Copilot veilig aanzetten: 3 minimale DLP-instellingen voor jouw MKB

Microsoft Copilot is geactiveerd. Een medewerker tikt in zijn nieuwe Word-chat: "Maak een samenvatting van alle salaris-informatie die ik vandaag heb gezien." Copilot werkt braaf — en haalt op uit een toevallig per-ongeluk-gedeelde HR-spreadsheet, een mail van vorig kwartaal en een document dat in een SharePoint stond waar deze medewerker eigenlijk geen toegang toe had moeten hebben. Klaar — data-lek.

Dit is geen hypothetisch scenario. Bij elke MKB-organisatie die we doorlichten zien we hetzelfde patroon: SharePoint-sites die over de jaren heen volgelopen zijn met data, gebruikers die meer rechten hebben dan ze nodig hebben, gedeelde mappen waar iedereen bij kan. Vóór Copilot was dat een latent probleem; mét Copilot wordt het actief geëxploiteerd door je eigen AI.

Hieronder de drie minimale DLP-instellingen die je móet hebben staan voordat je Copilot aanzet. Dit is geen "nice-to-have voor de toekomst" — dit is grondvoorwaarde.

Waarom is dit zo'n risico bij Copilot?

Vóór Copilot moest een medewerker zelf actief naar bepaalde data zoeken, openen en lezen. Dat gebeurt niet zomaar — de meeste mensen scrollen niet uren door SharePoint om HR-data te vinden. Copilot doet dat in 4 seconden, in opdracht.

Concreet: Copilot ziet alles wat de ingelogde gebruiker kan zien. Dus:

• Mailboxes van anderen waar de gebruiker delegated access op heeft
• SharePoint-sites waar de gebruiker member van is (zelfs als hij dat niet wist)
• OneDrive-folders die met "iedereen in het bedrijf" gedeeld zijn
• Teams-channels waar de gebruiker in zit
• Persoonlijke notities en documenten

In een normaal MKB met 30-50 medewerkers en 5-10 jaar M365-historie staat in deze hoeken meer gevoelige data dan iedereen denkt: salaris-overzichten, NDA's, klant-dossiers van anderen, oude functioneringsgesprekken, juridische adviezen.

De drie minimale DLP-instellingen

1. Restricted SharePoint Search (RSS)

Dit is een M365-feature van Microsoft die specifiek voor Copilot is gemaakt. Standaard kan Copilot doorzoeken in álle SharePoint-sites en OneDrives waar de gebruiker rechten op heeft. Met Restricted SharePoint Search beperk je dat tot een vooraf gedefinieerde lijst van "goedgekeurde" sites.

Aanpak voor MKB:

• Identificeer welke SharePoint-sites bedrijfskritisch zijn (intranet, beleids-site, productinformatie, sales-collateral)
• Voeg deze toe aan de RSS allow-list
• Alle andere sites blijven onzichtbaar voor Copilot, zelfs als de gebruiker er rechten op heeft

Tijdsinvestering: 1 dag werk voor MKB tot 100 medewerkers.

2. Sensitivity labels met "Do Not Share with AI"-restrictie

Sensitivity labels (Microsoft Purview Information Protection) bestaan voor specifieke documenten en bestanden. Je definieert labels zoals "Public", "Internal", "Confidential", "Strictly Confidential" en koppelt ze aan rule-based auto-classification.

Voor Copilot is cruciaal: documenten met label "Strictly Confidential" (of vergelijkbaar) krijgen een "Do Not Share with AI"-eigenschap mee. Copilot leest deze documenten dan niet — zelfs niet als de gebruiker er rechten op heeft.

Aanpak voor MKB:

• Definieer 3-4 sensitivity labels (geen 10, dat gebruikt niemand)
• Stel mandatory labelling in op nieuwe documenten in compliance-gevoelige sites
• Configureer auto-classification voor patronen zoals BSN-nummers, salaris-info, klant-IDs
• Markeer relevante labels met "do not share with AI"

Tijdsinvestering: 2-3 dagen werk inclusief uitleg aan medewerkers. Let op: dit vereist M365 E3 of hoger.

