De ‘stille’ opmars van Claude
Microsoft 365 Copilot werd de voorbije jaren gepositioneerd als de AI-assistent voor de werkplek. Organisaties investeerden dan ook fors in licenties en governance. Ondertussen tekent zich een andere realiteit af: medewerkers openen naast hun Copilot-venster ook een tabblad met Claude.ai. De reden is eenvoudig: ze krijgen er betere antwoorden bij teksten, code, complexe analyses en langere documenten.
We zien dit gedrag intussen in bijna elke organisatie waar we komen. En het creëert een sluipend probleem: de zorgvuldig opgezette Copilot-governance geldt enkel voor het eerste venster. Het tweede tabblad valt er volledig buiten.
“De Copilot-policy is in orde. Maar wat gebeurt er met de data in dat andere AI-venster?”
Twee tools, twee heel verschillende datastromen
Om de risico’s te begrijpen, moet je eerst weten hoe elke tool met je data omgaat. De architectuur verschilt fundamenteel.
Microsoft 365 Copilot
Copilot is diep geïntegreerd in de Microsoft 365-tenant van je organisatie. Data blijft binnen het Microsoft Cloud-ecosysteem, en voor EU-klanten valt dit binnen Microsofts EU Data Boundary-programma. Dat wil zeggen: opslag en verwerking blijven binnen Europa, mits correct geconfigureerd. Bovendien valt alles onder je bestaande Microsoft DPA en commerciële voorwaarden, en wordt je data niet gebruikt voor modeltraining.
Claude.ai (consumer of pro)
Gebruiken medewerkers claude.ai met een persoonlijk account, ook een betalend Pro-account, dan valt de data buiten iedere bedrijfsovereenkomst. De infrastructuur draait op AWS in de Verenigde Staten, zonder EU-dataresidentie. Bovendien voerde Anthropic in oktober 2025 een omstreden wijziging door: gebruikers die de nieuwe privacykeuze niet actief uitschakelden, geven toestemming om hun gesprekken tot 5 jaar te bewaren voor modeltraining.
| KRITIEK RISICO
Een medewerker die een klantcontract, een HR-document of een intern strategisch rapport in claude.ai plakt op zijn persoonlijk account, stuurt die data naar Amerikaanse servers en dus buiten je GDPR-verwerkingsovereenkomst. Zonder garantie op dataresidentie, en mogelijk met toestemming voor gebruik als trainingsdata. |
Copilot vs. Claude: de feiten naast elkaar
Onderstaande tabel zet beide werelden naast elkaar. De verschillen zitten op elk niveau dat er voor een organisatie toe doet.
Aspect |
Microsoft 365 Copilot |
Claude.ai (consument) |
| DATA & PRIVACY | ||
| EU Data Residency | ✓ Ja — via EU Data Boundary | ✗ Niet beschikbaar (enkel US/AWS) |
| Modeltraining op je data | ✗ Niet van toepassing | ⚠ Standaard ingeschakeld tenzij zelf uitgezet (okt. 2025) |
| GDPR DPA beschikbaar | ✓ Ja, volledig | Deels: SCCs, beperkte scope |
| JURIDISCH & COMPLIANCE | ||
| Valt onder bedrijfscontract | ✓ Ja | ✗ Nee: persoonlijk account |
| Bewaarperiode gesprekken | Per tenant-instellingen | 30 dagen (opt-out) of 5 jaar (opt-in) |
| ISO 27001 / SOC 2 | ✓ Ja | ✓ Ja, plus ISO 42001 |
| INTEGRATIE & BEHEER | ||
| Toegang tot bedrijfsdata | SharePoint, Teams, Mail… | Enkel wat gebruiker zelf inplakt |
| Admin-beheer mogelijk | ✓ Volledige controle | ✗ Geen admin-controle mogelijk |
Claude binnen Copilot: hoe werkt dat dan?
