Microsofts løfte om «datasuverenitet» for Europa kommer med en hake. Fra 17. april 2026 vil selskapet begynne å sende Copilot-data til utenlandske tjenere for behandling.

Med introduksjonen av fleksibel ruting for Microsoft 365 Copilot, kan stor språkmodell (LLM)-inferens – trinnet der dataene dine faktisk behandles – finne sted i USA, Canada eller Australia når europeisk datasenterkapasitet begynner å bli mangelvare.

Disse endringene blir brukt som standard. For nye kundekontoer opprettet etter 25. mars 2026, er fleksibel ruting allerede på. For alle andre vil det bli aktivert automatisk med mindre du velger det bort. (Instruksjoner om hvordan du gjør det, finner du nedenfor.)

Hvis bedriften din er basert i EU eller Det europeiske frihandelsforbund (EFTA), er ikke dette en liten teknisk oppdatering. Fleksibel ruting endrer hvorvidt dine KI-arbeidsflyter forblir innenfor EU eller forlater det uten at du vet det. Og det fremhever hva Big Techs versjon av digital suverenitet egentlig betyr for Europa: Det er fortsatt de som har kontrollen.

Hva er fleksibel ruting?

Inferens er øyeblikket en KI-modell behandler forespørselen din for å generere et svar, enten det er å oppsummere et dokument, svare på et spørsmål eller skrive et utkast til innhold. Når dette skjer, er dataene dine allerede satt sammen. Selv om dataene dine er lagret i Europa, kan de nå behandles et annet sted – automatisk, under en jurisdiksjon utenfor EU.

Driftsatt i EU betyr ikke behandlet i EU

Microsoft gjør det klart at data vil forbli kryptert(nytt vindu) under overføring og i ro. Det kan berolige noen kunder. Men hvis du opererer under rammeverk som Personvernforordningen(nytt vindu) (GDPR), Nettverks- og informasjonsdirektivet (NIS2) eller Forordningen om digital operasjonell motstandsdyktighet (DORA), er det ikke nok å beskytte data under lagring og overføring.

Behandling (eller inferens) er der eksponering kan oppstå. Og med fleksibel ruting, kan det punktet nå flytte seg.

For at en KI-modell skal kunne utføre inferens, må data gjøres tilgjengelig for beregning. Dine forespørsler, e-poster, filer og metadata samles inn og sendes til modellen. Med fleksibel ruting kan den pakken behandles utenfor EU.

Hvor dataene dine behandles, har betydning – selv om de er kryptert på vei inn og ut.

Byrden med å overholde reglene er din

Microsofts beslutning om å gjøre fleksibel ruting til en standardfunksjon er et rødt flagg. Forskning viser at folk flest ikke bryr seg med å sjekke standardinnstillingene sine eller oppdatere dem. Hvis datasuverenitet var noe selskapet brydde seg om for sine europeiske kunder, ville de ikke ha implementert fleksibel ruting automatisk.

Det varsler også din compliance-avdeling om at leverandører plutselig kan bestemme seg for å endre en viktig retningslinje. Du er nå ansvarlig for overvåking av leverandøroppdateringer, tolke konsekvensene av dem og justere innstillinger for å forbli i samsvar med reglene. Dette kan virke urettferdig hvis du valgte en amerikansk leverandør i den tro at datasuverenitet var viktig for dem.

Hva EU-bedrifter kan gjøre nå

  1. Deaktiver fleksibel ruting. Hvis dine retningslinjer krever behandling kun i EU, ikke stol på standardinnstillinger.
    • Logg på Microsoft 365-administrasjonssenteret som en administrator tildelt AI Administrator-rollen(nytt vindu).
    • Gå til Copilot -> Innstillinger -> Fleksibel inferens under perioder med spissbelastning.
    • Velg Ikke tillat fleksibel ruting
  2. Forstå de grenseoverskridende konsekvensene. Ditt nåværende oppsett oppfyller kanskje ikke bedriftens krav. Vurder:
    • Forpliktelser for dataoverføring under GDPR og sektorspesifikke regler
    • Interne retningslinjer for datalagringssted og kontraktsmessige forpliktelser
    • Juridisk tilgang og tilsyn i jurisdiksjoner utenfor EU
  3. Gjennomgå KI-spesifikke dataflyter nøye. De fleste bedrifter vet hvor dataene er lagret. Færre vet hvor de behandles. Begynn å stille spørsmål:
    • Hvor dataene dine behandles
    • Om det finnes lover som kan tvinge frem utlevering av data til en tredjepart
    • Hvem som kan ha tilgang til data under behandling, og om det kan endres
  4. Velg leverandører som er transparente om hvordan de behandler dataene dine. Protons KI-assistent(nytt vindu) behandler data utelukkende på europeiske tjenere og publiserer en detaljert beskrivelse av sin sikkerhetsmodell.

Fleksibel ruting avslører noe dypere om datastyring

Hvis leverandørene dine er basert i USA, er du avhengig av systemer bygget for en annen regulatorisk virkelighet – en du ikke kontrollerer, men som du likevel må stå til rette for.

Programvareoppdateringer, støtte, juridiske retningslinjer og prisbeslutninger tas i Silicon Valley eller Seattle. Reglene leverandøren din følger, er fastsatt i Washington. Men bedriften din holdes til europeiske standarder.

Det er grunnen til at flere selskaper begynner å se på europeiske alternativer til Big Tech(nytt vindu). Når infrastrukturen, retningslinjene og det juridiske rammeverket er på linje med regionen du opererer i, blir datasuverenitet håndhevbar, ikke betinget.