Microsofts løfte om ‘datasuverænitet’ for Europa kommer med en stjerne. Fra den 17. april 2026 vil virksomheden begynde at sende Copilot-data til udenlandske servere til behandling.

Med introduktionen af flex routing for Microsoft 365 Copilot kan inferens for en Large Language Model (LLM) — det trin, hvor Deres data faktisk behandles — finde sted i USA, Canada eller Australien, når kapaciteten i europæiske datacentre slipper op.

Disse ændringer anvendes som standard. For nye kundekonti oprettet efter den 25. marts 2026 er flex routing allerede aktiveret. For alle andre vil det blive aktiveret automatisk, medmindre De fravælger det. (Instruktioner om, hvordan De gør det, findes nedenfor).

Hvis Deres virksomhed er baseret i EU eller Den Europæiske Frihandelssammenslutning (EFTA), er dette ikke en lille teknisk opdatering. Flex routing ændrer, om Deres AI-arbejdsgange forbliver inden for EU eller forlader det uden Deres viden. Og det understreger, hvad Big Techs version af digital suverænitet i virkeligheden betyder for Europa: De har stadig kontrollen.

Hvad er flex routing?

Inferens er det øjeblik, hvor en AI-model behandler Deres prompt for at generere et svar, uanset om det er at opsummere et dokument, besvare et spørgsmål eller udarbejde et udkast til indhold. Når dette sker, er Deres data allerede blevet samlet. Selvom Deres data er lagret i Europa, kan de nu blive behandlet et andet sted — automatisk, under en ikke-EU-jurisdiktion.

Hostet i EU betyder ikke behandlet i EU

Microsoft gør det klart, at data vil forblive krypteret(nyt vindue) i transit og i hvile. Det kan muligvis berolige nogle kunder. Men hvis De opererer under rammer som General Data Protection Regulation(nyt vindue) (GDPR), Netværks- og informationssikkerhedsdirektivet (NIS2) eller Digital Operational Resilience Act (DORA), er det ikke nok at beskytte data på lagerplads og under transmission.

Behandling (eller inferens) er der, hvor eksponering kan forekomme. Og under flex routing kan dette punkt nu flytte sig.

For at en AI-model kan udføre inferens, skal data gøres tilgængelige for beregning. Deres prompts, e-mails, filer og metadata indsamles og sendes til modellen. Med flex routing kan den pakke blive behandlet uden for EU.

Hvor Deres data behandles har betydning — selvom de er krypteret på vej ind og ud.

Byrden for overholdelse er Deres

Microsofts beslutning om at gøre flex routing til en standard funktion er et rødt flag. Forskning viser, at de fleste ikke gør sig den ulejlighed at tjekke deres standarder eller opdatere dem. Hvis datasuverænitet var noget, virksomheden gik op i for sine europæiske kunder, ville den ikke have implementeret flex routing automatisk.

Det advarer også Deres compliance-afdeling om, at leverandører pludselig kan beslutte at ændre en vigtig politik. De er nu ansvarlig for overvågning af leverandøropdateringer, tolkning af deres konsekvenser og justering af indstillinger for at forblive i overensstemmelse. Dette kan virke uretfærdigt, hvis De valgte en amerikansk baseret leverandør i den tro, at Deres datasuverænitet var vigtig for dem.

Hvad EU-virksomheder kan gøre nu

  1. Deaktiver flex routing. Hvis Deres politikker kræver behandling udelukkende i EU, skal De ikke stole på standarder.
    • Log ind på Microsoft 365 admin center som en administrator, der har fået tildelt rollen som AI-administrator(nyt vindue).
    • Gå til Copilot -> Indstillinger -> Flexible inferencing during peak load periods.
    • Vælg Tillad ikke flex routing
  2. Forstå grænseoverskridende konsekvenser. Deres nuværende konfiguration opfylder muligvis ikke Deres forretningskrav. Overvej:
    • Forpligtelser til dataoverførsel under GDPR og sektorspecifikke regler
    • Interne politikker for datalagring og kontraktlige forpligtelser
    • Juridisk adgang og tilsyn i jurisdiktioner uden for EU
  3. Revider AI-specifikke datastrømme nøje. De fleste virksomheder ved, hvor data er lagret. Færre ved, hvor de behandles. Begynd at stille spørgsmål:
    • Hvor Deres data behandles
    • Om der er love, der kan fremtvinge tredjeparts videregivelse af data
    • Hvem der kan få adgang til data under behandlingen, og om det kan ændre sig
  4. Vælg leverandører, der er gennemsigtige omkring, hvordan de behandler Deres data. Protons AI-assistent(nyt vindue) behandler data udelukkende på europæiske servere og udgiver en detaljeret beskrivelse af sin sikkerhedsmodel.

Flex routing afslører noget dybere om data governance

Hvis Deres leverandører er baseret i USA, stoler De på systemer, der er bygget til en anden lovgivningsmæssig virkelighed — en De ikke kontrollerer, men som De stadig skal stå til regnskab for.

Softwareopdateringer, support, juridiske politikker og prisbeslutninger træffes i Silicon Valley eller Seattle. Reglerne, Deres leverandør følger, er fastsat i Washington. Men Deres virksomhed holdes til europæiske standarder.

Derfor begynder flere virksomheder at se på europæiske alternativer til Big Tech(nyt vindue). Når Deres infrastruktur, politikker og juridiske rammer er tilpasset den region, De opererer i, bliver datasuverænitet håndhævelig, ikke betinget.