Er is een tweede scenario dat in onze gesprekken veel minder goed begrepen wordt: Claude als model binnen Microsoft 365 Copilot zelf. Microsoft introduceerde in september 2025 de mogelijkheid voor gebruikers van de Researcher Agent om het onderliggende taalmodel te kiezen, waaronder dus ook de Claude-modellen van Anthropic.
| BELANGRIJK ONDERSCHEID
Claude als model in Copilot is iets helemaal anders dan Claude.ai. Toch is het voor EU-organisaties evenmin automatisch veilig: de compliance-situatie is complexer dan ze op het eerste gezicht lijkt. |
Wat er technisch gebeurt
Wanneer een gebruiker in de Copilot Researcher Agent voor Claude kiest, wordt de query verwerkt via AWS in de Verenigde Staten (dus niet via Microsofts EU-infrastructuur). Dit betekent concreet:
- De data verlaat het EU Data Boundary-programma van Microsoft
- De verwerking valt buiten Microsofts standaard DPA en ADR-licenties
- Anthropic werd in januari 2026 toegevoegd als subverwerker, maar de EU Data Boundary-commitments gelden niet voor dit model
- Gebruikers moesten bij de introductie Anthropics eigen data processing terms accepteren, een stap die in veel organisaties onopgemerkt passeert omdat er snel doorgeklikt wordt.
| GDPR-IMPACT
Het gebruik van Claude via de Copilot Researcher Agent voor taken waarbij persoonsgegevens verwerkt worden, is in de huidige configuratie niet verenigbaar met GDPR voor EU-organisaties. De verwerking buiten de EU/EEA is niet gedekt door de vereiste waarborgen. Je DPO moet hiervan op de hoogte zijn. |
Wat admins kunnen doen
Vanuit het Microsoft 365 Admin Center beheer je de Researcher Agent en de modelkeuze. De aanbevolen actie voor EU-organisaties: schakel de optie om Claude als model te selecteren uit of beperk ze, tot Microsoft en Anthropic een conforme EU-verwerkingsoplossing bieden.
Kan Claude wel EU-conform ingezet worden?
Het antwoord is ja, maar enkel via specifieke deploymentpaden. De directe route via claude.ai of de Anthropic API garandeert geen EU-dataverblijf. Er zijn echter twee configuraties die dit wel bieden:
Deploymentpad |
EU Residency |
Vereisten |
| Claude via AWS Bedrock (EU inference profiles) | ✓ Beschikbaar (eu-central-1, eu-west-1…) | AWS-account + Bedrock-configuratie + EU region instelling |
| Claude via Google Vertex AI (EU regional endpoints) | ✓ Beschikbaar (europe-west1, europe-west4…) | Google Cloud-account + Vertex AI + EU endpoint configuratie |
| Claude Enterprise (direct bij Anthropic) | ✗ Standaard op US-infrastructuur | Enkel via Bedrock of Vertex AI als EU vereist is |
| Claude.ai (Pro/consument) | ✗ Nooit mogelijk | Nooit geschikt voor persoonsgegevens in EU-context |
Wil je Claude structureel inzetten, voor documentanalyse of klantcommunicatie bijvoorbeeld, dan is de weg via AWS Bedrock of Google Vertex AI met een correct geconfigureerde EU-regio de enige GDPR-conforme optie buiten het Microsoft-ecosysteem.
De concrete risico’s in kaart
Wat betekent dit nu concreet voor je organisatie? Dit zijn de scenario’s die we in de praktijk het vaakst tegenkomen, gerangschikt volgens impact.
| HOOG RISICO
Persoonsgegevens naar VS HR-data, klantenlijsten of medische dossiers die in claude.ai geplakt worden, verlaten de EU zonder gepaste waarborgen. |
HOOG RISICO
Trainingsdata zonder toestemming Medewerkers die de opt-out van oktober 2025 gemist hebben, staan toe dat bedrijfsgesprekken 5 jaar bewaard worden voor modeltraining. |
HOOG RISICO
Shadow AI buiten governance IT heeft geen zicht op welke data via persoonlijke AI-accounts verwerkt wordt. Audit trails ontbreken volledig. |
| GEMIDDELD RISICO
Claude in Copilot zonder controle Medewerkers kiezen Claude als Copilot-model zonder te beseffen dat de verwerking buiten de EU plaatsvindt. |
GEMIDDELD RISICO
Vertrouwelijke documenten Strategische plannen, M&A-documenten of patentaanvragen die onbedoeld in een consumentenplatform belanden. |
LAAG RISICO
Reputatieschade Een datalek of compliance-overtreding gevonden door een toezichthouder heeft ook reputationele gevolgen naast de financiële. |
Best practices voor jouw organisatie
De realiteit is dat medewerkers AI-tools blijven gebruiken en dat een verbod zelden werkt. De sleutel is een beleid dat realistisch is en veilige alternatieven biedt. Dit zijn de acht stappen die we organisaties aanraden.
- Voor een AI-inventaris uit
Breng in kaart welke AI-tools je medewerkers effectief gebruiken, niet enkel wat IT heeft goedgekeurd. Anonieme enquêtes leveren eerlijkere resultaten op dan logtool-analyses. - Classificeer je data en koppel dit aan toegestane tools
Stel duidelijk vast welke datacategorieën (publiek, intern, vertrouwelijk, geheim) in welke tools verwerkt mogen worden. Persoonsgegevens en vertrouwelijke informatie: nooit in consumentenplatformen. - Bied een goedgekeurd Claude-alternatief aan
Als medewerkers Claude verkiezen boven Copilot, geef hen dan een EU-conforme versie via AWS Bedrock of Vertex AI, met een bedrijfsaccount, DPA en Zero Data Retention indien nodig. Verbod zonder alternatief werkt niet. - Schakel Claude als model in Copilot uit voor EU-tenants
Ga naar het Microsoft 365 Admin Center en beperk de modelkeuze in de Researcher Agent. Communiceer dit actief naar gebruikers en leg uit waarom: een tijdelijke maatregel tot compliance gegarandeerd is, geen verbod. - Controleer de opt-in status voor alle medewerkers met claude.ai
Medewerkers die claude.ai gebruikten voor oktober 2025 en de pop-up niet bewust beantwoordden, staan mogelijk toe dat hun gesprekken voor training gebruikt worden. Instrueer hen om dit via Settings > Privacy > ‘Improve Claude for everyone’ uit te zetten. - Voer een DPIA uit voor elk AI-gebruik met persoonsgegevens
Een Data Protection Impact Assessment is wettelijk verplicht voor high-risk verwerkingen. AI-tools die persoonsgegevens verwerken kwalificeren doorgaans. Werk dit af voor de uitrol, niet achteraf.
Conclusie: sterke AI met zwakke governance is een tikkende tijdbom
Claude is een uitstekende AI-assistent. De kwaliteit van de antwoorden is reëel, en medewerkers die de tool voor bepaalde taken verkiezen boven Copilot doen dat op gegronde redenen. Maar kwaliteit en compliance zijn twee verschillende dimensies.
De huidige situatie in veel organisaties is die van een gespleten werkelijkheid: formele governance rond Copilot en een informele vrije zone voor alles wat daarbuiten valt. Die beleidskloof groeit naarmate AI verder ingeburgerd raakt.
Structureren werkt beter dan verbieden. Geef medewerkers de tools die ze willen gebruiken en configureer ze zo dat je bedrijfsdata in Europa blijft, onder jouw controle en binnen een juridisch kader dat klopt. Dat is vandaag technisch perfect haalbaar. Het vergt alleen een bewuste keuze.
Xylos helpt je AI-gebruik veilig structureren
Xylos begeleidt organisaties bij het uittekenen van een AI-beleid dat werkt in de praktijk. We brengen het reële AI-gebruik in kaart, koppelen je dataclassificatie aan toegestane tools en zetten een veilige, EU-conforme configuratie op voor de AI-assistenten die je medewerkers effectief willen gebruiken. Zo combineer je de productiviteitswinst van AI met de controle die je DPO verwacht.
Wil je weten waar jouw organisatie vandaag staat? Neem contact op voor een vrijblijvend gesprek met onze experts.
Over de auteur
Peter Verrykt is Business Unit Lead Data & AI bij Xylos en begeleidt organisaties in het omzetten van data naar concrete businesswaarde. Hij helpt bedrijven verder kijken dan technische implementaties en zet data en AI in als fundament voor betere beslissingen, meer wendbaarheid en duurzame groei.
