Wat IT, DPO en compliance moeten regelen vóór de eerste Copilot-licentie aangaat. Geen Microsoft-marketing, wel de tien stappen die u verantwoord laten uitrollen binnen Artikel 4, 5, 26 en 50 van de EU AI Act.
Geen account nodig voor de scan. Inclusief PDF-rapport met risicoprofiel en stappenplan voor uw Copilot-uitrol.
Copilot is binnen veel organisaties al actief vóórdat IT of compliance er een beleidskader voor heeft. Dat creëert risico's die u nu kunt voorkomen, maar later moeilijk terugdraait.
Microsoft 365 E5-licenties krijgen Copilot-functies erbij, individuele gebruikers schakelen het zelf in. Zonder inventaris is Artikel 4-naleving (AI-geletterdheid) en Artikel 5-toezicht (verboden praktijken) onmogelijk.
Microsoft is provider, uw organisatie is deployer (gebruiksverantwoordelijke). Dat scheelt veel verplichtingen, maar niet alle. AI-geletterdheid, transparantie naar klanten en risicoclassificatie per use case blijven bij u liggen.
Een recruiter die Copilot vraagt CV's te scoren. Een manager die functioneringsverslagen laat samenvatten. Een kredietbeoordelaar die klantdossiers laat analyseren. Op dat moment kantelt de use case naar Bijlage III en gelden Artikel 26-deployer-verplichtingen.
Copilot voor Microsoft 365 verwerkt uw prompts en context binnen uw M365-tenant volgens Microsoft's documentatie, maar de exacte data-flow hangt af van licentievorm, web-grounding-instellingen en connector-configuratie. Zonder beleid weet niemand waar het beroepsgeheim eindigt.
Vier artikelen raken iedere organisatie die Copilot inzet. Twee zijn nu al van kracht, twee volgen op vaste data.
Iedereen die met Copilot werkt of het beheert moet voldoende AI-geletterdheid hebben. Dat betekent: weten hoe het werkt, wat de beperkingen zijn, en welke risico's er aan kleven. Bewijs per medewerker is verplicht. E-mail-bevestiging volstaat niet.
Copilot inzetten voor sociaal scoren van burgers, voor emotieherkenning op de werkvloer of voor predictive policing is verboden, ongeacht het AI-systeem dat eronder zit. Een interne use case-review is nodig om uit te sluiten dat Copilot voor verboden doelen wordt ingezet.
Wanneer Copilot wordt gebruikt om naar klanten te communiceren (helpdesk, e-mail, content), moet duidelijk zijn dat zij met of via een AI-systeem corresponderen. AI-gegenereerde content moet machineleesbaar gemarkeerd worden zodra dat technisch haalbaar is.
Zodra u Copilot inzet voor een Bijlage III-use case (HR-besluit, krediet, onderwijs, kritieke infrastructuur), gelden volledige deployer-verplichtingen: instructie volgen van de provider, menselijk toezicht (Art. 14), monitoring, FRIA bij overheidsgebruik, logging en informeren van betrokkenen.
Niet alle stappen kosten evenveel werk, en niet alles hoeft per direct. Maar zonder deze fundering loopt u tegen Art. 4-bewijslast, Art. 50-transparantie en datalekrisico aan zodra Copilot in productie gaat.
Per licentie, per gebruiker, per Copilot-product (Microsoft 365 Copilot, Copilot Studio, Copilot voor Sales, Github Copilot). Koppel dit aan het AI-register.
Welke data mag erin (interne notities, presentaties)? Welke niet (klantdossiers met persoonsgegevens, beroepsgeheim-data, broncode met IP-claim)? Wie reviewt output bij externe communicatie?
Brainstormen, samenvatten en notuleren is laag-risico. CV-screening, kredietbeslissing, prestatiebeoordeling kantelt naar hoog-risico (Bijlage III). Dezelfde tool, andere AI Act-verplichtingen.
Rolgebaseerd: basismodule voor alle gebruikers, verdiepingsmodule voor managers die Copilot-output benutten voor besluiten, technische module voor IT/admin die instellingen beheert.
Web-grounding uit voor afdelingen met beroepsgeheim. Sensitivity labels koppelen zodat Copilot vertrouwelijke documenten niet onverwacht in samenvattingen meeneemt. Audit-logs aanzetten.
Copilot-prompts met persoonsgegevens triggeren AVG-verplichtingen naast de AI Act. Verwerkersovereenkomst met Microsoft is afgedekt via de Data Protection Addendum, maar uw eigen DPIA blijft nodig.
AI-gegenereerde mails of klantcommunicatie krijgen een transparantielabel. Wachtwoord-resetbots en chatbots die op Copilot draaien moeten zich kenbaar maken (Art. 50).
Gebruikers moeten weten dat Copilot output produceert die statistisch waarschijnlijk is, niet feitelijk juist. Bij elke beslissing op basis van Copilot-output: menselijke verificatie verplicht.
Een gebruiker die per ongeluk een gevoelig document in een Copilot-prompt plakt is geen Microsoft-incident maar uw datalek. Procedure moet de Copilot-keten meenemen, inclusief tijdslijn en betrokken AVG-verwerkers.
Nieuwe Copilot-functies, nieuwe use cases en personeelsverloop maken eenmalige inrichting onvoldoende. Ieder kwartaal: register actualiseren, geletterdheidcijfers controleren, beleid bijstellen.
Geen aparte tools voor inventaris, beleid, training en rapportage. Eén platform dat ze koppelt zodat één wijziging automatisch doorwerkt in uw kwartaalcheck.
Registreer elke Copilot-licentie en use case in uw centrale AI-register, met automatische risicoclassificatie via de risicoscanner. Per use case: doel, datasoort, betrokken medewerkers, verantwoordelijke en risiconiveau.
Rolgebaseerde modules met certificering per medewerker. Voldoet aan Artikel 4. Voor Copilot-gebruikers een verplichte basismodule, voor managers een verdiepingsmodule over output-verificatie.
Genereer een Copilot-specifiek AI-beleid op basis van uw inventaris en sectorcontext. Inclusief transparantieteksten voor klantcommunicatie en interne instructies voor verificatieplicht.
Eén scherm met de status per pijler: geletterdheid, register, beleid, transparantie. Kwartaalcheck vlagt wat moet bijgewerkt vóór de volgende stuurgroep.
Microsoft is provider en heeft daarvoor zware verplichtingen onder Hoofdstuk V (GPAI) en als aanbieder van het onderliggende AI-systeem. Uw organisatie is echter deployer (gebruiksverantwoordelijke) zodra u Copilot binnen uw bedrijf inzet. Deployer-verplichtingen omvatten AI-geletterdheid (Art. 4), niet inzetten voor verboden praktijken (Art. 5), transparantie naar klanten (Art. 50) en bij hoog-risico use cases volledige deployer-verplichtingen (Art. 26).
Copilot is op zichzelf geen hoog-risico systeem. De use case bepaalt de classificatie. Zodra Copilot-output het besluit beïnvloedt over toelating tot werk, krediet, onderwijs, sociale voorzieningen of toegang tot kritieke infrastructuur, valt die use case onder Bijlage III en gelden Artikel 26-deployer-verplichtingen vanaf 2 december 2027 (datum onder Digital Omnibus). Voor een marketingmedewerker die teksten samenvat: laag-risico, geen aanvullende verplichtingen buiten Art. 4.
Dat hangt af van uw beleid, uw licentievorm en uw sensitivity-label-configuratie. Microsoft 365 Copilot houdt prompts en context volgens documentatie binnen uw M365-tenant en gebruikt ze niet voor trainingsdoeleinden. Maar zonder een interne acceptable-use-policy weet uw medewerker niet wanneer iets wel mag (interne notitie samenvatten) en wanneer niet (klantdossier met persoonsgegevens of beroepsgeheim-data). Een Copilot-AUP is daarom geen luxe maar een directe Art. 4-implementatie.
Minimaal: (1) een AI-geletterdheid-basismodule voor alle Copilot-gebruikers, (2) een Copilot-AUP die data-grenzen en verificatieplicht regelt, (3) een use case-inventaris in het AI-register met risicoclassificatie, (4) datalek-procedure die Copilot meeneemt, (5) DPIA waar persoonsgegevens worden verwerkt. Voor hoog-risico use cases bovendien Art. 26-controles (menselijk toezicht, monitoring, logging).
Uw AVG-tools blijven nodig voor persoonsgegevens-verwerkingsregister en DPIA's. De AI Act voegt eisen toe die niet in een verwerkingsregister passen: AI-geletterdheid per medewerker, risicoclassificatie per AI-systeem en transparantieplicht voor AI-output. AIComplianceHub voegt deze AI-laag toe en linkt expliciet naar de AVG waar relevant. Een DPIA met AI-component blijft uw eigen verantwoordelijkheid.
Artikel 4 (AI-geletterdheid) en Artikel 5 (verboden praktijken) zijn al van kracht sinds 2 februari 2025. Toezichthouders bouwen hun handhavingsagenda op. De Autoriteit Persoonsgegevens (AP) is de Nederlandse coördinerende toezichthouder voor AI-zaken. Boetes onder de AI Act lopen op tot 35 miljoen euro of 7% van wereldwijde omzet voor de zwaarste overtredingen, tot 15 miljoen euro of 3% voor de meeste deployer-overtredingen. Reputatieschade na een handhavingsbesluit is doorgaans groter dan de boete zelf.
Voor MKB met 10-50 Copilot-gebruikers: 20-30 uur in de eerste maand (inventarisatie, AUP-opstellen, e-learning uitrollen). Daarna 2-4 uur per kwartaal voor onderhoud. De gratis risicoscanner brengt uw eerste use case-inventaris in vijf minuten naar boven en levert een AI-beleid-concept dat u kunt aanscherpen.
Vijf minuten. Levert een risicoprofiel per use case en een concept-AI-beleid dat u direct kunt aanscherpen voor uw eigen Copilot-context.
