Amsterdam doet geen pilot met Microsoft Copilot wegens privacyrisico's - update - IT Pro - Nieuws

De gemeente Amsterdam gaat geen pilot beginnen met Microsoft Copilot. Uit een recente privacytoets van SLM Rijk blijkt dat Copilot vooralsnog niet compliant te gebruiken is, zegt de Vereniging Nederlandse Gemeenten.

SLM Rijk, dat de overeenkomsten met cloud- en softwareleveranciers voor de Rijksoverheid beheert, publiceerde eind december de resultaten van een Data Protection Impact Assessment over Microsoft Copilot. Daaruit blijkt dat er vier hoge risico's gepaard gaan met het gebruik van de AI-tool, die vooral voortkomen uit een gebrek aan transparantie van Microsoft over de verwerking van persoonsgegevens.

"De geïdentificeerde risico’s maken dat deze technologie op dit moment niet veilig en juridisch verantwoord binnen onze organisatie kan worden toegepast", zegt de gemeente Amsterdam in een reactie aan de Vereniging van Nederlandse Gemeenten. "Daarom hebben we besloten om niet te starten onze pilot met Microsoft Copilot en de technologie voorlopig niet te implementeren."

VNG raadt het gebruik van Copilot en andere generatieve-AI-tools echter niet af. De organisatie adviseert gemeenten vooral om bewust de keuze te maken of de risico's opwegen tegen de baten. "Gemeenten zullen zelf moeten afwegen of zij de risico’s die volgen uit de privacytoets van Copilot voldoende kunnen mitigeren of bewust accepteren."

SURF raadt naar aanleiding van de DPIA Nederlandse onderwijs- en onderzoeksinstellingen wel af om Copilot te gebruiken. De organisatie zei in december dat het in gesprek is met Microsoft om de risico's te mitigeren. Ook SLM Rijk zei in december met Microsoft in gesprek te zijn over de privacyrisico's. "Zodra er overeenstemming is bereikt over maatregelen die voldoende waarborgen bieden, zal SLM deze maatregelen evalueren en een herbeoordeling uitvoeren."

Update, 3 maart 14.28 - De VNG heeft zijn aanvankelijke berichtgeving gecorrigeerd. De gemeente Amsterdam is nooit met de pilot begonnen. In plaats van dat stop te zetten, begint de gemeente daar niet aan. Het artikel en de titel zijn daarop aangepast.

IT-banen

Reacties (75)

CAPSLOCK2000

Privacy
Amsterdam
Microsoft

27 februari 2025 14:19

Beter ten halve gekeerd dan ten hele gedwaald.

Uit een recente privacytoets van SLM Rijk blijkt dat Copilot vooralsnog niet compliant te gebruiken is, zegt de Vereniging Nederlandse Gemeenten.

No shit, wie had dat nu kunnen zien aankomen? Het is niet alsof de media niet al jarenlang vol staan over privacy, dataverzameling en AI.... Ik vind het bijna naief om zo'n onderzoek uberhaupt te beginnen en iets anders te verwachten dan dat er uitkomt dat MS en de VS mee kunnen kijken. Ik snap dat je het toch moet doen zodat het officieel op papier staat en dat MS gewoon begint met zo iets uit te rollen en gebruikers dus altijd achteraf moeten reageren op een reeds voldongen feit... maar kom op zeg, we blijven maar in die valkuil lopen. Tijd dat de overheid keihard ingrijpt om de vendor lock-in te breken want alle afspraken en beloftes zijn waardeloos als je niet in staat bent om weg te lopen als de afspraken worden gebroken.

SLM Rijk, dat namens de overeenkomsten met cloud- en softwareleveranciers voor de Rijksoverheid beheert, publiceerde eind december de resultaten van een Data Protection Impact Assessment over Microsoft Copilot. Daaruit blijkt dat er vier hoge risico's gepaard gaan met het gebruik van de AI-tool, die vooral voortkomen uit een gebrek aan transparantie van Microsoft over de verwerking van persoonsgegevens.

Dit toont wat mij betreft aan dat zo'n DPIA gewoon niet genoeg is. Zo'n DPIA gaat uit van een theoretische werkelijkheid waarin iedereen zich keurig aan alle regels houdt, inclusief buitenlandse mogendheden, en er geen grijze gebieden in de wet zijn. Een DPIA gaat vooral over afspraken, procedures en verantwoordelijkheden en veel minder over concrete technische maatregelen. Op papier kan iedereen beloven dat ze een prachtig product gaan maken dat aan alle regels voldoet, maar als niemand dat controleert zal het waarschijnlijk niet voldoen. Iedere moderne organisatie heeft ergens staan dat je veilige wachtwoorden moet gebruiken maar nog steeds zien we "Welkom2025" langs komen.

DPIA is er vooral voor bestuurders die niet verantwoordelijk gehouden willen worden als er problemen ontstaan. Dat is iets anders dan problemen voorkomen. Voor de duidelijkheid, ik ben niet tegen DPIA's of de maatregelen en procedures die ze controleren maar alleen een DPIA is niet genoeg.
Ik ga er van uit dat de vier genoemde problemen "opgelost" gaan worden doordat iemand bij MS een paar pagina's tekst schrijft waarna de bestuurders opgelucht hun handtekening onder het contract zetten.

De organisatie adviseert gemeenten vooral om bewust de keuze te maken of de risico's opwegen tegen de baten. "Gemeenten zullen zelf moeten afwegen of zij de risico’s die volgen uit de privacytoets van Copilot voldoende kunnen mitigeren of bewust accepteren."

Ik durf te wedden dat ze vrijwel allemaal gaan besluiten dat de risico's opwegen tegen de voordelen.
Waar mogelijk zullen risico's worden gemitigeerd door te zeggen dat medewerkers bepaalde dingen gewoon niet mogen doen ("geen privacy gevoelige dingen doen!"). Het probleem is dat die medewerkers dat dan zelf moeten gaan beoordelen en het is niet meer dan menselijk om de situatie dan in je eigen voordeel uit te leggen. Ga er maar van uit dat ze steeds weer oordelen dat nu wél kan omdat de voordelen zo groot zijn. Minstens zo lastig is dat veel gebruikers het toch zullen doen ook al mag het eigenlijk niet van de baas, gewoon omdat het zo handig is.

Waar ik echt boos van wordt is de redenatie dat CoPilot geen probleem is ómdat MS toch al onze data al heeft want we hebben die data zelf naar hun cloud toegebracht. Alsof je de brandweer vertelt dat die vaten benzine in je schuur geen probleem zijn omdat je huis toch al in brand staat.

Overheden zijn geen bedrijven. Bedrijven draaien om geld. Gebroken afspraken zijn niet echt erg zolang je de contractueel afgesproken boete ontvangt, bij een goed contract verdien je dan nog steeds geld.
Zo werkt het niet bij de overheid. Staatsveiligheid kun je niet afkopen met een boete. Uiteraard speelt geld wel een rol en moet iedereen een afweging maken hoe ze hun geld besteden maar geld mag niet de belangrijkste afweging zijn.

[Reactie gewijzigd door CAPSLOCK2000 op 27 februari 2025 15:15]

kodak

Privacy

@CAPSLOCK2000 • 27 februari 2025 15:34

Dit toont wat mij betreft aan dat zo'n DPIA gewoon niet genoeg is. Zo'n DPIA gaat uit van een theoretische werkelijkheid waarin iedereen zich keurig aan alle regels houdt, inclusief buitenlandse mogendheden, en er geen grijze gebieden in de wet zijn

Naar aanleiding van de risico's in de DPIA is de pilot gestopt. Het gaat dus niet slechts om de theorie maar juist ook wat het in de praktijk voor gevolgen heeft. Bijvoorbeeld dat er in de praktijk geen harde maatregelen zijn te nemen om de nodige controle te hebben of te krijgen.

Ik ben het met je eens dat een DPIA te veel nadruk op de theorie kan leggen, maar waar staat in het nieuws dat daar de nadruk te veel op zou hebben gelegen? Er lijkt eerder de situatie te zijn dat er geen duidelijke DPIA was bij het starten van de pilot of dat de DPIA (laten) uitvoeren onderdeel was van de start van deze pilot.

de redenatie dat CoPilot geen probleem is ómdat MS toch al onze data al heeft want we hebben die data zelf naar hun cloud toegebracht.

Waar staat dat bij dit nieuws en besluit? Ik lees dat de vereniging niet voor anderen gaat besluiten wat te risicovol is. En dat is niet vreemd. De vereniging heeft geen verantwoordelijkheid over waar individuele gemeenten verantwoordelijk voor zijn. De gemeente neemt zelf vervolgens de verantwoordelijkheid die het heeft door de AI service als te groot risico te zien en dus juist niet te gebruiken.

[Reactie gewijzigd door kodak op 27 februari 2025 16:13]

CAPSLOCK2000

Privacy
Amsterdam
Microsoft

@kodak • 27 februari 2025 16:47

Naar aanleiding van de risico's in de DPIA is de pilot gestopt. Het gaat dus niet slechts om de theorie maar juist ook wat het in de praktijk voor gevolgen heeft. Bijvoorbeeld dat er in de praktijk geen harde maatregelen zijn te nemen om de nodige controle te hebben of te krijgen.

Ik heb het over de zin "Daaruit blijkt dat er vier hoge risico's gepaard gaan met het gebruik van de AI-tool, die vooral voortkomen uit een gebrek aan transparantie van Microsoft over de verwerking van persoonsgegevens.". Dat impliceert dat als MS meer duidelijkheid geeft dat het dan wel in orde is en dat er verder niet zo veel aan de hand is.
Ik ben blij dat de DPIA hier nuttig toegepast is maar het laat ook zien dat een DPIA niet genoeg is om alle aspecten van de situatie te beoordelen. Het gebruik van CoPilot, AI, de cloud, etc gaat over veel meer dan alleen persoonsgegevens. Vandaar dat ik zeg dat een DPIA niet genoeg is.

Waar staat dat bij dit nieuws en besluit?

Dat is een reactie die ik veel hoor in de media en ook van gebruikers van deze site. Zie ook
CAPSLOCK2000 in 'Gemeente Amsterdam stopt pilot met Microsoft Copilot wegens privacyrisico's' die daar over gaat.

kodak

Privacy

@CAPSLOCK2000 • 28 februari 2025 11:28

Als iemand meer verduidelijking over verwerking geeft kan dat net zo goed betekenen dat er meer risico blijkt. Het verduidelijken is er niet om eenzijdig op te vatten alsof bij voldoende verduidelijken er dus maar rechtmatige verwerking is. En dat toont het nieuws ook, omdat de dpia specifieke verduidelijking geeft die er eerder niet was en men daarop stelt dat het risico te groot is.

We kunnen natuurlijk betwijfelen dat als iemand meer uitleg krijgt men dan nog genoeg let op de risico's. Of stellen dat er al specifieke duidelijkheid genoeg is en beter geen risico kunnen nemen. Maar de eisen zijn dat bij individuele verantwoordelijkheid er dus ook individueel onderzoek, inschatting en besluit hoort te zijn. Willen we dat anders hebben dan zal je waarschijnlijk eerst naar de wetgever moeten. Maar die legt niet voor niets verantwoordelijkheid bij individuele organisaties, mogelijkheden tot democratische inspraak en hulp en inmenging via de toezichthouders.

