wees je bewust van hoe Copilot met gegevens omgaat. Bij Copilot for Microsoft 365 blijven data binnen de beveiligde omgeving, terwijl andere varianten, zoals Bing of Windows Copilot, gegevens extern kunnen verwerken.
  2. Voer een eigen DPIA uit. Gebruik de richtlijnen van SLM Rijk en SURF als referentie en leg aanvullende organisatorische maatregelen vast.
  3. Gebruik Microsoft Purview. Stel Data Loss Prevention beleid, auditlogs en gevoeligheidslabels in om te bepalen hoe informatie binnen Microsoft 365 mag worden verwerkt en gedeeld.
  4. Train medewerkers. Leg uit hoe zij Copilot op een veilige manier kunnen gebruiken, welke informatie niet in prompts mag worden ingevoerd en hoe AI-output moet worden gecontroleerd.
  5. Monitor en evalueer. Houd toezicht op het gebruik van Copilot, controleer de auditlogs en beoordeel regelmatig of de toepassing nog in lijn is met het interne beleid en de AVG.
  6. Beperk toegang tot internetbronnen. Overweeg het uitschakelen van de webschakelaar in Microsoft 365 Copilot ‘werk’ omgeving om te voorkomen dat gegevens of prompts buiten de tenant worden verwerkt.

Microsoft Copilot biedt veel mogelijkheden, maar veilig gebruik hangt af van de licentie, instellingen en het interne beleid. Wie weet hoe Copilot met gegevens omgaat en passende maatregelen neemt voor privacy en governance, kan de technologie verantwoord binnen de organisatie inzetten.

Gerelateerde trainingen

Digitaal Vitaal® Solo
AI en Dataveiligheid traject
AI Training voor Gevorderden
Training Microsoft 365 Fundamentals (MS-900)
Maandelijke Copilot update sessie
AI Beleid opstellen
Microsoft Copilot Training
Training Copilot Agents maken
De Promptbibliotheek
Copilot eLearning Videoreeks

Gerelateerde blogs