Wat was de bug in Microsoft Copilot met vertrouwelijke e-mails?

Copilot Chat las e-mails met een vertrouwelijkheidslabel, ook als DLP-policies dat moesten voorkomen. De bug zat in hoe Copilot omging met Verzonden items en Concepten.

Hoe lang duurde het voordat Microsoft de Copilot-bug oploste?

Klanten meldden het probleem op 21 januari 2026. Microsoft erkende de fout pas op 3 februari. Weken lang las Copilot mee.

Wat is DLP in Microsoft 365 en hoe werkt het?

DLP staat voor Data Loss Prevention: een beveiligingslaag waarmee je bepaalt wat AI-tools mogen zien. Je labelt bestanden en e-mails als vertrouwelijk zodat Copilot er niet bij kan.

Moeten bedrijven stoppen met Microsoft Copilot na dit incident?

Niet per se, maar blinde vertrouwen in DLP-policies is niet verstandig. Controleer actief of beveiligingsinstellingen werken zoals verwacht.

Copilot-bug las vertrouwelijke e-mails: wat er misging

Vertrouwelijke e-mails lezen zonder toestemming. Precies dat deed Microsoft Copilot wekenlang bij betalende klanten. Niet door een hack, niet door een aanval van buitenaf. Gewoon door een bug in hun eigen code.

Dit is het soort incident waar je als bedrijf wakker van moet liggen.

Wat er precies mis ging

Microsoft heeft bevestigd dat Copilot Chat vertrouwelijke e-mails kon lezen en samenvatten, ook als organisaties data loss prevention (DLP) policies hadden ingesteld om dat te voorkomen.

De bug, intern bijgehouden als CW1226324, zat specifiek in hoe Copilot omging met e-mails in de mappen "Verzonden items" en "Concepten". E-mails met een vertrouwelijkheidslabel werden door een fout in de code toch opgepikt door Copilot, ondanks dat die labels juist bedoeld zijn om te zeggen: hier blijf je af.

Klanten meldden het probleem voor het eerst op 21 januari 2026. Microsoft erkende de fout op 3 februari en begon daarna met een fix.

Weken dus. Weken lang las Copilot mee.

Hoe werkt DLP in Microsoft 365 eigenlijk?

Data Loss Prevention is een beveiligingslaag die je als organisatie instelt om te bepalen wat AI-tools wel en niet mogen zien. Je plakt een label op een e-mail, een document, een bestand. Dat label zegt: dit is vertrouwelijk, dit mag niet worden meegenomen naar externe systemen of AI-modellen.

Microsoft maakte DLP voor Copilot halverwege 2025 algemeen beschikbaar als extra beveiligingslaag voor bedrijven die Copilot wilden gebruiken zonder alle interne data bloot te stellen. De gedachte was goed: je kunt Copilot inschakelen en toch controle houden over wat de AI ziet.

Alleen werkte die controle dus niet.

DLP is geen magie. Het is een configuratielaag bovenop een systeem. Als de code die die labels uitleest een fout bevat, valt de hele bescherming weg. Dat is wat hier gebeurde. De labels waren er. De policies waren er. Maar de code negeerde ze gewoon.

Wat Copilot dan precies deed met die e-mails

Copilot Chat gebruikte de inhoud van die vertrouwelijke e-mails om samenvattingen te maken en vragen te beantwoorden. Een medewerker die vroeg "wat zijn de laatste updates over project X?" kon antwoorden krijgen die gebaseerd waren op e-mails die nooit voor Copilot bedoeld waren.

Beveiligingsonderzoekers wijzen al langer op een fundamenteel architectureel risico: Copilot heeft standaard toegang tot alles waar een medewerker toegang toe heeft. Dat is vaak veel meer dan iemand in zijn dagelijkse werk nodig heeft. Combineer dat met een bug die DLP-labels negeert, en je hebt een probleem.

