De medewerker had die bestanden niet horen te zien. Dat hij ze nu wel ziet, is alleen geen Copilot-fout. Het is een SharePoint-fout die tien jaar geleden gemaakt is, en die nu ineens met een vergrootglas voor de neus van iedere medewerker hangt.
Overigens zijn dit soort fouten niet alleen van nu, vroeger had je dan een zoekmachine die wel de zoekresultaten weergaf met titels van documenten of pagina’s waartoe je geen rechten had. Dat je het bestand zelf niet kon lezen was geen probleem. Met de juiste zoektermen kon je voldoende achterhalen. Dus, niks nieuws.
Het is geen AI-probleem
Copilot werkt op basis van wat hij in je tenant kan vinden. Hij respecteert in beginsel de bestaande Microsoft 365 permissies. Als jij geen toegang hebt tot een bestand, gebruikt Copilot het ook niet. Maar daar zit precies het fundamentele probleem: in de meeste organisaties zijn de permissies op SharePoint Online en OneDrive niet wat ze zouden moeten zijn. Ze zijn wat ze in tien jaar gegroeid zijn.
In de praktijk betekent dat een gigantische berg documenten met “Iedereen in de organisatie” als delingsoptie. Bestanden die ooit naar één collega zijn gestuurd via “iedereen met de link”. Sites die zijn aangemaakt voor een project van vijf jaar geleden en sindsdien open hebben gestaan. Mappen waarvan de toegangsrechten al lang niet meer matchen met wie er nog mocht zijn. Teams-kanalen waar mensen in zaten die er allang niet meer in horen.
Voor mensen was die rommel hanteerbaar, om de simpele reden dat niemand het kon overzien. De zoekfunctie van SharePoint was niet goed genoeg om dingen die je niet had moeten vinden, alsnog op te leveren. Mensen vroegen ook zelden naar dingen waarvan ze het bestaan niet vermoedden. Een leuk soort onwetende veiligheid.
Copilot is in beide opzichten beter. Hij zoekt grondiger dan een mens ooit zou doen, en hij doet suggesties op basis van wat er bestaat — ook over dingen waar de gebruiker niet expliciet naar vroeg.
Wat Copilot ineens zichtbaar maakt
In de organisaties die Copilot serieus uitrollen, gebeuren bijna altijd een paar dingen vrijwel meteen.
Mensen vinden gegevens die ze niet hadden moeten kunnen vinden. Salarissen, reorganisatieconcepten, strategiestukken, klantcontracten, soms hele HR-dossiers. Niet omdat iemand kwaad doet — vrijwel altijd uit nieuwsgierigheid, of bij toeval, of omdat Copilot zelf een bestand voorstelt waar de medewerker nooit naar zou hebben gezocht. De zoekruimte van Copilot is exact gelijk aan wat ergens in de tenant op “intern leesbaar” staat. En dat is veel meer dan iemand denkt.
Auditors beginnen vragen te stellen. Want als één medewerker via Copilot bij gevoelige documenten kan, geldt dat per definitie ook voor alle anderen. En in een AVG-context is dat materieel. Het feit dat het nooit eerder zichtbaar werd, betekent niet dat de blootstelling er niet al jaren was.
IT en compliance worden ineens druk met het opruimen van permissies die jarenlang stilletjes hebben uitgedijd. Microsoft heeft daar functionaliteit voor — data discovery, sensitivity labels, scope-beperking voor Copilot — maar het is gigantisch werk, en het is werk dat voor de Copilot-aanschaf niemand wilde doen omdat de noodzaak niet voelbaar was.
De AVG-component die makkelijk wordt onderschat
Onder de AVG ben je verantwoordelijk voor wat je als organisatie met persoonsgegevens doet, inclusief het beperken van toegang tot wat noodzakelijk is voor de taak. Als blijkt dat HR-bestanden, salarisdata of medische informatie toegankelijk zijn voor de hele organisatie — ook al was niemand er actief mee bezig om die toegang te gebruiken — dan is dat in principe al een schending van data minimisatie en need-to-know.
Voor de Autoriteit Persoonsgegevens telt het feit dat een organisatie dat zelf niet wist, niet als verzachtende omstandigheid. Het telt eerder als verzwarend: onvoldoende interne controle, onvoldoende rechtmatige basis voor de feitelijke verwerking.
Copilot maakt die gap zichtbaar. Op de korte termijn vervelend, op de langere termijn waardevol — als je er iets mee doet.
Wat je nu pragmatisch kunt doen
Geen totaaloplossing, wel een aantal stappen die houdbaar zijn en je organisatie niet gelijk op slot zetten.
Begin met scoping. Niet alle bestanden in je tenant zijn even gevoelig. Met Microsoft Purview kun je een data discovery doen op locaties waar bekend gevoelige data zou moeten staan — HR-sites, finance, juridisch — en daar als eerste de permissies onderzoeken. De rest komt later wel. Een tenant-brede opschoning in één keer doen werkt zelden; per zwaartepunt werken wel.
Implementeer restricted SharePoint search of een vergelijkbare scope-beperking voor Copilot. Hiermee dwing je dat Copilot alleen mag zoeken in expliciet aangewezen content, niet in alles waar de gebruiker theoretisch bij kan. Dat is geen permanente oplossing, maar het koopt je tijd om de echte permissies op te ruimen zonder dat het lek ondertussen open blijft staan.
Zet sensitivity labels in en dwing ze af. Labels die zeggen “vertrouwelijk”, “alleen HR”, “alleen directie” — als die labels actief worden afgedwongen, gebruikt Copilot bestanden met die labels alleen voor mensen die daar toegang toe horen te hebben. Het label moet er wel staan, en in veel organisaties is dat nooit consequent gedaan. Een geautomatiseerde labeling-policy op basis van inhoud kan een eind helpen.
Maak het opruimwerk een formeel programma, geen verkapt project van twee mensen op IT. Permissie-opschoning over een hele tenant raakt aan iedere afdeling, iedere bestandseigenaar, ieder team. Zonder duidelijke sponsor en eigenaarschap blijft het hangen op de mensen die het niet kunnen prioriteren.
En richt access reviews opnieuw in. Periodieke reviews die ook content-toegang bekijken, niet alleen rollen en groepen. Want het zijn vaak niet de rollen die te ruim zijn — het is de individuele documentdeling, en die zit standaard niet in je IAM-review-cyclus. Hier raakt dit thema direct aan wat ik in Wie is eigenaar van een AI-agent binnen de organisatie? schreef over non-human identities en eigenaarschap: het patroon is anders, de discipline om er grip op te houden is hetzelfde.
Waarom dit raakt aan hoe ik werk
Voor wie aan IAM, governance of digital workplace doet, is dit een herkenbaar verhaal. Het is technisch een Microsoft-aangelegenheid, maar in essentie een vraagstuk van data-eigenaarschap, recertificatie en discipline rond delen — onderwerpen die in mijn werk dagelijks terugkomen.
Wat het ingewikkeld maakt is dat het noch alleen door IT, noch alleen door business kan worden opgepakt. IT kan tooling beschikbaar maken en patronen detecteren; business moet bepalen wat acceptabele blootstelling is en eigenaarschap nemen voor wat er gedeeld wordt. In dat snijvlak zit het echte werk, en dat is precies waar ik organisaties vaak help.
Slot
Copilot is geen probleem. Copilot is een diagnose-instrument dat in één keer laat zien wat er met je SharePoint-erfenis aan de hand is. Voor wie dat als kans behandelt — opruimen, scope beperken, governance herstellen — komt er een rustigere digitale werkplek uit. Voor wie het wegschuift onder het mom van “de techniek werkt toch”, blijft het volgende incident wachten.
De vraag is niet of het zichtbaar wordt. Die vraag is al beantwoord op het moment dat je Copilot aanzet.
Speelt dit bij jou? Worstelt jullie organisatie met een Copilot-uitrol waar permissies opeens onder een vergrootglas liggen, of zit je voor de uitrol nog en wil je het goed inrichten? Even sparren kan altijd: via het contactblok op de homepage. Niet meteen een traject; gewoon kijken wat voor jouw context werkbaar is.
Veelgestelde vragen over Microsoft Copilot en SharePoint governance
Waarom zien medewerkers via Copilot bestanden die ze eerder nooit vonden?
Copilot zoekt grondiger dan een mens, en hij doet suggesties op basis van wat er bestaat — ook over zaken waar de gebruiker niet expliciet naar zoekt. Bestanden die jarenlang in de tenant met te ruime permissies stonden (vaak “Iedereen in de organisatie”) worden door Copilot effectief vindbaar gemaakt, terwijl ze voor de menselijke SharePoint-zoekfunctie praktisch onzichtbaar bleven.
Is dit een Copilot-fout?
Nee. Copilot respecteert de bestaande Microsoft 365 permissies — hij toont alleen bestanden waar de gebruiker formeel toegang toe heeft. Het probleem zit in de permissies zelf, die in de meeste organisaties in tien jaar tijd te ruim zijn geworden. Copilot maakt dat zichtbaar, hij veroorzaakt het niet.
Wat zegt de AVG hierover?
De AVG vereist data minimisatie en need-to-know toegang tot persoonsgegevens. Als persoonsgegevens (HR-data, salarissen, dossiers) feitelijk toegankelijk zijn voor mensen die ze niet nodig hebben voor hun werk, is dat een schending — los van of die toegang ooit is gebruikt. Het feit dat een organisatie niet wist hoe ruim de blootstelling was, telt voor de Autoriteit Persoonsgegevens niet als verzachtende omstandigheid.
Wat is restricted SharePoint search en wanneer zet je het in?
Restricted SharePoint search beperkt Copilot tot een expliciet aangewezen set sites, in plaats van de hele tenant. Het is een goede tijdelijke maatregel terwijl je de onderliggende permissies opruimt: je voorkomt verdere blootstelling zonder dat je de opruimoperatie hoeft af te wachten voordat Copilot bruikbaar is.
Wat moet ik vandaag minimaal doen voor een Copilot-uitrol?
Drie dingen om mee te beginnen. Eén: data discovery via Microsoft Purview op locaties waar gevoelige data zou moeten staan, en daar als eerste permissies onderzoeken. Twee: sensitivity labels inzetten en (geautomatiseerd) afdwingen op die locaties. Drie: restricted SharePoint search of een vergelijkbare scope-beperking aanzetten zolang de onderliggende permissies nog niet schoon zijn. De volledige opschoning is een meerjarig programma, niet iets dat je voor de uitrol af krijgt.
Hoort dit thuis bij IT, compliance of business?
Bij alle drie, en dat is meteen waarom het zo vaak blijft liggen. IT kan tooling en detectie leveren, compliance kan de risico’s articuleren, maar de echte eigenaarschap-keuzes over wat wel en niet gedeeld mag zijn moet vanuit de business komen. Zonder een sponsor die alle drie de hoeken kan bewegen blijft het zoveelste compliance-rapport.