Het nieuws gaat over een situatie waar het juist lijkt te verlopen zoals de wetgever bedoelde: niet zomaar een verwerking door een ander accepteren en vooraf afwegen of het voldoet en anders niet gebruiken. Het nieuws is niet dat als iemand een verwerking wil gebruiken het dus maar zal gebeuren. Al kan het zeker ergens anders gewoon gedaan worden door heel andere opvattingen. Maar dat gaat net zo goed op voor andere eisen die verantwoordelijkheid bij personen of organisaties leggen. Dus ook al zou er een verbod zijn.

VySio @CAPSLOCK2000 • 27 februari 2025 18:05

Als je in het Microsoft Eco systeem zit is het toch niet heel raar om uit te zoeken hoe Copilot hier in past.

En ja, microsoft heeft al heel veel data van veel bedrijven. Met data op oa Azure, Sharepoint, outlook hebben ze veel gevoellige gegevens. Dan is het toch een vrij kleine stap om te onderzoeken of Copilot bij je bedrijf of instelling past?

Ik werk voor een consultancy bedrijf en hebben veel klanten. Wij (onze securityafdeling) zijn ook actief aan het kijken of Copilot enterprise een goede optie is voor ons bedrijf en of klanten er mee akkoord gaan dat wij hier gebruik van maken.

Een 2e optie is een offline AI, alleen daar komt veel meer beheer bij kijken dan gewenst.

CAPSLOCK2000

Privacy
Amsterdam
Microsoft

@VySio • 27 februari 2025 20:37

Als je in het Microsoft Eco systeem zit is het toch niet heel raar om uit te zoeken hoe Copilot hier in past.

Bij mij gaat het al fout bij de eerste "als".

Als je tegenwoordig in het MS ecosysteem zit dan staat je data zeer waarschijnlijk in de cloud en gebruik je waarschijnlijk een hoop software die deels bij MS draait. Als je er nu door CoPilot achterkomt dat het niet ok is dan heb je het verleden niet goed opgelet. CoPilot verandert er weinig aan anders dan dat mensen beter beginnen te beseffen wat er mogelijk is met al die data.

Daarom begon ik mijn post ook met op te merken dat we hier al jaren voor aan het waarschuwen zijn, maar "ze" gaan maar door met alles naar de cloud/MS toe brengen. DIe weg zou vroeg of laat hier uit gaan komen.

VySio @CAPSLOCK2000 • 27 februari 2025 23:00

Tegenwoordig is het de trend om hdt ecosysteem als iets slechts te zien. Maar bedrijven kiezen er natuurlijk voor omdat het zeer veel voordelen biedt. Ja, er zitten nadelen aan maar voor de eerder genoemde doeleinden zijn die niet zo groot. Copilot onderzoeken we omdat wij niet willen dat copilot/openai getraind wordt met onze data, of data van onze klanten. Daar willen we zekerheid op hebben.

Vendor lock-in is bij alle systemen lastig. Als voorbeeld: je hebt de keuze uit 1 ecosysteem waar je SSO op ieder programma hetzelfde insteld, of je hebt de keuze om SSO voor 8 verschillende programmas in te stellen. Qua instellen en onderhoud is het zoveel makkelijker om dit voor een ecosysteem te doen.

Mijn punt is dat het allemaal wel mooi klinkt om niet afhankelijk te zijn van 1 partij, maar je hebt veel meer kennis, en dus meer gespecialiseerde ITers nodig. En dat probleem is veel groter imo.

Als er ooit eens een groot en succesvol Europees alternatief komt dan is er meer keuze, maar een overstap vergt een grote investering.

CAPSLOCK2000

Privacy
Amsterdam
Microsoft

@VySio • 28 februari 2025 15:42

Mijn punt is dat het allemaal wel mooi klinkt om niet afhankelijk te zijn van 1 partij, maar je hebt veel meer kennis, en dus meer gespecialiseerde ITers nodig. En dat probleem is veel groter imo.

Ik zie het vooral als korte termijn vs lange termijn. Op korte termijn is het voor iedereen gunstig om de goedkoopste aanbieder te hebben en een simpele monocultuur zonder variatie.
Op lange termijn wordt je daardoor wel afhankelijk en dus kwetsbaar. Zakelijk gezien betekent het dat er misbruik van je gemaakt zal worden en je op termijn een forse rekening gepresenteerd krijgt.
Nu kun je de korte termijn niet negeren, zonder korte termijn komt er nooit een lange termijn. Beter nu succesvol zijn en over 10 jaar kapot gaan dan nu direct failliet gaan.
Daarom vind ik dat de overheid een grotere rol moet gaan spelen want individuele bedrijven kunnen dat haast niet, die moeten zichzelf voorop stellen ook al is dat tegen het algemene belang. (Het is een vorm van de "Tragedie van de meent")

kamerplant 27 februari 2025 13:41

Hoe kan het toch zijn dat Microsoft dit soort zaken niet in orde heeft, Microsoft is zó corporate focust..?

Botmeister @kamerplant • 27 februari 2025 13:47

Hoe kan het toch zijn dat er altijd weer mensen zijn binnen overheidsorganisaties, die dit soort pilots kunnen starten? Terwijl er waarschijnlijk genoeg collega's hebben gezegd dat de risico's eerst in kaart moeten worden gebracht.

Kabulki @Botmeister • 27 februari 2025 14:29

Het is niet juist. Amsterdam is nooit een pilot gestart met Copilot. Bij het opzetten van de pilot en het in kaart brengen van mogelijke privacy risico's, is besloten de pilot niet te starten en te wachten op de uitkomsten van de DPIA van SLM Rijk. Die zijn inmiddels bekend en het was dus een juiste beslissing om niet te starten. Nu is het eerst wachten tot die hoge risico's door Microsoft worden opgelost.