De outputs van Copilot erven ook niet automatisch de beveiligingslabels van de bronbestanden. Dat betekent dat een samenvatting van een vertrouwelijk document zelf niet als vertrouwelijk wordt gemarkeerd. Dat is een serieus risico voor organisaties met gevoelige data.

Als je meer wilt begrijpen over hoe AI agents omgaan met data en beveiliging, is dit artikel over AI agent beveiliging een goede plek om te beginnen.

Hoeveel organisaties zijn geraakt?

Dat weet niemand. Microsoft heeft het aantal getroffen klanten niet bekendgemaakt. Een woordvoerder reageerde niet op vragen hierover.

Dat zegt op zichzelf ook iets.

Copilot Chat is beschikbaar voor alle betalende Microsoft 365-klanten. Dat zijn grote aantallen bedrijven, ook in Nederland en Europa. De bug was actief vanaf januari. Hoeveel vertrouwelijke e-mails er in die periode zijn verwerkt door Copilot? Onbekend.

Wat deed het Europees Parlement?

Timing is alles. Precies een dag voor dit nieuws naar buiten kwam, blokkeerde de IT-afdeling van het Europees Parlement alle ingebouwde AI-functies op de werktoestellen van parlementsleden. De reden: zorgen dat AI-tools vertrouwelijke correspondentie naar de cloud zouden uploaden.

Dat klinkt nu minder als voorzichtigheid en meer als goed inzicht.

Het is ook een signaal voor Europese bedrijven. De druk op AI-leveranciers om transparant te zijn over datagebruik neemt toe. GDPR is niet verdwenen. En incidenten als dit geven toezichthouders munitie.

Wat moet je nu doen als je Copilot gebruikt?

Eerst: check of je organisatie getroffen is. Admins kunnen de status van CW1226324 bekijken via het Microsoft 365 admin center. Microsoft zegt dat de fix in februari is uitgerold, maar het is verstandig dit zelf te verifiëren.

Daarna: kijk kritisch naar je DLP-configuratie. Niet omdat DLP niet werkt, maar omdat je nu weet dat het kan falen. Stel jezelf de vraag: als Copilot morgen opnieuw toegang zou krijgen tot alles, wat zou dat betekenen?

Dat brengt je bij een bredere vraag over hoe je AI-tools verantwoord inzet in je organisatie. Niet alleen welk model je kiest, maar hoe je de grenzen bepaalt van wat die tools mogen zien en doen. Dat geldt net zo goed voor het bouwen van AI agents als voor kant-en-klare tools als Copilot.

En als je werkt met gevoelige bedrijfsinformatie: ga er niet vanuit dat een label voldoende bescherming biedt. Technische maatregelen kunnen falen. Beleid rondom welke data überhaupt in systemen als Copilot terechtkomt, is minstens zo belangrijk.

Is dit een reden om Copilot niet te gebruiken?

Niet per se. Bugs komen voor, ook bij grote leveranciers. Wat telt is hoe snel ze worden opgelost en hoe transparant een bedrijf erover is. Microsoft was hier niet snel en niet transparant. Weken zonder communicatie, en nog steeds geen duidelijkheid over de omvang.

Dat is het echte probleem. Niet de bug zelf, maar de stilte eromheen.

Als je Copilot gebruikt of overweegt te gebruiken, is dit een goed moment om te bepalen welke data je er wel en niet aan blootstelt. Niet als tijdelijke maatregel, maar als structureel beleid. Welk AI model je ook kiest, de vraag over datazuinigheid blijft altijd relevant.

Vertrouwen in AI-tools is niet vanzelfsprekend. Dat moet je verdienen. En dit incident laat zien dat Microsoft daar nog werk aan heeft.

Conclusie: Een DLP-label is geen garantie. Als je Copilot gebruikt, controleer dan vandaag nog via je admin center of CW1226324 bij jou is opgelost. En stel daarna de vraag die je eigenlijk al eerder had moeten stellen: welke data mag Copilot überhaupt zien?