3. Audit en monitoring van Copilot-interacties

Standaard zit Copilot in een black-box: je weet niet wie wat gevraagd heeft, en wat hij teruggekregen heeft. Voor compliance is dat onaanvaardbaar — als er een incident is wil je kunnen reconstrueren wat er gebeurd is.

Microsoft Purview Audit (Premium) logt alle Copilot-prompts en -responses per gebruiker, met retentie tot 10 jaar. Voor MKB-bedrijven met NIS2-verplichtingen, NEN 7510 of strikte advocaat- of zorg-compliance is dit een vereiste.

Aanpak voor MKB:

• Activeer Purview Audit Premium (zit in E5, of als add-on bij E3)
• Stel retentie in op minimaal je sectorale wettelijke termijn (zorg: 15 jaar, advocatuur: 5-20 jaar)
• Bouw een maandelijks rapport in over Copilot-interacties die "Strictly Confidential"-labels hebben aangeraakt

Tijdsinvestering: 1 dag werk. Vereist E3 + Purview Audit Premium add-on of E5.

De DLP-policies die bovenop deze drie horen

De drie bovenstaande zijn de minimale Copilot-specifieke instellingen. Bovenop horen klassieke DLP-policies die je sowieso zou willen hebben:

• BSN-nummers in mails detecteren en blokkeren (NL-specifiek)
• Credit-card-nummers patronen
• Klantnamen + medische conditie samen → label "Confidential" auto-toepassen (voor zorg)
• Bestanden over een drempel-grootte buiten de organisatie sturen → blokkade

Deze gelden niet alleen voor Copilot maar voor alle M365-data-stromen. Maar pas vooral op bij Copilot omdat hij snel-en-veel kan ophalen.

Wat is de werkelijke tijdsinvestering?

Voor een MKB-bedrijf van 20-50 medewerkers, beginnend met Copilot:

• Restricted SharePoint Search opzetten: 1 dag
• Sensitivity labels ontwerpen + uitrollen: 2-3 dagen
• Audit + monitoring inrichten: 1 dag
• DLP-policies bovenop: 1-2 dagen
• Medewerker-training en awareness: 0,5 dag
• Totaal: 5-8 werkdagen

Niet veel als je het tegenover het risico afzet. Een data-lek-incident in NL kost gemiddeld €25.000-€100.000 voor MKB (boete + reputatie + herstel). Een 5-8 dagen werk om dat te voorkomen is goedkoop.

Wat we MKB-klanten meestal adviseren

Activeer geen Copilot voordat deze drie pijlers er staan. Niet één enkele gebruiker, niet eens als pilot. Het risico is asymmetrisch: een data-lek door Copilot in een Nederlandse zorg- of advocatuur-omgeving is een groter incident dan een paar maanden uitstel.

Concreet pad dat wij voor klanten lopen:

1. Week 1: Restricted SharePoint Search activeren + 2-3 prioritair-sensitive sites identificeren
2. Week 2: Sensitivity labels framework + auto-classification voor BSN/medisch/klant-ID
3. Week 3: Audit + monitoring inrichten + management-rapport opzetten
4. Week 4: Pilot met 3-5 medewerkers, monitoren wat Copilot terughaalt, controles uitvoeren
5. Week 5+: Bredere uitrol mits pilot schoon

Te traag voor je smaak? Begrijpelijk. Maar veel beter dan het alternatief: een DPIA achteraf na een incident, met boetes van de AP.

Wil je een DLP-check op je M365-omgeving voor je Copilot aanzet? Plan een Copilot-readiness gesprek. We doen een quickscan op je huidige SharePoint-permissies, sensitivity-setup en DLP-policies, en geven binnen 1 werkdag een concreet stappenplan terug.