Tuckson809 @Kabulki • 27 februari 2025 15:18

De hoge risico's worden niet opgelost.
Microsoft valt als Amerikaans bedrijf namelijk gewoon onder de "Cloud Act (2018)" en dat wil zeggen dat de amerikaanse overheid ze gewoon kan verplichten om data vanaf europese servers aan te leveren indien dat in het belang van de VS geacht wordt. Ik vind het van de zotte dat half europa met man en macht al haar data op de discs van amerikaanse bedrijven aan proppen is terwijl er gewoon conflicterende wetgeving tussen de VS en Europa is. No way dat de VS de GDPR boven hun eigen belangen gaan stellen als ze dat slecht uitkomt.

fastedje @Tuckson809 • 27 februari 2025 16:34

Er zijn ook diverse advocaten die Microsoft om een verklaring hebben gevraagd over het volgende:
Bij Office365 zit tegenwoordig verplicht Copilot en dit kan niet los worden uitgezet. Dit is specifiek voor advocaten een groot probleem omdat gegevens tussen cliënten strikt gescheiden moeten blijven. Vragen hierover werden door Microsoft gebagatelliseerd en genegeerd. Het komt erop neer dat een Advocaat die gegevens tussen cliënten deelt uit het ambt gezet kan worden.

Ik denk dat het tijd wordt dat er meer bewustzijn komt van de alternatieven,. zoals Libre Office,.waar je dit soort problemen niet hebt.

StackMySwitchUp @fastedje • 27 februari 2025 17:27

Libre office is echt geen serieus alternatief. Het probleem is dat een bedrijf als Microsoft nu zo'n critical mass heeft dat men eindeloos kan doorontwikkelen met 1000x meer efficientie dan een open source alternatief. Als we ècht willen, dan kan het wat worden, maar dan zal overheid en bedrijfsleven hun steentje bij moeten dragen met grote zakken geld en ontwikkeltijd.
Een overheidsinstelling nu forceren om open source te gaan is vragen om problemen. Die mensen zitten daar helemaal niet op te wachten want 'Alles is anders' en de supporting infra moet echt ontzettend goed in elkaar zitten om je niet compleet terug in de steentijd te wanen

sebati @StackMySwitchUp • 27 februari 2025 21:59

Dat is een manier om er naar te kijken: meer Microsoft. Je kunt ook gewoon beginnen met een verander traject zodat je die afhankelijkheid over een jaar of 5-10 hebt afgebouwd. Kijken naar wat wel kan werkt altijd beter dan kijken naar wat er niet kan. Microsoft vs een open source project is ook niet een erg sterk vergeklijk om te maken. Dan moet je kijken of er voor iedere oplossing van Microsoft een (open source) alternatief is. Een aantal open source projecten werkt juist in bijvoorbeeld openDesk samen om dat te bewerkstellingen.
https://opendesk.eu/en/

Dit wordt onder andere al geimplementeerd in Schleswig-Holstein.
https://arstechnica.com/i...ux-30k-workers-migrating/

Het ministerie van Binnenlandse Zaken & Koninkrijksrelaties is al begonnen met een kleinschalige technische proef van deze opensource-kantoorautomatisering.
https://www.computable.nl...overheid-stap-dichterbij/

LibreOffice, Netxcloud, Matrix/Element, OpenProject, XWiki, ea zijn allemaal onderdeel van deze oplossing.

Botmeister @Kabulki • 27 februari 2025 14:45

Goed om te horen! Bedankt voor de toelichting. Inderdaad eerst doe je een DPIA dan pas de betreffende service inschakelen. Ik vond het al lastig om te bedenken hoe je 'pilot' moet zien in dit artikel, er klopte iets niet helemaal voor mijn gevoel. Maar dat was dus de titel van het artikel.

knorrecheck @Kabulki • 27 februari 2025 18:20

Ik werk voor de gemeente Amsterdam en enige tijd geleden was Copilot opeens beschikbaar terwijl berichten inderdaad eerst spraken over wachten op de resultaten van dit onderzoek. Pilot of niet, daar wil ik vanaf zijn, maar mijn collega's en ik kunnen gebruik maken van Copilot. De optie zal wel weer net zo geruisloos verdwijnen als hij gekomen is.

DeFeCt @knorrecheck • 28 februari 2025 09:04

Waarschijnlijk is dit de gratis variant die eerst door het leven ging als Bing Chat, ik verwacht dat als je een gerichte prompt geeft om iets uit je inbox op te halen dat je terugkrijgt dat "jouw" Copilot dit niet kan.

Botmeister @knorrecheck • 3 maart 2025 11:11

Dus toch? Gemeente Amsterdam heeft dus gewoon Copilot geactiveerd in de productieomgeving? @Kabulki sorry even oude koeien ;-)

Begrijp ik het nu goed dat de mediaberichten doen lijken alsof er slechts een pilottraject is gestart dat halverwege is stopgezet. Terwijl in werkelijkheid er zonder vereiste DPIA een AI service is ingeschakeld in productie, wat in essentie dus een datalek is.

SgtElPotato @Botmeister • 27 februari 2025 13:59

Daar is dus de pilot voor bedoelt... Of heb je liever dat de eind gebruikers zelf aan de slag gaan met allelei LLM's op het web? Lijkt me ook niet de beste oplossing.

