Microsoft Copilot las wekenlang uw vertrouwelijke e-mails. Dit ging er mis en zo lost u het op.
Wekenlang las, samenvatte en toonde Microsoft 365 Copilot stilletjes e-mails die organisaties expliciet als vertrouwelijk hadden gemarkeerd. Juridische memo’s. Zakelijke overeenkomsten. Overheidscommunicatie. Beschermde gezondheidsinformatie. Allemaal verwerkt door een AI die daar nooit toegang toe had mogen hebben.
Belangrijkste inzichten
- AI-controles op applicatieniveau zijn een enkelvoudig faalpunt. Microsofts gevoeligheidslabels en DLP-beleid bevonden zich in hetzelfde platform als Copilot. Toen er een codefout optrad, vielen alle controles tegelijk uit. Organisaties hadden geen onafhankelijke verdedigingslaag om te voorkomen dat de AI vertrouwelijke inhoud verwerkte—waaronder juridische communicatie, zakelijke overeenkomsten en beschermde gezondheidsinformatie.
- Organisaties hadden nul onafhankelijke zichtbaarheid in wat Copilot benaderde. Van 21 januari tot begin februari 2026 las en vatte Copilot vertrouwelijke e-mails samen zonder dat er een onafhankelijke waarschuwing werd geactiveerd. Organisaties ontdekten het datalek pas toen Microsoft het bekendmaakte—weken later. Zonder onafhankelijke audittrails waren securityteams blind voor de ongeautoriseerde AI-verwerking die binnen hun eigen omgeving plaatsvond.
- Microsofts reactie miste de echte compliancevraag. Microsoft stelde dat gebruikers alleen informatie benaderden die ze al mochten zien. Maar de compliancevraag is niet of de gebruiker toegang had. Het gaat erom of de AI gemachtigd was om vertrouwelijke inhoud te verwerken, te analyseren en samen te vatten. Onder HIPAA, GDPR en de EU AI-wet is dat onderscheid van groot belang.
- Defense-in-depth voor AI-governance is niet langer optioneel. Dit incident bevestigt wat securityarchitecten al langer beweren: AI-governance vereist onafhankelijke, datagedreven controles die losstaan van het AI-platform. Zero-trust architectuur, purpose binding en least-privilege AI-toegang zijn geen idealen meer—het zijn operationele noodzaken. Kiteworks biedt deze onafhankelijke governance-laag, zodat wanneer leverancierscontroles falen, de verdediging op dataniveau intact blijft.
- De juridische blootstelling is reëel en onopgelost. Als Copilot e-mails met PHI, PII of andere gereguleerde data heeft verwerkt, kunnen organisaties meldingsplicht hebben onder HIPAA, GDPR Artikel 33 en staatswetten rondom datalekken. Microsoft heeft niet bekendgemaakt hoeveel organisaties zijn getroffen, waardoor compliance-teams hun risico moeten inschatten met onvolledige informatie.
De bug—geregistreerd als CW1226324—werd voor het eerst gemeld door klanten op 21 januari 2026. Microsoft begon begin februari met het uitrollen van een oplossing, maar medio februari was het herstel nog niet voltooid voor alle getroffen tenants. De Britse National Health Service signaleerde het probleem intern. Microsoft heeft niet bekendgemaakt hoeveel organisaties binnen de impactzone vielen.
Hier is het punt waarop elke securityleider zou moeten stoppen met scrollen: De gevoeligheidslabels waren geactiveerd. Het data loss prevention (DLP) beleid was correct geconfigureerd. Alles was afgevinkt. En het maakte niets uit.
Dit was geen verkeerde configuratie. Het was geen adminfout. Het was een codebug binnen het platform—en die schakelde alle bescherming uit die de AI bij vertrouwelijke data vandaan had moeten houden. Dit is geen kwestie van een patch en doorgaan. Dit is een fundamenteel architectuurprobleem.
Wat er daadwerkelijk gebeurde
Een codefout in de “werk-tab” van Copilot Chat stelde de AI in staat e-mails uit de mappen Verzonden items en Concepten van gebruikers op te halen—zelfs wanneer deze e-mails vertrouwelijkheidslabels droegen en DLP-regels expliciet waren ingesteld om AI-verwerking te blokkeren. De labels gaven aan: “afblijven”. Copilot negeerde ze.
Microsoft bevestigde het probleem in een service advisory en stelde dat e-mails met een vertrouwelijkheidslabel “onjuist werden verwerkt” door Microsoft 365 Copilot Chat. Het bedrijf wees de oorzaak toe aan een codefout en begon begin februari met het uitrollen van een server-side oplossing.
Microsofts publieke reactie was zorgvuldig geformuleerd: Gebruikers hadden alleen toegang tot informatie die ze al mochten zien, omdat Copilot binnen de context van de mailbox van de gebruiker werkt. Vanuit een strikt technisch perspectief is dat verdedigbaar—Copilot opereert binnen de mailbox van de gebruiker. Maar het ontwijkt volledig de echte vraag.
De vraag was nooit of de gebruiker toegang had. De vraag is of de AI gemachtigd was om vertrouwelijke inhoud te verwerken, analyseren en samen te vatten. De gevoeligheidslabels en DLP-beleid bestonden om precies die reden: om dat te voorkomen. Toen die controles faalden, werd vertrouwelijke data door een AI-systeem verwerkt op manieren die de organisatie expliciet had verboden. Dat is het datalek dat telt voor compliance-doeleinden.
Het architectuurprobleem waar niemand over wil praten
Dit is geen verhaal over één bug. Bugs gebeuren. Code bevat fouten. Patches worden uitgerold. Dat is de levenscyclus.
Het echte probleem is structureel. Elke beveiligingscontrole die ongeautoriseerde AI-verwerking had moeten voorkomen—gevoeligheidslabels, DLP, toegangsbeperkingen—bevond zich in hetzelfde platform als de AI zelf. Toen het platform faalde, faalde alles. Geen tweede laag. Geen onafhankelijke controle. Geen vangnet.
Stel je het zo voor: Een bank waar de kluisdeur, het alarm en de beveiligingscamera’s allemaal op één zekering werken. Eén draadje los en je hebt een open kluis, geen alarm en geen beelden. Dat is wat hier gebeurde.
Dit is geen theoretisch risicotype. Uit het 2026 Global Cybersecurity Outlook-rapport van het World Economic Forum blijkt dat datalekken via generatieve AI nu wereldwijd de grootste zorg zijn onder CEO’s, genoemd door 30% van de respondenten. Onder cybersecurityprofessionals steeg de zorg van 21% in 2024 naar 34% in 2026. Ondertussen heeft ongeveer een derde van de organisaties nog steeds geen proces om AI-beveiliging te valideren vóór inzet.
Het Copilot-incident laat zien hoe zo’n gat eruitziet wanneer het productie raakt.
Waarom “vertrouwen maar verifiëren” faalt als de verificateur ook de leverancier is
Microsoft is tegelijkertijd de AI-leverancier, de aanbieder van beveiligingscontroles en de partij die moet controleren of die controles werken. Toen de controles faalden, hadden organisaties geen onafhankelijke manier om dat te weten. Ze kwamen er pas achter toen Microsoft het meldde—weken nadat het begon.
Er was geen onafhankelijke audittrail die vastlegde welke vertrouwelijke inhoud Copilot benaderde. Geen anomaliedetectie die ongebruikelijke verwerkingspatronen signaleerde. Geen realtime waarschuwing toen de AI plotseling e-mails begon samen te vatten die nooit geautoriseerd waren. Het enige signaal was een service advisory, achteraf gepubliceerd.
Dit is het governance-gat dat Kiteworks wil dichten. Het argument—en de Copilot-bug maakt het lastig te weerleggen—is dat AI-governancecontroles op een aparte laag van het AI-platform moeten werken. Niet als een beleidsschakelaar binnen hetzelfde ecosysteem. Maar als een onafhankelijk controlevlak.
Zo ziet dat er in de praktijk uit:
Onafhankelijke datagovernance-laag. Kiteworks fungeert als een apart controlevlak. AI-platforms benaderen data via de Kiteworks API’s met afgedwongen beleid—niet via directe toegang tot e-mailopslag of bestandsystemen. Zelfs als een AI-platform een bug heeft, kan het geen controles omzeilen die het niet zelf beheert.
Purpose binding en least-privilege toegang. Beperk AI-toegang tot specifieke dataclassificaties en gebruikstoepassingen. In plaats van Copilot toegang te geven tot een volledige mailbox, stelt purpose binding organisaties in staat te bepalen dat AI alleen algemene zakelijke e-mails mag benaderen, maar geen e-mails met het label vertrouwelijk, PHI of CUI. Elk verzoek wordt getoetst aan het actuele beleid—niet “eenmalig authenticeren, voor altijd overal toegang”.
Anomaliedetectie en realtime monitoring. Kiteworks signaleert wanneer AI-agenten ongebruikelijke patronen in datatoegang vertonen. Als een AI-systeem plotseling grote hoeveelheden vertrouwelijke inhoud begint te verwerken, ontvangt het securityteam direct een geautomatiseerde waarschuwing—niet pas weken later via een service advisory.
Onveranderlijke, onafhankelijke audittrails. Uitgebreide logs die vastleggen welke data door AI is benaderd, wanneer, onder wiens autorisatie en welke acties zijn uitgevoerd. Deze logs worden beheerd door de organisatie—niet door de AI-leverancier. Wanneer een toezichthouder vraagt wat er is gebeurd, heeft de organisatie eigen bewijs, onafhankelijk van het verhaal van de leverancier.
De compliance-blootstelling die organisaties nu moeten beoordelen
De juridische gevolgen van de Copilot-bug gaan verder dan de technische oplossing. Als Copilot e-mails met beschermde gezondheidsinformatie, persoonsgegevens of andere gereguleerde inhoud heeft verwerkt, kunnen organisaties te maken krijgen met compliance-verplichtingen waar ze nog niet aan hebben gedacht.
HIPAA. Volgens § 164.308(b)(1) moeten onder HIPAA vallende organisaties schriftelijke contracten hebben met business associates waarin het toegestane gebruik en de openbaarmaking van PHI wordt vastgelegd. Als Copilot PHI heeft verwerkt die als vertrouwelijk was gemarkeerd op een manier die niet onder de bestaande overeenkomst viel, moeten organisaties beoordelen of dit een meldingsplichtig datalek is. Microsofts bewering dat gebruikers geautoriseerd waren om de data te zien, zegt niets over of de AI gemachtigd was om deze te verwerken—een onderscheid waar HIPAA-toezichthouders scherp op letten.
GDPR. Artikel 32 vereist “passende technische en organisatorische maatregelen” om de veiligheid van persoonsgegevens te waarborgen. Organisaties die uitsluitend vertrouwden op Microsofts gevoeligheidslabels als technische bescherming, staan zwak als die bescherming wekenlang faalde. Artikel 33 vereist melding aan de toezichthouder binnen 72 uur na ontdekking van een datalek. Als vertrouwelijke e-mails EU-persoonsgegevens bevatten, kan die klok al zijn gaan lopen.
EU AI-wet. Artikel 12 vereist dat hoog-risico AI-systemen gedetailleerde verslagen van hun werking bijhouden. Organisaties die Copilot gebruiken voor gevoelige data kunnen onder deze hoog-risicocategorie vallen. Als hun enige operationele logs afkomstig zijn van Microsoft—dezelfde leverancier die de fout maakte—ontbreekt de onafhankelijke documentatie die de regelgeving vereist.
Staatswetten rond dataprivacy. Diverse Amerikaanse staten hebben meldingsplichten bij ongeautoriseerde toegang tot persoonsgegevens. Als Copilot vertrouwelijke e-mails verwerkte met informatie die onder deze wetten valt, kunnen organisaties verplichtingen hebben waar Microsofts service advisory geen antwoord op geeft.
Kiteworks adresseert deze compliancevereisten direct. Onafhankelijke audittrails leveren het bewijs dat organisaties nodig hebben voor meldingsbeoordelingen. Exporteerbare compliance-rapporten tonen AI-governancecontroles aan toezichthouders. Data processing agreements en business associate agreements worden afgedwongen op dataniveau—niet alleen via contractuele beloften die afhankelijk zijn van het functioneren van de controles van de leverancier.
Wat organisaties nu moeten doen
Beoordeel uw blootstelling. Bepaal of uw organisatie is getroffen door CW1226324. Bekijk Microsoft 365 admin center-waarschuwingen en Copilot-gebruikslogs van 21 januari tot de datum waarop uw tenant herstelbevestiging ontving. Exporteer metadata van vertrouwelijke e-mails in Verzonden items en Concepten binnen deze periode. Als Microsoft geen toeganglogs kan leveren van wat Copilot heeft verwerkt, leg dat formeel vast.
Evalueer meldingsverplichtingen bij datalekken. Als vertrouwelijke e-mails PHI, PII of andere gereguleerde data bevatten, raadpleeg dan juridisch advies over mogelijke verplichtingen onder HIPAA § 164.408, GDPR Artikel 33 of toepasselijke staatswetten rond datalekken. Ga er niet van uit dat Microsofts beschrijving van het incident uw complianceverplichtingen afdekt.
Implementeer onafhankelijke AI-governance. Vertrouw niet uitsluitend op AI-platformcontroles om gevoelige data te beschermen tegen AI-verwerking. Zet een onafhankelijke datagovernance-laag in—zoals Kiteworks—die toegangsbeleid afdwingt, ongeacht bugs bij de leverancier. Purpose binding, least-privilege toegang en continue verificatie moeten worden afgedwongen op dataniveau, niet op applicatieniveau.
Stel onafhankelijke audittrails in. Zorg dat uw organisatie logs heeft van AI-datatoegang die niet uitsluitend worden beheerd door de AI-leverancier. Kiteworks biedt onveranderlijke audittrails die elke AI-interactie met organisatiedata vastleggen, zodat security- en compliance-teams bewijs hebben dat niet afhankelijk is van de rapportage van de leverancier.
Herzie de AI-toegangsarchitectuur. Evalueer of uw AI-tools brede toegang hebben tot dataopslag of dat toegang is beperkt op basis van doel en classificatie. De Copilot-bug trof Verzonden items en Concepten omdat Copilot toegang had tot de volledige mailboxcontext. Purpose binding en op attributen gebaseerde toegangscontrole zouden verwerking hebben beperkt tot alleen geautoriseerde classificaties—zelfs wanneer de platformcontroles faalden.
Eis transparantie van leveranciers. Vraag Microsoft om een post-incidentrapport met de omvang van de impact, getroffen tenants, dataretentie voor inhoud die Copilot tijdens het incident heeft verwerkt en de tijdlijn voor volledig herstel. Als de leverancier deze transparantie niet kan bieden, is dat op zich al een governance-signaal dat uw architectuurbeslissingen voor de toekomst zou moeten beïnvloeden.
De les die de sector moet leren
De Microsoft Copilot-bug staat niet op zichzelf. Het is een casestudy van wat er gebeurt als organisaties AI-platforms zichzelf laten controleren.
Het WEF’s 2026 Global Cybersecurity Outlook waarschuwde dat naarmate AI-agenten breder worden ingezet, het beheer van hun credentials, rechten en interacties net zo kritiek—en waarschijnlijk complexer—wordt als dat van menselijke gebruikers. Het rapport pleitte voor continue verificatie, audittrails en robuuste verantwoordingsstructuren gebaseerd op zero-trustprincipes waarbij elke AI-interactie standaard als onbetrouwbaar wordt beschouwd.
De Copilot-bug laat precies zien waarom. De gevoeligheidslabels waren een vertrouwensmechanisme. Ze vertrouwden erop dat het platform ze respecteerde. Het platform deed dat niet—niet uit kwade wil, maar door een codefout. En zonder een onafhankelijke governance-laag was er niets om de fout op te vangen.
Kiteworks biedt die onafhankelijke laag. De zero-trust gegevensuitwisselingsarchitectuur zorgt ervoor dat AI-platforms via Kiteworks moeten authenticeren om gevoelige data te benaderen, met beleid afgedwongen op dataniveau—niet op applicatieniveau. Purpose binding beperkt wat AI kan benaderen. Continue verificatie beoordeelt elk verzoek. En uitgebreide audittrails bewijzen wat er is gebeurd, wanneer en onder wiens autorisatie.
De organisaties die het AI-tijdperk doorkomen zonder het volgende service advisory te worden, zijn degenen die nu onafhankelijke governance bouwen. Geen commissies. Geen labels. Geen beloften van leveranciers. Operationele infrastructuur die beleid afdwingt op dataniveau—waar het niet kan worden omzeild door een codebug in het platform dat het zou moeten controleren.
De labels waren ingesteld. Het beleid was geconfigureerd. De AI las toch uw vertrouwelijke e-mails. Als dat uw kijk op AI-governance niet verandert, wat dan wel?
Veelgestelde vragen
In januari 2026 stelde een codefout (geregistreerd als CW1226324) in Microsoft 365 Copilot Chat de AI in staat e-mails uit de mappen Verzonden items en Concepten van gebruikers te lezen en samen te vatten, zelfs als deze waren gemarkeerd met vertrouwelijkheidslabels. Dit gebeurde ondanks dat DLP-beleid was geconfigureerd om AI-verwerking van deze e-mails te blokkeren. De bug werd voor het eerst gemeld op 21 januari 2026 en Microsoft begon begin februari met het uitrollen van een oplossing, hoewel het volledige herstel medio februari nog niet was afgerond. Getroffen inhoud omvatte zakelijke overeenkomsten, juridische communicatie, overheidsverzoeken en beschermde gezondheidsinformatie.
Een codefout in de “werk-tab” van Copilot Chat zorgde ervoor dat de AI e-mails in de mappen Verzonden items en Concepten verwerkte, ongeacht of er vertrouwelijkheidslabels waren toegepast. De gevoeligheidslabels en DLP-beleid waren correct geconfigureerd—de controles functioneerden simpelweg niet zoals bedoeld omdat de bug zich bevond binnen hetzelfde platform dat deze controles moest afdwingen. Dit is de kern van de architecturale kwetsbaarheid: Wanneer AI-governancecontroles en de AI zelf op hetzelfde platform draaien, kan één bug alle bescherming tegelijk uitschakelen.
Microsoft stelde dat gebruikers alleen informatie benaderden die ze al mochten zien, omdat Copilot binnen de mailboxcontext van de gebruiker werkt. Echter, de compliance-zorg is anders dan de toegangsautorisatie. De AI was niet gemachtigd om vertrouwelijke inhoud te verwerken—daarom bestonden de gevoeligheidslabels en DLP-beleid. Of de gebruiker de e-mail handmatig had kunnen lezen, doet niet ter zake voor de vraag of de geautomatiseerde verwerking en samenvatting door de AI een compliance-overtreding vormt onder HIPAA, GDPR of andere regelgevingskaders.
Als Copilot e-mails met beschermde gezondheidsinformatie (PHI) heeft verwerkt die als vertrouwelijk waren gemarkeerd, moeten zorgorganisaties beoordelen of dit een meldingsplichtig datalek is onder HIPAA. De kernvraag is of de verwerking van PHI door de AI was toegestaan onder de business associate agreement van de organisatie met Microsoft. Organisaties dienen Copilot-gebruikslogs uit de getroffen periode te bekijken, vertrouwelijke e-mails met PHI te identificeren en juridisch advies in te winnen over meldingsverplichtingen onder HIPAA § 164.408.
AI-governance op dataniveau betekent het afdwingen van toegangscontroles, purpose binding en auditlogging op het niveau van de datainfrastructuur—onafhankelijk van het AI-platform. In plaats van te vertrouwen op de eigen controles van het AI-platform (zoals Microsofts gevoeligheidslabels), vereist governance op dataniveau dat AI via een apart controlevlak moet authenticeren voordat het data kan benaderen. Dit betekent dat een bug in het AI-platform de governancecontroles niet kan omzeilen, omdat die buiten het platform bestaan. Kiteworks biedt deze onafhankelijke governance-laag via zero-trust gegevensuitwisseling, purpose binding, least-privilege toegang en uitgebreide audittrails.
Kiteworks fungeert als een onafhankelijke datagovernance-laag tussen AI-platforms en gevoelige organisatiedata. AI-systemen moeten via Kiteworks API’s authenticeren en voldoen aan afgedwongen beleid voordat ze toegang krijgen tot inhoud. Purpose binding beperkt AI-toegang tot specifieke dataclassificaties—en voorkomt zo toegang tot vertrouwelijke inhoud, ongeacht of de eigen controles van het AI-platform werken. Continue verificatie toetst elk dataverzoek aan het actuele beleid. Anomaliedetectie signaleert ongebruikelijke toegangspatronen in realtime. En onveranderlijke audittrails leggen elke AI-interactie vast, zodat er onafhankelijk bewijs is dat niet afhankelijk is van de logs van de AI-leverancier.
Getroffen organisaties moeten direct een aantal stappen nemen. Controleer eerst het Microsoft 365 admin center op waarschuwingen gerelateerd aan CW1226324 en bekijk Copilot-gebruikslogs van 21 januari tot aan de datum van herstel. Identificeer vervolgens vertrouwelijke e-mails in Verzonden items en Concepten die mogelijk in de getroffen periode zijn verwerkt en bewaar metadata voor juridisch onderzoek. Vraag daarna toeganglogs op bij Microsoft die de verwerkingsactiviteit van Copilot tijdens het incident tonen. Beoordeel of getroffen e-mails PHI, PII of andere gereguleerde data bevatten die meldingsplicht kunnen activeren. Evalueer ten slotte het implementeren van onafhankelijke governance op dataniveau om soortgelijke incidenten te voorkomen, ongeacht toekomstige bugs bij leveranciers.