Microsoft 365 compliance en informatiebeheer: Copilot

Microsoft Copilot is de nieuwe AI-ondersteunde service die sinds 1 november jl wordt aangeboden, door nog zeer weinigen onder ons in de praktijk is beproefd, maar veel commotie veroorzaakt. Wat is er op basis van beschikbare informatie te zeggen over recordsmanagement en compliance? Wat zeggen experts erover?

Microsoft 365: is het een ‘samenwerkingsplatform’ of een informatiebeheersysteem?

Dat juist overheidsorganisaties dure Microsoft 365 licenties inkopen om vervolgens de aangeboden functionaliteiten niet volledig uit te nutten is als belastingbetaler moeilijk te volgen, als je er al weet van zou hebben. Als onafhankelijk Microsoft 365 compliance specialist verbaas ik me soms wel hoe het kan dat een organisatie enkele duizenden E5 licenties heeft ingekocht en maandelijks tientallen euro’s per stuk aan uitgeeft voor een dienst die ze zelf als ‘samenwerking’ duidt. In heel veel projecten waarin Microsoft Teams wordt gelanceerd voor ‘samenwerking’ is informatiebeheer en compliance op zijn best een ‘tweede fase’, op zijn slechtst een te lastige opgave waarvoor andere applicaties al zijn voorbestemd. Privacy lossen we dan op door af te spreken dat we heus geen documenten met bijzondere persoonsgegevens zullen opslaan in de cloud. Vertrouwelijkheid door een ‘extra hekje’ van autorisaties om die documenten te zetten.

En archivering? Dat doen we door te verwachten dat de medewerkers het document zullen kopiëren naar het afzonderlijke systeem dat we dan vaak een vrolijke naam geven maar wat eigenlijk een onwerkbaar DMS blijkt te zijn met veel vakjes en velden. Dat we daarin informatiebeheerders zorgvuldig laten beheren, gecontroleerd vernietigen en verklaringen van die vernietigingen laten opstellen terwijl de ‘samenwerking’ applicatie en nog bestaande fileshare uitpuilt van de (originele) documenten, e-mailberichten en chat, dat willen we liever niet weten, omdat we hechten aan ambtelijke zorgvuldigheid en vastlegging en goedkeuring. Maar ondertussen is het natuurlijk een ambtelijk ritueel, die hele vernietiging. En hadden we bij een project rond ‘samenwerking’ kunnen bedenken dat er geen samenwerking is zonder informatie. Geen projectteam of afdeling zonder documenten. En dat de teams in Teams dus de opgeslagen informatie van creatie af aan onder beheer zouden moeten brengen: hallo archiving by design.

Gelukkig neemt het aantal goede ervaringen met toepassing van best practices voor compliance maatregelen in Teams, Exchange en SharePoint toe bij lokale overheid en ZBO’s. Dat betekent dat we steeds sneller in staat zijn om Archiefwetplichtige organisaties een start te laten maken met informatiebeheer in Microsoft 365. Denk daarbij aan compliant teams-creatie met behulp van provisioning tooling, aan de (zoveel mogelijk geautomatiseerde) toekenning van metadata en bewaartermijnen. Maar ook aan het herkennen van gevoelige informatie, het vertrouwelijk houden van documenten, het terugvinden van informatie ten behoeve van openbaarheid en transparantie.

Copilot, een nieuwe fase in documentcreatie, – analyse en  -samenvatting

Ondertussen daagt Microsoft de markt verder uit door Copilot te presenteren en per 1 november jl beschikbaar te stellen. Copilot is in Microsoft 365 functies geïntegreerde kunstmatige intelligentie (AI) die productiviteitsverhogend kan werken. Bijvoorbeeld door informatie voor documentteksten aan te dragen of bestaande communicatie, zoals in chat en vergaderingen, voor ons samen te vatten. Achter alle ronkende marketing (‘creativiteit ontketenen’) in blogs, documentatie en video’s van Microsoft zelf zijn er gelukkig ook de nuchtere waarnemingen van insiders, waar ik graag naar doorverwijs.

Steve Goodman kwam 1 november met heel nuttige waarnemingen over gebruikerstypen en omgevingen waar Copilot waar voor zijn geld zal kunnen leveren: Copilot is niet voor iedereen, maar vooral voor die gebruikersgroep van kenniswerkers die toch al duur is en overbezet. Tony Redmond wees eerder al onder andere op de opvallend hoge meer-prijs van de Copilot licenties (die voor een minimaal aantal van 300 moeten worden afgenomen). Mary Jo Foley kwam deze week met aanvullende details, onder andere over licenties, maar ook over de omgeving waarin de AI haar processen uitvoert, namelijk niet noodzakelijk binnen de tenant data centers maar voor Nederlandse tenants wel binnen de Europese Unie:

“Microsoft 365 Copilot doesn’t change existing data processing and residency commitments that are applicable to Microsoft 365 tenants. Microsoft 365 Copilot calls to the LLM (large language model) are routed to the closest data centers in the region, but also can call into other regions where capacity is available during high utilization periods. For European Union (EU) users, we have additional safeguards to comply with the EU Data Boundary. EU traffic stays within the EU Data Boundary while worldwide traffic can be sent to the EU and other countries or regions for LLM processing.”

Omdat Copilot voor het aandragen van suggesties voor content in staat is te putten uit informatie waar de gebruiker toegang toe heeft is het logisch dat Microsoft adviseert om vóór enig gebruik de tenant qua toegang tot informatie op orde te hebben. We weten uit eerdere ervaringen met bijvoorbeeld enterprise search oplossingen hoe het onverwacht en soms ook ongewenst opduiken van informatie tot schrikreacties heeft geleid (‘Zet uit, snel!’). Want Copilot haalt informatie op voor zijn antwoorden: “from the specific file you’re working on in the context of an Office app session, regardless of where that file is stored. For example, local storage, network shares, cloud storage, or a USB stick. When files are open by a user within an app, access is often referred to as data in use.”

Copilot en recordsmanagement en compliance

Wat opvalt aan de introductie van Copilot is dat Microsoft sneller dan ooit tevoren bij applicaties ook al veel van de compliance features op orde lijkt te hebben, aldus de verse documentatie:

  • Sensitivity labels and content encrypted by Microsoft Purview Information Protection
  • Data classification
  • Customer Key
  • Communication compliance
  • Auditing
  • Content search
  • eDiscovery
  • Retention and deletion
  • Customer Lockbox

Hoewel Purview’s Data Loss Prevention (nog) niet wordt ondersteund in Copilot, herkent Copilot wel classificaties die met Sensitive Information Types (SIT’s of Typen Gevoelige Informatie in het Nederlands) zijn geactiveerd. Dat kunnen standaard SIT’s van Microsoft zijn zoals die voor rijbewijs, bank-, BSN-nummers, adressen etc., maar ook custom classificaties. Zodat de classificaties zowel de gebruikers-prompts (vraagstelling aan AI) als ook de resultaten kan beperken.

Wat betreft auditing: de auditlog in Purview bevat nieuwe activiteiten (‘Interacted with Copilot’)waar op kan worden gezocht. Zoeken voor informatiebeheerders: Content Search (Inhoud zoeken in Nederlands) in Purview kan gebruik maken van deze voorwaarde om prompts en antwoorden daarop te vinden in gebruikers mailboxen in Exchange Online, waar die data wordt opgeslagen. Overigens lijkt andere documentatie (nog?) niet helemaal in lijn hiermee en wordt aangeraden eDiscovery te gebruiken (“Auditing captures the Copilot activity of search, but not the actual user prompt or response. For this information, use eDiscovery” en ook: “If [Teams] transcripts are turned off, the capabilities for auditing, eDiscovery, and retention aren’t supported.”). Voor eDiscovery werkt dit vergelijkbaar, met de toegevoegde mogelijkheid de data on hold tezetten of te exporteren.

De archivering van gebruikers prompts en Copilot antwoorden wordt ondersteund met retention policies (Bewaarbeleid, of Retentiebeleid, in Gegevenslevenscyclusbeheer in Purview), dus niet met retentie labels. Daartoe zijn de opties van retention policies uitgebreid van Team chat (voor 1-1 en 1-x chat in Teams) naar ‘Teams chats and Microsoft 365 Copilot interactions’. Deze twee applicaties (chat, Copilot) kunnen dus alleen samen in een Bewaarbeleid opgenomen, ongeacht of één van de twee wel of niet wordt gebruikt. Bij gebruik van Copilot kan het bewaarde resultaat dan ook meer dan alleen chat en prompts bevatten, namelijk ook Copliot resultaten, bestaande uit tekst, links en verwijzingen. De nieuwe Microsoft documentatie hiervan is goeddeels vergelijkbaar met de bestaande retention policies documentatie. Let er op dat een eventueel gelijktijdig op mailboxen toegepaste eDiscovery hold zo’n  toegepaste retention policy zal overstijgen!

Natuurlijk zullen we al deze nieuwigheid nog moeten ervaren in de praktijk. Maar ondertussen kijk ik al weer reikhalzend uit naar aankondigingen voor AI-gestuurde toepassingen van recordsmanagement, nog niet op de roadmap gesignaleerd, maar wellicht een hint op volgende conferenties?

—–

Afbeelding: AI gegenereerd met Ideogram

 

Laat een reactie achter

Je e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *