EU AI Act

Microsoft Copilot en de AI Act: governance

Microsoft Copilot en andere generatieve AI zijn snel gemeengoed op de werkvloer. Deze praktische gids laat zien hoe je daar verantwoord mee omgaat onder de EU AI Act: met aandacht voor transparantie, data en privacy, en helder beleid.

Laatst bijgewerkt: 13 juni 2026

Doe de gratis risicoscan

Copilot op de werkvloer

Microsoft Copilot brengt generatieve AI rechtstreeks in Office: hij helpt met teksten, samenvattingen, presentaties en analyses. Dat is handig, maar het betekent ook dat AI ineens overal in de organisatie wordt gebruikt, vaak zonder dat er beleid voor is. Juist die brede, laagdrempelige inzet vraagt om governance.

Onder de AI Act is je organisatie bij het gebruik van Copilot doorgaans gebruiksverantwoordelijke (deployer): je gebruikt de tool, maar Microsoft ontwikkelt en levert hem. Ook in die rol gelden verplichtingen, en de praktische uitdaging zit vooral in transparantie, data en gedrag van medewerkers. De onderliggende techniek valt bovendien deels onder de regels voor AI-modellen voor algemene doeleinden (GPAI), maar die last ligt bij de aanbieder; voor jou als gebruiker draait het om verantwoorde inzet binnen je eigen organisatie.

Transparantie onder Artikel 50

Generatieve AI zoals Copilot valt in beginsel onder de categorie beperkt risico, met transparantieplichten uit Artikel 50. De kern daarvan is dat mensen weten wanneer ze met AI te maken hebben of naar AI-gegenereerde content kijken.

Voor de werkvloer betekent dat onder meer:

wees open over AI-gebruik in communicatie waar dat relevant is;
markeer of vermeld AI-gegenereerde content waar dat passend is;
zorg dat klanten die met een AI-chatfunctie praten, weten dat het AI is.

De transparantieverplichtingen van Artikel 50 gelden vanaf 2 augustus 2026, met een voorgestelde overgangstermijn voor het machine-leesbaar markeren van bestaande generatieve-AI-content. Die data kunnen via de Digital Omnibus nog verschuiven.

Data en privacy

Het grootste praktische risico bij Copilot is dat gevoelige informatie op de verkeerde plek belandt. Copilot werkt binnen je Microsoft 365-omgeving en respecteert in beginsel de bestaande toegangsrechten, maar dat ontslaat je niet van eigen verantwoordelijkheid.

Aandachtspunt	Wat doe je?
Toegangsrechten	Zorg dat rechten op documenten en mappen op orde zijn
Persoonsgegevens	Houd je aan de AVG; deel niet meer dan nodig
Vertrouwelijke data	Maak duidelijk welke gegevens niet in prompts thuishoren
Gegevensverwerking	Controleer de afspraken met de leverancier over dataverwerking

Onthoud dat Copilot output kan genereren die plausibel klinkt maar onjuist is. Controleer belangrijke uitkomsten altijd; de menselijke beoordeling blijft leidend.

Beleid dat houvast geeft

Zonder afspraken doet iedereen het op eigen manier. Een kort, helder AI-beleid geeft medewerkers houvast en voorkomt incidenten. Leg in elk geval vast:

Waarvoor Copilot wel en niet mag worden ingezet.
Welke gegevens niet in een prompt mogen.
Dat output gecontroleerd wordt voordat die naar buiten gaat.
Hoe je een nieuw AI-gebruik aanmeldt in het AI-register.
Wie het aanspreekpunt is bij twijfel.

Houd het beleid kort genoeg om gelezen te worden, en koppel het aan de praktijk in plaats van aan abstracte regels.

Training en AI-geletterdheid

Beleid werkt alleen als mensen begrijpen waaróm het er is. De AI Act maakt AI-geletterdheid bovendien tot een harde verplichting (Art. 4) die nu al geldt: iedereen die met AI werkt, moet de risico's en beperkingen voldoende begrijpen.

Investeer daarom in praktische uitleg: hoe schrijf je een goede prompt, hoe herken je een onbetrouwbaar antwoord, welke gegevens deel je niet. Zo wordt verantwoord Copilot-gebruik onderdeel van de manier van werken, niet een lijst verboden.

Aan de slag met grip op Copilot

Verantwoord werken met Copilot is goed te doen: breng in kaart wie het gebruikt, stel kort beleid op, regel transparantie en train je mensen. Leg het AI-gebruik vast in een AI-register, zodat je overzicht houdt naarmate de inzet groeit.

Het UMW-platform helpt je van een gratis AI-beleid tot doorlopende governance, en met de gratis risicoscan bepaal je snel hoe je generatieve AI is geclassificeerd. Meer praktische uitleg vind je in de kennisbank. Deze pagina is een hulpmiddel en geen juridisch advies.

Veelgestelde vragen

Als generatieve AI valt Copilot in beginsel in de categorie beperkt risico, met transparantieplichten uit Artikel 50. De precieze classificatie hangt af van hoe je hem inzet; beoordeel het gebruik per situatie.

Wees daar terughoudend in. Copilot werkt binnen je Microsoft 365-omgeving en respecteert bestaande toegangsrechten, maar je blijft zelf verantwoordelijk. Maak in je beleid duidelijk welke gegevens niet in prompts thuishoren en houd je aan de AVG.

Ja. AI-geletterdheid is sinds 2 februari 2025 verplicht (Art. 4) voor iedereen die met AI werkt. Praktische training over goede prompts, het herkennen van onbetrouwbare output en veilig datagebruik is daarvoor de meest effectieve aanpak.

Klaar om te beginnen?

Doe de gratis risicoscan en ontdek je risicocategorie en eerste stappen, of bekijk het platform.

Gratis risicoscan Bekijk het platform

Lees verder

De EU AI Act: de complete gids voor het MKBAlles over de EU AI Act (Verordening (EU) 2024/1689): wat de wet inhoudt, voor wie ze geldt, de risicocategorieën, de deadlines en de boetes. Met concrete eerste stappen.Wat valt onder de AI Act?Wat valt er onder de EU AI Act en wat niet? Lees wat een AI-systeem is, welke toepassingen eronder vallen, de vier risicocategorieën en doe de zelftest.Deployer of provider: welke rol heb je onder de AI Act?Je rol onder de AI Act bepaalt je verplichtingen. Lees het verschil tussen deployer (gebruiksverantwoordelijke) en provider (aanbieder), de plichten per rol en wanneer je rol verschuift.Hoog-risico-AI en Bijlage III van de AI ActHoog-risico-AI valt onder de strengste eisen van de AI Act. Lees wat hoog-risico-systemen zijn, welke domeinen Bijlage III noemt en welke verplichtingen erbij horen.