In januari 2026 ontdekten organisaties die Microsoft 365 gebruiken dat Copilot Chat e-mails samenvatte die als vertrouwelijk waren gemarkeerd — ook wanneer het DLP-beleid (Data Loss Prevention) expliciet was geconfigureerd om dit te voorkomen. De bug werd op 21 januari door klanten gemeld. Microsoft erkende het begin februari in een melding bijgehouden als CW1226324.

Wat er gebeurde

Microsoft 365 gebruikt gevoeligheidslabels (bijv. “Vertrouwelijk”, “Zeer vertrouwelijk”) en DLP-beleid via Microsoft Purview om te controleren hoe gegevens binnen een organisatie stromen. De verwachting: als een e-mail als vertrouwelijk is gelabeld, mogen AI-tools deze niet verwerken.

De realiteit: een programmafout zorgde ervoor dat Copilot Chat items uit de mappen Verzonden items en Concepten oppakte, ongeacht hun gevoeligheidslabels. De AI vatte vertrouwelijke e-mails samen op verzoek en presenteerde de inhoud via het tabblad “Werk” van Copilot Chat.

De eigen documentatie van Microsoft vermeldt al dat gevoeligheidslabels niet consistent worden toegepast op alle Copilot-oppervlakken — een voorbehoud dat veel beheerders mogelijk niet hebben opgemerkt.

De soevereiniteitshoek

Dit incident gaat niet over één enkele bug. Het illustreert een structureel probleem: organisaties die kritieke communicatie uitbesteden aan een cloud-AI-platform kunnen niet onafhankelijk verifiëren waartoe die AI toegang heeft. DLP-beleid is een contractuele en technische belofte — maar wanneer de AI closed-source is, draait op de infrastructuur van iemand anders en naar eigen goeddunken door de leverancier wordt bijgewerkt, heeft de organisatie geen mogelijkheid om naleving in real-time te auditen.

Voor Europese organisaties die al opereren onder jurisdictierisico van de CLOUD Act, voegt dit een tweede laag van zorg toe: niet alleen wie juridisch toegang heeft tot uw gegevens, maar ook welke AI-functies deze ongemerkt verwerken.

Microsoft heeft sindsdien een configuratie-update uitgerold. Maar het incident duurde weken voordat het werd erkend — weken waarin vertrouwelijke inhoud zonder autorisatie werd verwerkt door een AI-model.

Wat organisaties kunnen doen

  • Audit het daadwerkelijke gedrag van Copilot, niet alleen uw beleidsconfiguratie. De twee komen niet noodzakelijk overeen.
  • Test DLP-beleid specifiek tegen AI-oppervlakken — gevoeligheidslabels die in Outlook werken, gelden mogelijk niet in Copilot Chat, Teams of andere verbonden ervaringen.
  • Overweeg of AI-functies überhaupt moeten worden ingeschakeld voor gevoelige communicatiecategorieën. De standaard in Microsoft 365 is opt-in per uitrol, niet opt-in per gebruiker.
  • Overweeg de controleasymmetrie. In een zelf gehoste open-source stack kan een dergelijke bug worden gevonden door de broncode te lezen. Op een propriëtair SaaS-platform hoort u erover wanneer de leverancier besluit het u te vertellen.

Wat volgt

Dit incident is een herinnering: wanneer u communicatiegegevens toevertrouwt aan een closed-source AI, vertrouwt u erop dat die AI uw beleid respecteert — maar u kunt niet verifiëren dat dit zo is. De bug bestond weken voordat iemand het opmerkte. Vertrouwelijke gegevens werden verwerkt zonder autorisatie, en de enige reden dat we ervan weten is dat Microsoft ervoor koos het bekend te maken.

Organisaties hebben drie realistische reacties:

Deze week (minimale inspanning):

  • Schakel Copilot uit voor gebruikers die met gevoelige gegevens werken. Niet alle Microsoft 365-licenties bevatten Copilot — audit wie toegang heeft en trek deze in voor functies die vertrouwelijke informatie behandelen.
  • Schakel Purview DLP voor Copilot expliciet in. Vertrouw niet op de standaardconfiguratie. Test het.
  • Ga ervan uit dat elke e-mail die door Copilot wordt verwerkt door Microsoft kan worden ingezien. Als dat onacceptabel is, gebruik Copilot dan niet voor gevoelige communicatie.

Deze maand (infrastructuurproject):

  • Implementeer een zelf gehoste samenvattings-AI. Een lokaal LLM op interne infrastructuur — met open-weight modellen zoals Mistral 7B of LLaMA 3.1 8B — draait op uw servers, onder uw controle. De AI verwerkt uw gegevens, niet die van Microsoft. Tools zoals vLLM en Ollama maken implementatie eenvoudig op een enkele GPU-server.

Dit kwartaal (strategische beslissing):

  • Heroverweeg het Microsoft 365-pakket. Copilot wordt verkocht als onderdeel van Microsoft 365, maar de beveiligingsafweging is expliciet: u voegt een AI-laag toe die alles in uw tenant verwerkt. Voor organisaties met daadwerkelijke gegevenssoevereiniteitsvereisten is het alternatief niet “geen AI” — het is AI op uw infrastructuur, met open-weight modellen, onder uw jurisdictie.

Het Copilot-incident zal volgende maand vergeten zijn. De volgende AI-verrassing niet. De organisaties die zich nu voorbereiden, hoeven later geen datalek uit te leggen.

Bronnen