Botmeister @SgtElPotato • 27 februari 2025 14:04

Zolang de eindgebruiker geen gevoelige data aanbiedt aan een LLM website, dan denk ik dat dat lagere risico's met zich meebrengt dan de Copilot service inschakelen op je cloud tenant. Maar wat je zegt klopt wel, de pilot moet natuurlijk ergens starten. We moeten maar hopen/aannemen dat men afgeschermde testomgevingen gebruikt met ganonimiseerde/gepseudonimiseerde data.

fastedje @SgtElPotato • 27 februari 2025 16:35

Je kan toch ook prima met Ollama lokaal LLMs.gebruiken zonder deze risico's?

SgtElPotato @fastedje • 27 februari 2025 16:56

Het probleem is dan dat je vaak kleine modellen maar kunt draaien en die hebben hun beperkingen

trub @Botmeister • 27 februari 2025 13:50

Ik vermoed dat de vraag hier komt vanuit eindgebruikers, en als je met deze vraag niets doet dan gaan de eindgebruikers uit zichzelf bv chatgpt gebruiken met gratis accounts waardoor je met nog veel grotere risico's zit.

SirBlade @Botmeister • 27 februari 2025 13:55

De pilot is hoe de risico's in kaart worden gebracht.

magnifor @Botmeister • 27 februari 2025 14:01

Een Pilot is juist geschikt in dit soort risico's in kaart te brengen. Je kan alles wel van te voren bedenken etc maar niks is een beter meetmiddel dan de praktijk. Soms loop je in de praktijk tegen dingen aan die tijdens het typen van je Word-documentje niet naar boven komen. Vind het juist goed, een Pilot draaien en dan kijken waar je tegenaan loopt. Op basis van de evaluatie wel of niet door.

Sandor_Clegane @Botmeister • 27 februari 2025 14:04

"Democratisering van IT"

Shadow IT, noem het maar op. Waarom wachten op die prutsers van IT als je gewoon met een credit card een pilot kan starten zonder al die moeilijke vragen.

Microsoft pushed die rommel ook gewoon overal.

Transportman @Botmeister • 27 februari 2025 14:20

Omdat de mensen die zouden moeten zeggen dat de risicos in kaart gebracht moeten worden te ver van de werkvloer staan en daardoor niet weten dat de vraag leeft bij eindgebruikers en door die afstand ook het beleid en de risicos aan de gebruikers uitleggen. Of dan duurt het maanden voor er een antwoord komt en dan zijn gebruikers allang doorgegaan, of loopt er ergens een pilot met "AI" en denken gebruikers dat het gewoon mag, want elders in de organisatie mag het ook.

Helaas zie ik dat overal gebeuren, ook voor cloud, dat hogerop geen daadkrachtig besluit genomen wordt en daardoor lagerop het een zooitje wordt.

luchthaak @kamerplant • 27 februari 2025 13:47

kosten versus baten versus indirecte macht versus desinteresse bij meeste afnemers

Stukfruit @kamerplant • 27 februari 2025 13:48

Als je klanten naar zulke zaken laat zoeken dan hoef je er als bedrijf geen geld aan uit te geven. Merken klanten het niet op, dan bespaart het meer op onkosten.

Dat is helaas hoe de meeste (grotere) bedrijven werken, zeker in de VS: focus op winst, niet op zaken zoals ethiek. Ondanks de mooie woorden op de website van het marketingteam.

Quintiemero @kamerplant • 27 februari 2025 13:51

Omdat 100% AVG-compliant niet bestaat. Ook voor Microsoft niet. Wel heeft Microsoft ook haar bedrijfsgeheimen die ze niet zomaar gaat weggeven. En MS wil ook haar producten verbeteren en heeft ook haar eigen doelen.

Blokker_1999

Microsoft
Privacy

@kamerplant • 27 februari 2025 14:34

Omdat het niet zwart/wit is. Iets wat het rijk aanziet als risico kan door vele andere partijen als aanvaardbaar worden aanzien. Zoals in het artikel ook staat raadt VNG het gebruik niet categoriek af, maar moeten gemeenten zelf de nodige afwegingen maken om na te gaan of er voldoende voordelen zijn ten opzichte van de risico's. Zoiets is altijd een afweging.

undutchable020 27 februari 2025 13:45

Waarom alleen Copilot terwijl er genoeg Europese or Opensource alternatieven zijn? Gemeente Amsterdam leeft in een Microsoft bubble.

Blokker_1999

Microsoft
Privacy

@undutchable020 • 27 februari 2025 14:39

Er is geen goed Europees alternatief dat even goed werkt, even goed integreert en even kostefficient is als Amerikaanse technologiestacks.

Ja, je kan veel met FOSS bij elkaar puzzelen, maar dat brengt weer meer interoperabiliteitsproblemen met zich mee, moeilijkere ondersteuning want veel minder mensen met kennis te vinden en je bent soms afhankelijk van kleine projecten die gewoon hun zin doen omdat je in de FOSS wereld nu eenmaal niet altijd moet nadenken over hoe goed je in de markt ligt.

Er zijn zeker goede producten te vinden in de FOSS wereld en goede implementaties zijn ook mogelijk. Maar dan moet heel je keten ook weer meekunnen.

kozue @Blokker_1999 • 27 februari 2025 15:39

Ja, je kan veel met FOSS bij elkaar puzzelen, maar dat brengt weer meer interoperabiliteitsproblemen met zich mee

Wat je eigenlijk bedoelt is dat de alternatieven nooit zo goed kunnen werken met een MS omgeving omdat MS alles gesloten houdt. In een pure FOSS omgeving heb je geen interoperabiliteitsproblemen, want die werken met open standaarden en werken dus allemaal prima met elkaar. Het is juist MS die de problemen veroorzaakt (en het leven in een MS ecosysteem).

projecten die gewoon hun zin doen

Oh, je bedoelt zoals MS, die ook alleen maar doen waar ze zelf zin in hebben en vooral gemotiveerd worden door de hoeveelheid geld die ze uit iedereen kunnen trekken? Wie vind dat Windows er de laatste jaren op vooruit is gegaan? Ik lees alleen maar gepush van troep waar niemand op zit te wachten. In ieder geval hebben de meeste FOSS developers een goed product als doelstelling, terwijl bij MS alleen de inkomsten er toe doen, en hoe goed het eigenlijk werkt is een tweede.

