Microsoft Copilot is in 2024 en 2025 in hoog tempo uitgerold in Microsoft 365-omgevingen wereldwijd. Voor veel Nederlandse bedrijven is Copilot er gewoon "bij gekomen" als onderdeel van hun bestaande licentie — zonder dat er bewust een beslissing is genomen om AI in te zetten. Toch verplicht de AI wet (EU AI Act) uw organisatie om ook dit gebruik te documenteren en te beheersen. Dat maakt de compliance-vraag urgenter, niet minder.
Microsoft Copilot is een AI-assistent die geïntegreerd is in Microsoft 365-applicaties (Word, Excel, PowerPoint, Outlook, Teams). Copilot gebruikt grote taalmodellen (GPT-4 van OpenAI) om teksten samen te vatten, documenten te genereren, e-mails op te stellen en vragen te beantwoorden op basis van uw bedrijfsdata.
Valt Microsoft Copilot onder de EU AI Act?
Ja. Microsoft Copilot valt onder de EU AI Act als een General Purpose AI-systeem (GPAI). Dit heeft twee gevolgen:
- Microsoft (de aanbieder) moet voldoen aan GPAI-verplichtingen: transparantie over het model, technische documentatie richting de EU AI Office, naleving van auteursrechtregels.
- Uw bedrijf (de deployer) moet voldoen aan de verplichtingen die gelden voor de manier waarop u Copilot inzet. Dat betekent: AI-register, AI-beleid, medewerkersinformatie en transparantie waar nodig.
Wat regelt Microsoft wél voor u?
Microsoft heeft een uitgebreid compliance-programma voor Copilot. Wat Microsoft regelt:
- De technische veiligheid en betrouwbaarheid van het Copilot-model
- Data-opslag in de EU (als u een EU-licentie heeft) en verwerking conform AVG
- De Data Processing Agreement (DPA): die is standaard onderdeel van uw Microsoft 365-contract
- Transparantie over GPAI-verplichtingen richting de Europese Commissie
Goed nieuws: De DPA voor Microsoft 365 (inclusief Copilot) is standaard gedekt door uw bestaande Microsoft-overeenkomst als u een zakelijke licentie heeft. Controleer wel of u een zakelijk account heeft en niet een persoonlijk account dat zakelijk wordt gebruikt.
Wat regelt Microsoft NIET voor u?
| Verplichting | Wie is verantwoordelijk? |
|---|---|
| Copilot opnemen in uw AI-register | Uw bedrijf |
| AI-beleid voor intern Copilot-gebruik | Uw bedrijf |
| Medewerkers informeren (artikel 4 AI-geletterdheid) | Uw bedrijf |
| Bepalen welke data medewerkers in Copilot mogen invoeren | Uw bedrijf |
| Transparantie als Copilot-output naar klanten gaat | Uw bedrijf |
| Toezicht als Copilot beslissingen ondersteunt (bijv. HR) | Uw bedrijf |
Wanneer wordt Copilot-gebruik hoog-risico?
Copilot zelf is geen hoog-risico AI-systeem. Maar het gebruik kán hoog-risico worden afhankelijk van hoe u het inzet:
- Copilot gebruiken om sollicitanten te beoordelen of cv's te rangschikken → hoog-risico (HR-toepassing, Bijlage III AI Act)
- Copilot gebruiken voor financiële analyses die leiden tot kredietbeslissingen → hoog-risico (financiële dienstverlening)
- Copilot gebruiken voor medische samenvattingen of diagnose-ondersteuning → hoog-risico (zorg)
- Copilot gebruiken voor teksten, e-mails, samenvattingen, presentaties → beperkt risico, basisnaleving voldoende
Praktische compliance-stappen voor Copilot-gebruikers
- Voeg Copilot toe aan uw AI-register: noteer naam (Microsoft Copilot for Microsoft 365), aanbieder (Microsoft), doel van gebruik, risiconiveau (beperkt, tenzij hoog-risico toepassing), en wie intern verantwoordelijk is.
- Stel een Copilot-gebruiksbeleid op: bepaal welke data medewerkers wel en niet mogen invoeren in Copilot. Richtlijn: geen persoonsgegevens van klanten of medewerkers, geen bedrijfsvertrouwelijke data tenzij Copilot staat ingesteld om data buiten Microsoft te bewaren.
- Informeer uw medewerkers (artikel 4): leg minimaal uit hoe Copilot werkt, welke data niet ingevoerd mag worden, dat output altijd door een mens gecontroleerd moet worden, en wat de spelregels zijn voor extern gebruik van Copilot-gegenereerde teksten.
- Controleer uw Microsoft-licentie: zorg dat u een zakelijke Microsoft 365-licentie heeft (Business, Enterprise of Education), niet een consumentenabonnement. De DPA is alleen van kracht bij zakelijke licenties.
- Transparantie naar klanten: als u Copilot gebruikt voor content die naar klanten gaat (offertes, rapporten, nieuwsbrieven), vermeld dan waar relevant dat AI is ingezet bij de totstandkoming. Dit hoeft niet bij elke e-mail, maar wel als AI een substantiële rol speelde.
Wat als medewerkers Copilot gebruiken zonder dat u het weet?
Dit is een realistische situatie bij veel MKB-bedrijven. Copilot is beschikbaar in de Microsoft 365-omgeving en medewerkers kunnen het gebruiken zonder dat er een expliciete beslissing over is genomen. Toch bent u als werkgever en deployer verantwoordelijk.
Praktische aanpak:
- Controleer in uw Microsoft 365 Admin Center welke Copilot-features actief zijn en wie ze kan gebruiken
- Besluit bewust of u Copilot inschakelt voor iedereen, een selecte groep, of niemand
- Communiceer uw beslissing en beleid actief naar medewerkers
- Leg vast dat deze communicatie heeft plaatsgevonden (datum, medium, deelnemers)
Microsoft breidt Copilot voortdurend uit: Copilot Studio (eigen chatbots bouwen), Copilot Agents (geautomatiseerde taken), en sectorgericht gebruik. Als u Copilot Studio gebruikt om een klanten-chatbot te bouwen, gelden aanvullende transparantie-verplichtingen vanuit de EU AI Act.
Controleer uw Copilot-naleving gratis
De gratis checker analyseert uw Microsoft 365- en Copilot-gebruik op EU AI Act-verplichtingen en geeft u een persoonlijk actieplan. In 10 minuten klaar.
Start de gratis compliance check