In programma’s als Word, Excel en Outlook kun je tegenwoordig gebruik maken van een AI-programma: Copilot. Het helpt bijvoorbeeld bij analyses en presentaties of bij het formuleren van e-mails.

Chief Privacy Officer Ineke Litjens legt uit dat het advies van SURF niet over Copilot in het algemeen gaat, maar specifiek over MS365 Copilot. ‘MS365 Copilot is simpel gezegd een Copilot op je interne systeem: Copilot kan door de openbare TU/e-documenten in Microsoft applicaties scannen en gebruiken bij de output die ze creëert – zoals bijvoorbeeld informatie op ons intranet. Daar zitten inderdaad allerlei haken en ogen aan – die wijzelf ook inzien. Het is natuurlijk heel verwarrend dat er Copilot is (de generieke AI tool) en MS365 Copilot. Beiden van Microsoft maar alleen de MS365 Copilot kan de interne documentatie (die openbaar zijn voor de gehele TU/e) meenemen in de responses. En daar gaat het advies over’, mailt zij in een reactie.

Copilot aan de TU/e

Ter geruststelling voegt Litjens er aan toe dat het geen probleem is om de ‘gewone’ Copilot te gebruiken voor TU/e’ers. Daarbij komt dat Microsoft 365 Copilot niet te gebruiken is zonder betaald account. De TU/e neemt momenteel wel deel aan een proefproject. Dzemal Sukurica is AI-Lead Microsoft Copilot en hij vertelt daar het volgende over: “In mei 2024 zijn we bij TU/e gestart met een pilot voor Microsoft 365 Copilot, samen met twintig andere onderwijsinstellingen onder coördinatie van SURF. Hierbij namen vijftig medewerkers van TU/e deel om te onderzoeken wat deze technologie voor ons kan betekenen. In december 2024 is de Data Protection Impact Assessment (DPIA) gepubliceerd omtrent Microsoft 365 copilot. Ons privacyteam zal in januari de genoemde punten beoordelen om te bepalen onder welke maatregelen we de pilot kunnen voortzetten. SURF heeft bevestigd dat zij bij Microsoft zullen aandringen op aanpassingen in hun software. We wachten momenteel op de uitkomst van deze gesprekken. Eerdere vergelijkbare gesprekken met Microsoft hebben tot goede resultaten geleid.”

Tot die tijd biedt de TU/e Microsoft 365 Copilot niet aan en beperkt ze zich tot een proefproject met een klein aantal gebruikers (minder dan één procent van de TU/e medewerkers) om ervaringen op te doen met het gebruik van generatieve AI. 

Landelijk

SURF, de ict-coöperatie van Nederlandse onderwijs- en onderzoeksinstellingen, vindt dat onderwijsinstellingen niet van de MS365 Copilot gebruik zouden moet maken.  Afgelopen maand bracht de organisatie hierover een advies uit, na uitgebreid onderzoek en overleg met softwaregigant Microsoft.

Het gaat op twee manieren mis, blijkt uit het omvangrijke advies. De privacy van de gebruiker is wellicht in gevaar, maar daarnaast geeft Copilot ook weleens foutieve of onvolledige informatie over anderen.

Onbegrijpelijk

Bij die persoonlijke data gaat het niet alleen om pakweg iemands naam en werkgever, maar misschien ook om persoonlijke voorkeuren die Copilot verzamelt, zodat het kan helpen bij het schrijven van e-mails of het maken van een presentatie.

“Het is niet duidelijk welke persoonsgegevens Microsoft verzamelt en bewaart over het gebruik van Microsoft 365 Copilot”, aldus SURF. Een verzoek om inzage helpt niet of nauwelijks. De gegevens die Microsoft dan verstrekt, zijn “onvolledig en onbegrijpelijk”.

Te veel vertrouwen

Maar het gaat ook over de persoonsgegevens die Copilot je voorschotelt als je meer wilt weten van bijvoorbeeld een bepaalde hoogleraar of politicus. De informatie kan zomaar onjuist of onvolledig zijn. Er is een risico dat gebruikers te veel vertrouwen op zulke onjuiste informatie, overweegt SURF.

Microsoft weet dit ook wel. “Sometimes Copilot will be right, other times usefully wrong — but it will always put you further ahead”, staat in een introductie. SURF betwijfelt dus of het wel altijd zo useful is.

Stel dat medewerkers van universiteiten en hogescholen bij de selectie van nieuwe eerstejaars of bij de beoordeling van sollicitanten gebruik maken van AI, dan kan dit voor problemen zorgen. Zelfs als onderwijsinstellingen Copilot willen toestaan, zouden ze misschien een uitzondering moeten maken voor bepaalde afdelingen.

Grote bedrijven

Kritiek op de grote techbedrijven en generatieve AI is zeker niet nieuw. De bedrijven zouden zich weinig aantrekken van intellectueel eigendom en privacy, is een van de verwijten. Ook zouden ze geen verantwoordelijkheid nemen voor de problemen die AI veroorzaakt. Het hoger onderwijs kan om dergelijke redenen schadeclaims indienen bij de makers van AI-programma’s, betoogde bijvoorbeeld internetpionier Marleen Stikker.

Maar het probleem van ict en privacy is ouder. Ruim vijf jaar geleden, ver voor de komst van generatieve AI, schreven de rectoren van universiteiten over de invloed van grote Amerikaanse techbedrijven op het onderwijs. “De student en de docent worden het product; de gegevens zijn niet langer van hen, van universiteit of van de hogeschool”, stelden ze.

De opslag van gegevens in de ‘cloud’ roept soortgelijke vragen op: wie heeft er toegang als alle gegevens op een Amerikaanse server staan? Onderzoekers van vijf universiteiten (Universiteit Utrecht, TU Delft, Tilburg University, Erasmus Universiteit en Universiteit van Amsterdam) gaan samen een ‘cloud’ maken om onafhankelijk te worden van bedrijven als Google en Microsoft. De komende twee jaar kijken ze of het lukt.