Verrukt @kozue • 27 februari 2025 19:40

In een pure FOSS omgeving heb je geen interoperabiliteitsproblemen, want die werken met open standaarden en werken dus allemaal prima met elkaar. Het is juist MS die de problemen veroorzaakt (en het leven in een MS ecosysteem).

Na enkele jaren werkervaring als IT support / sysadmin kan ik deze observatie volledig bevestigen. De enige reden waarom mensen Windows gebruiken is omdat het standaard geïnstalleerd staat, hun bestandstypes moedwillig slecht of niet compatibel zijn, en omdat sommige niche software enkel werkt op Windows. Microsoft is superieur in het leveren van inferieure producten.

[Reactie gewijzigd door Verrukt op 27 februari 2025 23:34]

GeroldM @Blokker_1999 • 27 februari 2025 15:50

Dus dat is geen reden om dat dan maar niet op te bouwen en ervaring opnieuw op te bouwen.

Krijg bij jouw post het idee: "We hebben ons al overgegeven, dus laten we dat dan maar blijven doen tot het eind der tijden".

Ja, de EU en NL hebben zich te lang vergaapt aan de ti.t van de V.S. Is geen reden om dat dan maar te blijven doen. Ja, dat gaat moeite, tijd en geld kosten. Het lijkt me zelfs beter om direct en volledig te beginnen met het afwanen van de ti.t. Er is toch geen goed moment daarvoor.

Als bonus, het geeft ook gelijk een boodschap af aan Trump en zijn 'cronies'. Want zij denken ongenaakbaar te zijn. Hen hard in de buidel treffen is het enige waar zij nog onder de indruk geraken. Niemand zat op deze (politieke/technische) situatie te wachten, maar om het te overleven zullen we (EU/NL) wel degelijk aan "hope for the best, prepare for the worst" moeten gaan doen.

Met je post geef je aan dat jij nog in de fase "hope for the best zit".

jvwou123 @undutchable020 • 27 februari 2025 13:48

Niet alleen gemeente Amsterdam hoor. Heel de overheid leeft in die bubbel.

Wallus @jvwou123 • 27 februari 2025 14:37

Ze aan de andere kant wel een mastadon server lopen(https://social.overheid.nl/about). Wat ook wel een beetje buiten de bubbel is toch? :-)

HollowGamer @undutchable020 • 27 februari 2025 13:51

Helaas zijn er nog genoeg en heel veel die enkel MS minded zijn.

In Duitsland wordt Linux gepushed, maar bij elk ding wordt er gegooid met 'we moeten weer terug naar MS', dat terwijl je waarschijnlijk op hetzelfde getal uitkomt met incidenten en bugs die beide hebben.

Het gaat ook niet zo om Linux, maar je had prima als EU een alternatief voor AI kunnen opzetten. In plaats daarvan moest er bij de overheid worden bespaard en moesten er mensen vertrekken die uiteindelijk kennis hadden (Belastingdienst kuch). Er zijn meer bestuurders bijgekomen, maar de mensen met kennis werken er allang niet meer (uitzonderingen daargelaten) en de rest wordt allemaal uitbesteed.

Het zijn vooral de rechtse partijen die het meeste schreeuwen, maar 'snoeien om te groeien' riepen. Nou er flink wat gegroeid, een focus op MS/AWS/Google, en al onze eigen kennis is uit het raam gegooid. Goh, wat zijn we gegroeid zeg.

[Reactie gewijzigd door HollowGamer op 27 februari 2025 13:53]

FreezeXJ @HollowGamer • 27 februari 2025 17:53

Weet jij wel hoeveel de bankrekening van die grote contractors gegroeid is? De rest is irrelevant.

Linux is prachtig spul, maar om het gecertificeerd te krijgen betaal je net zoveel als Windows, of Mac, for that matter. En raad eens: voor heel veel dingen is het vinkje belangrijk, en niet of het daadwerkelijk dicht zit, want hoe toon je dat aan? Juist ja, met papierwerk. En dat gaan we weer proberen op te lossen met meer regeltjes, en nog meer papierwerk, om aan te tonen dat het papierwerk solide is.

Wouterie @undutchable020 • 27 februari 2025 14:01

Nope, open source en open standaarden zijn alleen op papier van belang. EU, Nederland, gemeenten, onderwijs... Microsoft heeft het allemaal in de pocket.

mcchicken @undutchable020 • 27 februari 2025 14:19

De alternatieven zijn niet volledig geïntegreerd in de Microsoft 365 omgeving. Met DLP zou je juist het gebruik van de alternatieven moeten beperken.

Bux666 @undutchable020 • 27 februari 2025 14:29

Hou Bert Hubert zijn blog maar in de gaten! Je zal verstelt staan van de waanzin om alles 'in de wolk' te zetten bij MS. Sterker nog, nu met Trump is het zeker geen goed idee. Bert ageert er genoeg tegen, maar niemand luistert...

Beetje een Bert overload, maar die man is zeer interessant. Ik heb verder geen band of connectie met hem.

HollowGamer @Bux666 • 27 februari 2025 14:35

Niet alleen bij MS, ook onze eigen domein beheerder zou het liefst alles bij AWS willen zien.

