Steeds meer organisaties rollen Microsoft 365 Copilot uit, en vrijwel altijd komt dezelfde vraag boven: kan Copilot bij data die niet voor mij bedoeld is? Het eerlijke antwoord is genuanceerder dan een simpel ja of nee. Copilot doorbreekt je permissies niet. Maar het legt genadeloos bloot hoe goed of slecht je toegangsbeheer al was ingericht.
In deze post leg ik uit hoe Copilot daadwerkelijk bij je gegevens komt, waarom permissies daarbij centraal staan, en waarom dat een securityvraagstuk is en geen AI-vraagstuk. Ik kijk vanuit een securityachtergrond naar dit soort omgevingen, en dan is de interessante vraag niet of Copilot iets lekt. De interessante vraag is wat Copilot ineens triviaal vindbaar maakt dat eigenlijk al veel te open stond.
Copilot verzint geen toegang
De grootste misvatting is dat Copilot een soort alwetend model is dat zomaar in je hele tenant graait. Zo werkt het niet. Copilot gebruikt een techniek die Retrieval-Augmented Generation heet, vaak afgekort tot RAG, en in Microsoft-termen heet dat grounding.
Grounding betekent dat Copilot, voordat het taalmodel ook maar iets genereert, eerst relevante context uit jouw omgeving ophaalt en die aan je vraag toevoegt. Stel je een nieuwe collega voor die je vraagt om een rapport samen te vatten. Heeft die het rapport niet gelezen, dan krijg je een vaag, algemeen antwoord. Geef je het rapport eerst, dan krijg je een specifieke, accurate samenvatting. Dat eerst aanreiken van de juiste informatie is precies wat grounding doet.
De stroom ziet er ongeveer zo uit. Je stelt een vraag in een Microsoft 365-app. Copilot ontvangt die vraag en bevraagt eerst de Microsoft Graph en de semantic index om relevante, toegestane content te vinden. Die context wordt aan je prompt toegevoegd, en pas dan gaat de verrijkte prompt naar het grote taalmodel. Het model genereert een antwoord, dat daarna nog wordt nabewerkt tegen je eigen data, en vervolgens krijg je het antwoord terug in je app.
Microsoft Graph en de semantic index
Twee begrippen verdienen extra aandacht, want ze bepalen alles.
De Microsoft Graph is de gegevens- en identiteitslaag van Microsoft 365. Daarin zitten je e-mails, bestanden, agenda-items, chats en de relaties tussen mensen en content. Belangrijk: Copilot gebruikt Graph niet alleen om relevante content te vinden, maar ook om de identiteit en de toegangsrechten van de gebruiker te valideren voordat er iets wordt opgehaald. Toegang tot tenantdata via Microsoft Graph wordt bepaald door de identiteit van de gebruiker en de bestaande toegangscontroles binnen Microsoft 365, zoals SharePoint-permissies, groepslidmaatschappen, Teams-toegang, sensitivity labels en adminrollen.
De semantic index is een organisatiebrede index die boven op Microsoft Graph een betekenisgericht beeld van je content opbouwt. Daardoor kan Copilot niet alleen op trefwoorden zoeken, maar op betekenis. Vraag je naar een onderwerp, dan begrijpt de index ook conceptueel verwante content. Deze index wordt volledig automatisch door Microsoft opgebouwd en vereist geen enkele beheerdersconfiguratie. En cruciaal: de index respecteert exact dezelfde permissies als de rest van je tenant.
De gouden regel
Als je maar één ding onthoudt over Copilot en data, laat het dit zijn. Copilot ziet alleen wat de gebruiker zelf mag zien.
Concreet betekent dat het volgende. Kan een gebruiker een bestand, bericht of site niet vinden via Microsoft Search, dan kan Copilot het ook niet ophalen, samenvatten of citeren. Kan die gebruiker iets wel vinden, dan mag Copilot het gebruiken. De grounding haalt uitsluitend content op waartoe de uitvoerende gebruiker geautoriseerd is. Zelfs versleutelde content, bijvoorbeeld beschermd met een sensitivity label uit Microsoft Purview, geeft Copilot pas terug als de gebruiker minimaal het View-recht heeft.
Met andere woorden: Copilot is geen achterdeur in je beveiliging. Het opereert binnen exact hetzelfde permissiemodel dat je al had.
Op die regel is één belangrijke uitzondering die je moet kennen. Met Restricted Content Discovery, onderdeel van SharePoint Advanced Management, kun je content wél toegankelijk houden qua permissies, maar tegelijk uitsluiten van Copilot en van organisatiebrede zoekresultaten. De permissies blijven dan ongemoeid, terwijl de content niet langer door Copilot wordt opgehaald. Vindbaarheid in Copilot en feitelijke toegangsrechten lopen dus meestal gelijk op, maar je kunt ze bewust loskoppelen.
