Microsoft Copilot en de EU AI Act: wat moet u regelen?
Miljoenen Nederlandse bedrijven gebruiken Microsoft 365 — en veel weten niet dat de AI-functies van Copilot hen verplichtingen opleggen onder de EU AI Act. Dit is wat u moet regelen voor augustus 2026.
Wat is Microsoft Copilot eigenlijk?
Microsoft Copilot is de AI-assistent die is geïntegreerd in Microsoft 365: Word, Excel, Outlook, Teams en SharePoint. Afhankelijk van uw Microsoft-abonnement heeft u automatisch toegang tot bepaalde Copilot-functies, zoals het samenvatten van e-mails, het automatisch aanvullen van teksten of het genereren van presentaties op basis van een prompt.
Veel Nederlandse MKB-bedrijven gebruiken Copilot-functies zonder dit expliciet te hebben besloten — ze zijn gewoon actief in hun vertrouwde Microsoft-omgeving. Dat maakt compliance er niet eenvoudiger op: u bent als deployer verantwoordelijk, ook als u niet bewust voor Copilot heeft gekozen.
Welke verplichtingen heeft u als Copilot-gebruiker?
Microsoft Copilot valt voor de meeste toepassingen in de categorie minimaal risico onder de EU AI Act. Dat betekent geen zware audits of certificeringen — maar wel een aantal basisverplichtingen die u moet nakomen.
- AI-register bijhouden: Microsoft Copilot moet worden opgenomen in uw AI-register, samen met alle andere AI-tools die uw bedrijf gebruikt.
- AI-reglement voor medewerkers: Wat mogen medewerkers wel en niet doen met Copilot? Mag vertrouwelijke klantdata worden gebruikt in Copilot-prompts? Dit moet schriftelijk worden vastgelegd.
- Verwerkersovereenkomst met Microsoft: Microsoft biedt een Data Processing Agreement (DPA) aan als onderdeel van de Microsoft Products and Services Agreement (MPSA). Controleer of uw organisatie deze heeft geactiveerd.
- Transparantie naar klanten: Als u Copilot gebruikt om content of communicatie te genereren die u aan klanten levert, moet u dit vermelden.
💡 Goed nieuws voor Microsoft 365-gebruikers: De DPA met Microsoft is voor zakelijke klanten vaak al geactiveerd als onderdeel van uw Enterprise Agreement of Microsoft Customer Agreement. Check dit via uw IT-beheerder of Microsoft-partner.
Copilot voor Microsoft 365 versus Copilot Free: wat is het verschil?
Er zijn verschillende versies van Microsoft Copilot met verschillende privacyinstellingen:
- Copilot Free (via bing.com of copilot.microsoft.com): Geen bedrijfsdata-bescherming. Wat u invoert kan worden gebruikt voor trainingsdata. Niet geschikt voor zakelijk gebruik met klantdata.
- Copilot in Microsoft 365 (betaald): Draait binnen uw Microsoft 365-omgeving, met de beveiligings- en complianceinstellingen van uw tenant. Data wordt niet gebruikt voor modeltraining.
- Copilot Pages en Agents: Uitgebreidere functies die uw bedrijfsdata actief raadplegen. Hogere privacywaarborgen vereist.
Voor Nederlandse bedrijven die Copilot zakelijk inzetten: gebruik uitsluitend de betaalde versie binnen uw Microsoft 365-tenant, nooit de gratis webversie voor zakelijke doeleinden.
Welke risico's loopt u met Copilot als u niets regelt?
De risico's zijn vergelijkbaar met die van ChatGPT, maar hebben een extra dimensie: Copilot heeft toegang tot uw interne bedrijfsdata in SharePoint, OneDrive en Exchange. Dat maakt ongecontroleerd gebruik potentieel risicovoller.
- Een medewerker vraagt Copilot om een samenvatting van vertrouwelijke HR-documenten en deelt die per abuis met de verkeerde persoon
- Copilot genereert een e-mail met klantgegevens die onterecht wordt verstuurd
- Medewerkers gebruiken Copilot voor besluiten over klanten zonder menselijke controle, wat aansprakelijkheid creëert
Zonder AI-reglement dat beschrijft hoe Copilot mag worden gebruikt, bent u als werkgever aansprakelijk voor dit soort incidenten.
⚠️ Specifiek risico voor Copilot: Omdat Copilot toegang heeft tot al uw Microsoft 365-data, is het risico van een datalek via AI groter dan bij standalone tools. Stel toegangsrechten in via uw Microsoft 365-beheeromgeving en documenteer dit.
Praktische stappen voor Nederlandse Copilot-gebruikers
Of u nu een accountantskantoor in Amsterdam bent, een marketingbureau in Noord-Holland of een logistiek bedrijf elders in Nederland — de stappen zijn hetzelfde:
- Voeg Microsoft Copilot toe aan uw AI-register met de juiste classificatie
- Controleer uw Microsoft 365-abonnement en activeer de DPA indien nodig
- Stel een AI-reglement op met expliciete regels voor Copilot-gebruik
- Informeer medewerkers over wat wel en niet mag met Copilot
- Voeg een vermelding van Copilot-gebruik toe aan uw privacyverklaring
AIveilig.com helpt u met alle benodigde documenten. Via de gratis scan bepalen we uw specifieke situatie. Voor €179 leveren wij een compleet compliance-pakket, inclusief alle documenten die u als Copilot-gebruiker nodig heeft. Bekijk ook de EU AI Act checklist voor het MKB.
Gebruikt uw bedrijf Microsoft Copilot?
Doe de gratis scan en ontdek in 2 minuten wat u als Copilot-deployer moet regelen onder de EU AI Act.
Doe de gratis scan →