Er is altijd gewaarschuwd dat het geen goed idee is je te afhankelijk te maken van derden (ook advies in het algemeen), maar nu pas daalt het besef dat de Amerikanen (bijvoorbeeld) het ook tegen je kunnen gebruiken straks.

rensco @undutchable020 • 27 februari 2025 14:26

Gezien jij er misschien iets meer van weet, heb je aanraders voor Europese/open source alternatieven?

undutchable020 @rensco • 27 februari 2025 14:39

https://mistral.ai/

rensco @undutchable020 • 27 februari 2025 15:03

Top, bedankt! Ik ga er eens even goed naar kijken.

Du Roi Soleil @undutchable020 • 27 februari 2025 20:12

Omdat voor een normale gebruiker Microsoft de enige software is die je goed kunt gebruiken.

Scriptkid 27 februari 2025 15:03

Ik vraag nogsteeds af wat het probleem is.

De data staat al daar en copilot is gewoon een geavanceerde search engine.

Er is niks nieuwe functionaliteit toegevoegd. Wat is nu het NIEUWE veiligheids probleem.

Of haalt men copilot en copilot voor enterprise weer door elkaar.

CAPSLOCK2000

Privacy
Amsterdam
Microsoft

@Scriptkid • 27 februari 2025 15:23

Ik vraag nogsteeds af wat het probleem is.
De data staat al daar en copilot is gewoon een geavanceerde search engine.

Het probleem is dat men langzaam begint in te zien dat er een grote fout is gemaakt door alle data in de MS-cloud te zetten en nu probeert men een beetje terug te krabbelen. Dat is meer voor de vorm dan dat er echt iets gaat veranderen want ze zitten allemaal vast en kunnen niet meer terug. Dat soort machteloosheid kun je politiek gezien niet toegeven dus wordt er voor vorm een beetje gespartelt.
Het is symtoombestreiding want je hebt helemaal gelijk dat de data al bij MS staat en het kwaad eigenlijk al geschied is (of in ieder geval niet meer tegengehouden kan worden).

Olympus user @CAPSLOCK2000 • 27 februari 2025 15:43

Ik denk dat je correct omschrijft.
Maar van de andere kant moeten we toch blijven zoeken naar oplossingen om het uit de MS cloud en in het bijzonder de VS cloud te houden.

Groningerkoek @Scriptkid • 27 februari 2025 15:15

Een AI tool en een Cloud service hebben verschillen methoden en voorwaarden aangaande de omgang met gegevens. Het is prima mogelijk om dienst A bij een bedrijf af te nemen terwijl dienst B wettelijk ongeschikt is om door jou gebruikt te worden.

Scriptkid @Groningerkoek • 27 februari 2025 15:33

maar in dit geval blijft dienst B binnen het kader van dienst A,

dat is de commitment van enterprise copilot anders heb je het over copilot voor prive

Groningerkoek @Scriptkid • 27 februari 2025 19:41

Maar al blijft B binnen A, dan nog voegt B dingen toe met ook een stel eigen voorwaarden.

Scriptkid @Groningerkoek • 27 februari 2025 23:11

wat voegt copilot dan toe in deze? wat A niet doet.

Quintiemero @Scriptkid • 27 februari 2025 19:55

Maar de data gaat wel van bedrijf A naar bedrijf B. MS is niet heel transparant over wat ze met haar afgeleide klantdata doet

Pinkys Brain @Scriptkid • 27 februari 2025 17:05

Volgens Google zit Copilot nog niet in sovereign cloud, door GPU gebrek. Nederlandse overheid heeft aparte afspraken met Microsoft die waarschijnlijk grotendeels overeenkomen met sovereign cloud.

Scriptkid @Pinkys Brain • 27 februari 2025 23:09

sovereign cloud bestaat niet buiten de tenants om van de US Gov dat zijn de enige andere afwijkende tenants, naast een handje vol MTE`s

HKLM_ 27 februari 2025 13:59

Ik vraag mij vooral af of de Gemeente amsterdam Microsoft Purview goed heeft ingeregeld om eventuele persoonsgegevens in AI tools (ook andere dan AI) te detecteren en te voorkomen dat deze daar in kunnen worden opgevoerd.

[Reactie gewijzigd door HKLM_ op 27 februari 2025 13:59]

Quintiemero @HKLM_ • 27 februari 2025 19:53

Wil ook wel eens dpia op purview zelf zien. De typische: onder het mom van security mogen we al het personeel volgen. Daar zullen ook wel wat interessant MS-voorwaarden onder liggen.

Scriptkid @HKLM_ • 27 februari 2025 15:08

Als het gaat om enterprise copilot dan gaat je dat niet helpen want zeldfe security bubble als de cold storage waar het staat.

Als je het hebt over 3rd party dan is het user trainen only voorkomen gaat je niet lukken met purview. Er is nl geen lijst met alle ai sites. En er bestaat geen policy die je IP kan detecteren met 100% accuarcy. En MIP labels kun je niet gebruiken hier.

Alpha89

27 februari 2025 13:51

De informatiebeveiligingsdienst (IBD) heeft een aanvullende notitie (pdf, 168 kB) geschreven die de (mogelijke) gevolgen voor gemeentelijke organisaties belicht.

In die pdf vind ik wel het volgende nog erg interessant:

Zolang organisaties gevoelige gegevens niet als zodanig hebben gelabeld en toegangsrechten mogelijk
ook niet waterdicht zijn ingericht, kan en zal Copilot geen rekening houden met de aard van deze data.
Microsoft biedt tools zoals Purview om documenten te labelen en toegang te beheren. De
implementatie hiervan vergt echter veel tijd en inspanning en wordt in de meeste gemeentelijke
organisaties niet toegepast. Omdat veel gemeentelijke organisaties verouderde informatie opslaan,
brengt de verwerking van onjuiste gegevens door Copilot volgens de DPIA aanzienlijke risico’s met zich
mee.

Ben benieuwd of dit dan ook geldt voor Gemeente Amsterdam. Want dan hebben ze wel wat aanbevelingen overgeslagen alvorens Copilot te activeren.

PolarBear @Alpha89 • 27 februari 2025 16:47

Zolang organisaties gevoelige gegevens niet als zodanig hebben gelabeld en toegangsrechten mogelijk
ook niet waterdicht zijn ingericht, kan en zal Copilot geen rekening houden met de aard van deze data.

Ok maar als data niet gelabled is en toegangrechten niet waterdicht geregeld zijn dan is Copilot niet het probleem.

Mr-Famous 27 februari 2025 13:55

Naar mijn idee is dit niet geheel verrassend. Het product bestaat pas twee jaar, dus het zou me eerder verbazen als de gemeente dit al breed zou gebruiken. Daarnaast is het cruciaal dat de data security op orde is, en ik weet uit ervaring dat dit bij nieuwe technologieën vaak een groot vraagstuk is. In het geval van de gemeente Amsterdam lijkt dit nog onvoldoende geborgd. Zolang organisaties gevoelige gegevens niet als zodanig hebben gelabeld en toegangsrechten mogelijk ook niet waterdicht zijn ingericht, is het praktisch onmogelijk om een technologie als Copilot compliant te gebruiken binnen een gemeentelijke omgeving.

Scriptkid @Mr-Famous • 27 februari 2025 15:05

Leuke schets maar zelfde risico heb je dus ook zonder copilot dus laat dan copilot er uit als boosdoener.

Dit zie ik zo vaak fout gaan. Copilot introduceerd geen nieuwe problemen alle problemen waren er al en als je dat niet zag heb je oogkleppen op.

Sebas1979 27 februari 2025 14:07

Zodra je met privacy-gevoelige gegevens de (Amerikaanse) cloud in gaat, ben je overgeleverd aan de grillen van de aanbieder, en die van de Amerikaanse overheid.
Op dit moment kun je van Microsoft garanties krijgen dat je data bijv in Europa wordt opgeslagen, en dat ze bepaalde data niet zullen gebruiken om bijv hun AI mee te trainen of om eens lekker doorheen te grasduinen.
Als ze over 5 jaar hun voorwaarden veranderen, kun je slikken (accepteren) of stikken (weggaan als klant).
Maar ja, dan zit je al helemaal in dat ecosysteem en is een vertrek een lastige en dure aangelegenheid.
En als de US overheid ineens je data wil hebben kun je ook hoog en laag springen, maar dan gaat dat gewoon overhandigd worden. (En met die huidige maffiabaas aan het roer hoef je ook niet te denken dat je daar als ‘bevriende natie’ niet mee te maken zal krijgen).

Niema 27 februari 2025 14:15

Host gewoon zelf een goeie ai. Volgens mij hebben die Chinezen zat zelfhost opties ter beschikiing gesteld

themadone @Niema • 27 februari 2025 17:33

Draai nu al een tijdje proof of concept met Ollama, N8N en een vector database waar de company info in zit, als in op dit moment de handleidingen voor ERP en nog wat zaken die we liever niet meer in persoon beantwoorden iedere keer. Zie het als een eerste barriere tussen de gebruiker en de servicedesk, gebruiker blij want die krijgt sneller antwoord, helpdesk blij want die krijgen niet meer 15 keer per dag dezelfde vraag.

Je kunt voor je modellen kiezen tussen van allerlei verschillende en hoeft dus niet per se een chinese te gebruiken maar kunt ook bijvoorbeeld phi4(openAI/microsoft) gebruiken, llama van Meta of Granite van IBM. Voor de volle lijst zie: https://ollama.com/library?sort=newest

Het voordeel is dat doordat het inhouse staat je ook kunt zien of en wat voor data er eventueel naar buiten zou gaan, ik heb het zelfs met deepseek(chinees) nog niet zien gebeuren.

Kleine disclaimer, je moet wel even investeren in een paar knappe GPU's als je wilt dat het een beetje vaart heeft in de antwoorden, maar dat hoeven er afhankelijk van de schaal echt geen 50 te zijn. Wij draaien dit nu voor 400 man op 2 4090's en dan performed het best wel prima.

HollowGamer @Niema • 27 februari 2025 14:37

Ondanks dat je het zelf kan hosten, wilt nog niet zeggen dat het 100% veilig is.

Ja, het is opensource, maar bij xz was dat ook, en toen zat het gewoon in de tests map verstopt.

Ik ben zeker voorstander wat je zegt, en het moet ook in opensource vorm er zijn, maar of je nu die van de Chinezen moet overnemen..

Mushroomician @HollowGamer • 27 februari 2025 15:15

Deepseek een model. Je kan het model met andere software gebruiken. Het model is eigenlijk niets meer dan een gigantisch excelsheet met veel cijfertjes. Geen uitvoerbare code.

sdziscool @Niema • 27 februari 2025 16:42

Heeft allemaal slechte integratie, en die integratie zelf gaan regelen is weer een overheids ICT project van 5+ jaar van 2-miljard euro om een halfgebakken iets af te leveren wat niet te onderhouden is.

blorf 27 februari 2025 15:18

Staan die ge-identificeerde risico's ook ergens? Volgens mij moet je aardig creatief zijn om iets geloofwaardig te houden terwijl het grootste deel van de computers waar ze het over hebben al in een cloud draaien die evengoed niks garandeert.

Op dit item kan niet meer gereageerd worden.

Amsterdam doet geen pilot met Microsoft Copilot wegens privacyrisico's - update

Lees meer

IT-banen

Reacties (75)

Sorteer op:

Weergave: