Drie AI-controlemodellen, niet drie chatbots — wat de SURF DPIA-update écht betekent
Compliance & RegelgevingSURF publiceerde op 27 mei 2026 de derde update van de DPIA voor Microsoft 365 Copilot. De conclusie is ongewijzigd: twee middelgrote privacyrisico's blijven onvoldoende gemitigeerd, Microsoft heeft op 31 maart een definitief antwoord gegeven, en er komt geen vierde ronde. Copilot blijft "oranje".
Op hetzelfde moment lanceert Anthropic Claude for Microsoft 365 — een direct alternatief binnen dezelfde Office-apps. En GovChat-NL, het open-source AI-platform van de Provincie Limburg, positioneert zich als soeverein antwoord.
Drie spelers, drie beloftes. Maar wie dit leest als "welke moet ik kiezen?" mist het punt. Dit zijn geen drie chatbots. Dit zijn drie fundamenteel verschillende controlemodellen. En de winnende strategie is niet één winnaar aanwijzen — het is regie organiseren over alledrie.
De SURF-update: oranje blijft oranje
De twee resterende oranje risico's raken aan de kern van publieke AI-governance.
Workplace Harms-filter. Microsoft past automatisch een filter toe op prompts én uitvoer van Copilot om te voorkomen dat de AI oordeelt over werknemers op basis van gedrag, houding of persoonlijke kenmerken. Dat klinkt verstandig. Het probleem: Microsoft maakt de culturele normen, drempels en criteria niet openbaar. Organisaties kunnen het filter niet aanpassen, niet uitschakelen, en krijgen geen neutrale indicatie dát er filtering plaatsvindt.
Dit is geen privacyprobleem — dit is een governanceprobleem. Een black-box censuurlaag in een tool die ambtenaren gebruiken voor beleidsvoorbereiding, tekstverwerking en kenniswerk. Je kunt niet vaststellen of een interventie gerechtvaardigd was, want je weet niet welke norm is toegepast.
Telemetrie-retentie tot 18 maanden. Microsoft bewaart gepseudonimiseerde diagnostische gegevens anderhalf jaar. Waarom 18 maanden? Microsoft onderbouwt het niet. Dit raakt direct aan AVG-beginselen van opslagbeperking, dataminimalisatie en uitlegbaarheid.
Daarbovenop komt een nieuw laag risico: sinds maart 2026 staat Microsoft "flex routing" toe, waarbij inferencing buiten de EU Data Boundary kan plaatsvinden bij piekbelasting. SURF heeft geverifieerd dat bestaande onderwijsinstellingen niet automatisch zijn gemigreerd, maar nieuwe tenants moeten dit expliciet controleren.
Mijn conclusie: Copilot is bruikbaar, maar alleen onder use-case-specifieke acceptatie. Niet generiek uitrollen. Niet zonder dataclassificatie. Niet zonder AI-gebruiksbeleid. En niet zonder technische controles op rechten, logging, retention, plugins en web search.
Drie controlemodellen, niet drie chatbots
Wat me opvalt in de markt: iedereen zet Copilot, Claude for M365 en GovChat-NL naast elkaar alsof het varianten van hetzelfde zijn. Dat klopt niet. Ze verschillen niet in features — ze verschillen in wie de controle heeft.
Microsoft 365 Copilot: het vendor-model. Diep geïntegreerd, operationeel krachtig, maar met vendor lock-in, beperkte filtertransparantie en afhankelijkheid van Microsoft governance. Copilot is de productiviteitslaag — het werkpaard voor documentstromen, mits ingekaderd.
Claude for Microsoft 365: het connector-model. Functioneert binnen dezelfde Office-apps, maar via een externe Anthropic-connector. Claimt reviewable edits, drafts die wachten op verzending, en contextbehoud over stappen. Via Amazon Bedrock, Google Cloud Vertex AI of Microsoft Foundry te routen. Dat is architecturaal interessant: je kunt Claude inzetten via een bestaande hyperscaler-governance-stack. Maar de publieke productpagina zegt vooral wat het kan — niet wat het juridisch en technisch garandeert. Er is geen Microsoft 365-specifieke DPA, geen connector-DPIA, en de dataverwerkingsclaims zijn generiek. Anthropic-documentatie over connectors stelt dat data op Anthropic-servers wordt opgeslagen en gekoppeld aan de chat — dus het is een extra verwerker naast Microsoft.
GovChat-NL: het soevereine model. Open-source, overheidsspecifiek, modulair, met goedgekeurde DPIA als referentie. Het claimt digitale autonomie: geen intrinsieke binding aan één hyperscaler, multi-model support (OpenAI, Ollama, Azure AI, Vertex AI), lokale én cloudhosting, RBAC per app, en een ingebouwde AI-geletterdheid-handleiding conform de AI-verordening. GovChat-NL is geen Excel/PowerPoint/Word-vervanger — het is een AI-control plane voor de publieke sector.
De drie naast elkaar:
| Criterium | Copilot | Claude for M365 | GovChat-NL |
|---|---|---|---|
| Productiviteitsintegratie | Zeer hoog | Hoog | Afhankelijk van implementatie |
| Vendor lock-in | Hoog | Middel tot hoog | Laag tot middel |
| Transparantie filtering | Zwak (SURF) | Nog te bewijzen | Zelf te ontwerpen |
| Dataverwerking EU | Afhankelijk van tenant, flex routing | Contractueel te toetsen | Zelf positioneerbaar |
| Connector-governance | Microsoft ecosysteem | Extra Anthropic-laag | Eigen architectuurlaag |
| Geschikt voor publieke sector | Alleen per use case | Potentieel, na DPIA | Strategisch passend |
| Regie over beleid en logging | Beperkt tot Microsoft | Afhankelijk van plan/provider | Hoog, mits goed gebouwd |
| Beste rol | Productiviteitslaag | Alternatief UX/model | Soevereine control plane |
Risicoregister: zeven dimensies
Voorbij de SURF-risico's zijn er governance-risico's die elke publieke organisatie moet adresseren voordat ze één van deze tools uitrolt:
1. Ondoorzichtige Workplace Harms-filtering. Impact: hoog. Mitigatie: beperk HR, beoordeling, personeelsanalyse en gevoelige besluitvorming. Eis filtertransparantie en logging.
