Copilot kan gebruikt worden voor het notuleren van vergaderingen, het schrijven van documenten en het doorzoeken van onder andere e-mails en chats. De toepassing is interactief en werkt met ‘prompts’ waarbij de gebruiker vragen kan stellen en het AI-hulpprogramma antwoord geeft. Door deze interactie tussen de gebruiker en Copilot, worden er allerlei gegevens verwerkt. Deze gegevensverwerking moet voldoen aan wet- en regelgeving, bijvoorbeeld op het gebied van privacy. 

Risico's Copilot

Om te zorgen dat technologieën als Copilot op een verantwoorde manier worden ingezet, zijn er diverse instrumenten en toetsen ontwikkeld, waaronder een privacytoets (het data protection impact assessment of DPIA). SLM Rijk (Strategisch Leveranciersmanagement Microsoft) voerde onlangs deze privacytoets uit en ontdekte een aantal risico's die hoofdzakelijk voortkomen uit een gebrek aan transparantie.

Afweging over gebruik generatieve AI

Diverse gemeenten maken al gebruik van de kansen die generatieve AI, zoals Copilot, biedt maar nog meer gemeenten willen dit effectiever, doelgerichter en betrouwbaarder kunnen doen. Dan is het wel nodig dat de producten die de markt aanbiedt aan bepaalde vereisten voldoen, op z’n minst aan de Europese wet- en regelgeving. 

Gemeenten zullen zelf moeten afwegen of zij de risico’s die volgen uit de privacytoets van Copilot voldoende kunnen mitigeren of bewust accepteren. De informatiebeveiligingsdienst (IBD) heeft een aanvullende notitie (pdf, 168 kB) geschreven die de (mogelijke) gevolgen voor gemeentelijke organisaties belicht.

Behoeften en bescherming van inwoners centraal 

De VNG vindt dat gemeenten de kansen die digitale technologie biedt moeten omarmen. Denk aan datagedreven beleid, digital twins, automatisering van processen en generatieve AI-toepassingen, bijvoorbeeld voor het schrijven of samenvatten van teksten. Daarbij moeten we samen zorgen dat dit niet gebeurt vanuit een market push of vanuit alleen het bedrijfsvoering- en IT-perspectief. En altijd op een manier waarbij de behoeften en bescherming van inwoners centraal staan én met een duidelijk doel voor ogen.

Reactie van de gemeente Amsterdam

'De uitkomsten van de DPIA bevestigen onze zorgen over de inzet van Microsoft Copilot. De geïdentificeerde risico’s maken dat deze technologie op dit moment niet veilig en juridisch verantwoord binnen onze organisatie kan worden toegepast. Daarom hebben we besloten om niet te starten met onze pilot met Microsoft Copilot en de technologie voorlopig niet te implementeren. We sluiten ons aan bij het standpunt van SLM Rijk dat Microsoft eerst concrete stappen moet zetten om deze risico’s weg te nemen.'

Correctie 27 februari 2025: In een eerdere versie van dit bericht stond dat de gemeente Amsterdam gestopt was met de pilot, maar de pilot is nooit van start gegaan. Het is aangepast in: 'De gemeente Amsterdam heeft besloten om geen pilot te starten'.