Waarom dit dan toch een securityprobleem is
Hier zit de adder onder het gras, en hier komt mijn aanvallersblik om de hoek kijken. Het risico is niet dat Copilot je permissies omzeilt. Het risico is dat Copilot bestaande oversharing in één klap exploiteerbaar maakt.
Denk aan een SharePoint-site die ooit met de optie “iedereen in de organisatie” is gedeeld, terwijl er gevoelige documenten in staan. Salarisoverzichten, een reorganisatieplan, gegevens over een overname. Vóór Copilot was die content technisch toegankelijk, maar praktisch begraven. Iemand moest er actief naar zoeken, de juiste mapstructuur kennen, en toevallig op het juiste bestand stuiten. De drempel was hoog genoeg dat het zelden gebeurde.
Met Copilot verdwijnt die drempel. Een medewerker stelt gewoon een vraag in gewone taal, en Copilot haalt behulpzaam precies dat ene gevoelige document op en vat het netjes samen. Oversharing die voorheen “technisch toegankelijk maar praktisch verborgen” was, is nu letterlijk één prompt verwijderd. Dat is geen tekortkoming van Copilot. Dat is een latent toegangsprobleem dat altijd al bestond, en dat nu zichtbaar wordt.
Zo bezien is Copilot geen lek, maar een spiegel. Het weerspiegelt hoe goed je toegangsbeheer en je data governance al op orde waren.
Hoe je het beheerst
Het goede nieuws is dat het werk om Copilot veilig te maken grotendeels samenvalt met het werk dat je sowieso al had moeten doen. Een paar concrete bouwstenen:
- Schoon je permissies op en hanteer least privilege. Content moet alleen toegankelijk zijn voor wie het nodig heeft, niet voor de hele organisatie uit gemak. Dit is de basis waar al het andere op rust.
- Spoor oversharing op met een data access governance report in SharePoint. Daarmee zie je welke sites breed gedeeld zijn of gevoelige content bevatten, voordat Copilot het voor je doet.
- Zet SharePoint Advanced Management in waar nodig. Via restricted site access en Restricted Content Discovery beperk je wie een site mag benaderen, en welke content vindbaar is via zoeken en dus via Copilot.
- Bescherm gevoelige content met sensitivity labels en encryptie. Zelfs als content wordt opgehaald, blijft die beschermd voor wie niet de juiste rechten heeft.
- Gebruik DSPM for AI als je voordeur om AI-gebruik te overzien. Data Security Posture Management for AI laat zien welke AI-tools worden gebruikt, welke gevoelige data via AI wordt gedeeld, en welke risico’s en aanbevelingen er zijn. Microsoft Purview DSPM voert standaard wekelijks een data risk assessment uit op de top 100 SharePoint-sites op basis van gebruik, zodat oversharing en gevoelige content eerder zichtbaar worden. Voorwaarde is wel dat auditing aan staat en dat gebruikers een Copilot-licentie hebben.
Het bredere kader: Responsible AI
Tot slot is het goed om te weten dat Microsoft 365 Copilot is gebouwd volgens Microsofts zes Responsible AI-principes. Die zijn fairness, reliability and safety, privacy and security, inclusiveness, transparency en accountability. In de praktijk betekent dat onder meer dat Copilot bestaande security-, privacy- en compliancegrenzen respecteert, en dat klantdata niet wordt gebruikt om de onderliggende basismodellen te trainen.
Voor jou als organisatie is de relevante boodschap dat verantwoord AI inzetten niet stopt bij de techniek van Microsoft. Het vraagt ook dat jij je eigen data governance op orde hebt, want dat is de helft van de vergelijking die binnen jouw muren ligt.
Conclusie
Copilot is geen securitygat, maar een spiegel. Het toont hoe goed je permissies en je databescherming al waren ingericht.
De praktische les is simpel. Identiteit en data governance zijn geen bijzaak bij een Copilot-uitrol, maar de voorwaarde. Schoon je permissies op, label je gevoelige data en houd oversharing onder controle. Doe je dat, dan werkt Copilot precies binnen de grenzen die jij hebt gesteld.
Bronnen
- Microsoft 365 Copilot architectuur, Microsoft Learn: learn.microsoft.com/microsoft-365/copilot/microsoft-365-copilot-architecture
- Data, privacy en security voor Microsoft 365 Copilot, Microsoft Learn: learn.microsoft.com/microsoft-365/copilot/microsoft-365-copilot-privacy
- Get ready for Copilot met SharePoint Advanced Management en Restricted Content Discovery, Microsoft Learn: learn.microsoft.com/sharepoint/get-ready-copilot-sharepoint-advanced-management
- Oversharing voorkomen met data risk assessments in Microsoft Purview DSPM, Microsoft Learn: learn.microsoft.com/purview/data-security-posture-management-oversharing
Deze post hoort bij mijn serie over Microsoft-security en mijn voorbereiding op AB-900, het examen Microsoft 365 Copilot and Agent Administration Fundamentals. Heb je vragen of een aanvulling, neem gerust contact op.