Microsofts belofte van ‘datasoevereiniteit’ voor Europa heeft een kanttekening. Vanaf 17 april 2026 zal het bedrijf beginnen met het verzenden van Copilot-gegevens naar buitenlandse servers voor verwerking.
Met de introductie van flex-routering voor Microsoft 365 Copilot kan Large Language Model (LLM) inferencing — de stap waarin uw gegevens daadwerkelijk worden verwerkt — plaatsvinden in de VS, Canada of Australië wanneer de capaciteit van Europese datacenters tekortschiet.
Deze wijzigingen worden standaard toegepast. Voor nieuwe klantaccounts die na 25 maart 2026 zijn aangemaakt, is flex-routering al ingeschakeld. Voor alle anderen wordt het automatisch ingeschakeld, tenzij u zich afmeldt. (Instructies over hoe u dit kunt doen, vindt u hieronder.)
Als uw bedrijf is gevestigd in de Europese Unie of de Europese Vrijhandelsassociatie (EVA), is dit geen kleine technische update. Flex-routering verandert of uw AI-workflows binnen de EU blijven of deze zonder uw medeweten verlaten. En het benadrukt wat Big Tech’s versie van digitale soevereiniteit werkelijk betekent voor Europa: ze hebben nog steeds de touwtjes in handen.
Wat is flex-routering?
Inferencing is het moment waarop een AI-model uw prompt verwerkt om een antwoord te genereren, of dat nu het samenvatten van een document, het beantwoorden van een vraag of het opstellen van een concept is. Tegen de tijd dat dit gebeurt, zijn uw gegevens al verzameld. Zelfs als uw gegevens zijn opgeslagen in Europa, kunnen ze nu elders worden verwerkt — automatisch, onder een niet-EU-jurisdictie.
Gehost in de EU betekent niet verwerkt in de EU
Microsoft maakt duidelijk dat gegevens versleuteld(nieuw venster) blijven tijdens verzending en in rust. Dat kan sommige klanten geruststellen. Maar als u opereert onder kaders zoals de Algemene Verordening Gegevensbescherming(nieuw venster) (GDPR), de netwerk- en informatieveiligheidsrichtlijn (NIS2), of de Digital Operational Resilience Act (DORA), is het beschermen van gegevens in opslag en transmissie niet genoeg.
Bij de verwerking (of inferencing) kan blootstelling optreden. En met flex-routering kan dat punt nu verschuiven.
Om een AI-model inferencing te laten uitvoeren, moeten gegevens toegankelijk worden gemaakt voor berekening. Uw prompts, e-mails, bestanden en metagegevens worden verzameld en naar het model verzonden. Met flex-routering kan dat pakket buiten de EU worden verwerkt.
Waar uw gegevens worden verwerkt is belangrijk — zelfs als ze versleuteld zijn op de heen- en terugweg.
De last van naleving ligt bij u
De beslissing van Microsoft om flex-routering een standaardfunctie te maken, is een rode vlag. Onderzoek toont aan dat de meeste mensen niet de moeite nemen om hun standaarden te controleren of te updaten. Als datasoevereiniteit iets was waar het bedrijf om gaf voor zijn Europese klanten, zou het flex-routering niet automatisch hebben geïmplementeerd.
Het waarschuwt ook uw compliance-afdeling dat leveranciers plotseling kunnen besluiten een belangrijk beleid te wijzigen. U bent nu verantwoordelijk voor het monitoren van updates van leveranciers, het interpreteren van de implicaties ervan en het aanpassen van instellingen om compliant te blijven. Dit kan oneerlijk lijken als u een in de VS gevestigde leverancier hebt geselecteerd in de veronderstelling dat uw datasoevereiniteit belangrijk voor hen was.
Wat EU-bedrijven nu kunnen doen
- Schakel flex-routering uit. Als uw beleid verwerking uitsluitend in de EU vereist, vertrouw dan niet op de standaarden.
- Log in bij het Microsoft 365-beheercentrum als een beheerder met de AI-beheerder functie(nieuw venster).
- Ga naar Copilot -> Instellingen -> Flexibele inferencing tijdens piekbelastingsperioden.
- Selecteer Flex-routering niet toestaan
- Begrijp de grensoverschrijdende implicaties. Uw huidige setup voldoet mogelijk niet aan uw zakelijke vereisten. Overweeg:
- Verplichtingen inzake gegevensoverdracht onder de GDPR en sectorspecifieke regels
- Intern beleid voor gegevensresidentie en contractuele verplichtingen
- Juridische toegang en toezicht in niet-EU-jurisdicties
- Controleer AI-specifieke gegevensstromen nauwlettend. De meeste bedrijven weten waar gegevens zijn opgeslagen. Minder weten waar ze worden verwerkt. Begin met vragen stellen:
- Waar uw gegevens worden verwerkt
- Of er wetten zijn die de openbaarmaking van gegevens door derden kunnen afdwingen
- Wie toegang heeft tot gegevens tijdens de verwerking en of dat kan veranderen
- Kies leveranciers die transparant zijn over hoe zij uw gegevens verwerken. Protons AI-assistent(nieuw venster) verwerkt gegevens uitsluitend op Europese servers en publiceert een gedetailleerde beschrijving van zijn beveiligingsmodel.
Flex-routering onthult iets diepers over data governance
Als uw leveranciers in de VS zijn gevestigd, vertrouwt u op systemen die zijn gebouwd voor een andere regelgevingsrealiteit — een realiteit die u niet beheerst, maar waaraan u wel verantwoording moet afleggen.
Software-updates, ondersteuning, juridisch beleid en prijsbeslissingen worden genomen in Silicon Valley of Seattle. De regels die uw leverancier volgt, worden vastgesteld in Washington. Maar uw bedrijf is gebonden aan Europese normen.
Daarom kijken steeds meer bedrijven naar Europese alternatieven voor Big Tech(nieuw venster). Wanneer uw infrastructuur, beleid en juridisch kader in overeenstemming zijn met de regio waarin u actief bent, wordt datasoevereiniteit afdwingbaar en niet voorwaardelijk.