2. Telemetrie-retentie tot 18 maanden. Impact: middel/hoog. Mitigatie: DPIA, verwerkingsregister, dataminimalisatie, contractuele onderbouwing, bewaartermijnen toetsen.
3. Flex routing buiten EU. Impact: hoog. Mitigatie: tenantinstellingen controleren, EU-only afdwingen, bewijs vastleggen.
4. Over-permissieve Graph/SharePoint-toegang. Impact: hoog. Mitigatie: Purview sensitivity labels, least privilege, access reviews, SharePoint-rechten opschonen vóór Copilot-activatie. Dit is vaak de grootste verrassing bij Copilot-uitrol: de AI leest álles waar de gebruiker rechten op heeft.
5. Prompt injection via documenten/mail. Impact: hoog. Mitigatie: content provenance, retrieval sandboxing, allowlisted tools, human approval voor acties.
6. Shadow AI via Claude-connectors. Impact: hoog. Mitigatie: CASB/SaaS-governance, connector-allowlist, DPA, SSO, audit logging.
7. Open-source zonder beheerdiscipline (GovChat-NL). Impact: hoog. Mitigatie: secure SDLC, SBOM, container scanning, IAM, logging, ISO 27001 controls. Open-source is geen compliance-cheatcode.
De doelarchitectuur: AI Control Plane
De kern van mijn advies is dit: je moet niet één tool kiezen. Je moet een AI Control Plane inrichten boven de losse tools. Die control plane organiseert vier dingen:
Identity en toegang. Entra ID, SSO, conditional access, MFA, privileged access management, periodieke access reviews. Dit is de fundering — zonder deze laag is elke AI-tool een datalek dat wacht op ontdekking.
Data governance. Microsoft Purview, sensitivity labels, retentiebeleid, DLP, SharePoint/Teams-rechten opschonen vóór Copilot-activatie. De meeste organisaties onderschatten hoeveel legacy-rechten er in hun tenant sluimeren.
AI gateway. Model routing, prompt logging, redaction, policy enforcement, providerkeuze per dataklasse, audit trail. Dit is de operationele hartslag: welke prompt gaat naar welk model, onder welke voorwaarden, met welke logging?
Use-case catalogus. Alleen toegestane patronen. Voorbeelden: samenvatten van openbare documenten, conceptteksten, beleidsvoorbereiding, kenniszoekvragen. Géén HR-beoordeling, medische triage, juridische besluitvorming of individuele profiling zonder aparte DPIA.
De control plane verschuift de governance van vendor-consumptie naar bestuurbare infrastructuur. Dat is de fundamentele verschuiving die de publieke sector nodig heeft. Niet "welke AI-tool is het veiligst?" maar "hoe organiseer ik regie over AI, ongeacht welke tool eronder draait?"
Beslisregel: driefasen-roadmap
Voor een Nederlandse publieke of gereguleerde organisatie is dit mijn besluitadvies:
Fase 1 — 0 tot 3 maanden: bevriezen en opschonen. Microsoft 365 Copilot niet generiek uitrollen. Wel: gecontroleerde pilots starten, tenant flex routing controleren, Purview en datarechten opschonen, AI-gebruiksbeleid vaststellen. De SURF-oranje risico's expliciet accepteren op bestuursniveau, met use-case-register, dataclassificatie en monitoring.
Fase 2 — 3 tot 6 maanden: Claude juridisch toetsen. Claude for Microsoft 365 behandelen als kandidaat-alternatief, niet als automatisch privacyvriendelijker alternatief. Separate DPIA starten. Minimaal vragen om: DPA, subprocessorlijst, EU-residency opties, connector-retentie, audit logging, delete semantics, modeltraining-uitsluiting, Microsoft 365 permission model, incidentproces en exit-mogelijkheden.
Fase 3 — 6 tot 12 maanden: GovChat-NL als control plane. GovChat-NL of vergelijkbare soevereine AI-laag inrichten als control plane voor publieke-sector use cases. Met lokale of EU-gehoste modellen voor gevoelige use cases, cloudmodellen alleen waar juridisch en contractueel toegestaan, logging, policy enforcement en auditbare workflows.
Bestuurlijk samengevat: Microsoft 365 Copilot levert snelheid, Claude levert keuzevrijheid in model en UX, GovChat-NL levert regie. Voor publieke organisaties is regie de doorslaggevende factor.
Het DPIA-rapport is beschikbaar via SURF vendorcompliance. De Claude for Microsoft 365 productpagina staat op anthropic.com. GovChat-NL is bereikbaar via govchat-nl.nl.
AI & Security Intelligence
Wekelijkse nieuwsbrief met AI updates, security alerts en compliance inzichten — direct in uw inbox.
Security & AI Operating Model
Advisory met executiekracht
Van BIO2 en NIS2 tot EU AI Act — embedded in uw operating model, niet als extern project. Maandelijks opzegbaar, met assessments als bewijsvoering.