Microsofts löfte om “datasuveränitet” för Europa kommer med en asterisk. Från och med den 17 april 2026 kommer företaget att börja skicka Copilot-data till utländska servrar för behandling.

Med introduktionen av flexibel dirigering för Microsoft 365 Copilot kan inferens för Large Language Model (LLM) – det steg där dina data faktiskt behandlas – ske i USA, Kanada eller Australien när kapaciteten i europeiska datacenter tryter.

Dessa ändringar tillämpas som standard. För nya kundkonton som skapats efter den 25 mars 2026 är flexibel dirigering redan aktiverad. För alla andra kommer den att aktiveras automatiskt om du inte väljer bort det. (Instruktioner om hur du gör det finns nedan.)

Om ditt företag är baserat inom EU eller Europeiska frihandelssammanslutningen (EFTA) är detta inte en liten teknisk uppdatering. Flexibel dirigering ändrar om dina AI-arbetsflöden stannar inom EU eller lämnar det utan din vetskap. Och det belyser vad Big Techs version av digital suveränitet verkligen betyder för Europa: Det är fortfarande de som har kontrollen.

Vad är flexibel dirigering?

Inferens är det ögonblick en AI-modell behandlar din prompt för att generera ett svar, oavsett om det handlar om att sammanfatta ett dokument, svara på en fråga eller skriva ett utkast till innehåll. När detta händer har dina data redan sammanställts. Även om dina data är lagrade i Europa kan de nu behandlas på en annan plats – automatiskt, under en jurisdiktion utanför EU.

EU-lagrat betyder inte EU-behandlat

Microsoft gör det klart att data kommer att förbli krypterade(nytt fönster) vid överföring och i vila. Det kan lugna vissa kunder. Men om du arbetar under ramverk som Allmänna dataskyddsförordningen(nytt fönster) (GDPR), direktivet om nätverks- och informationssäkerhet (NIS2) eller förordningen om digital operativ motståndskraft (DORA), räcker det inte att skydda data i lagringsutrymme och vid överföring.

Behandling (eller inferens) är där exponering kan ske. Och under flexibel dirigering kan den punkten nu flyttas.

För att en AI-modell ska kunna utföra inferens måste data göras tillgängliga för beräkning. Dina prompter, e-postmeddelanden, filer och metadata samlas in och skickas till modellen. Med flexibel dirigering kan det paketet behandlas utanför EU.

Var dina data behandlas spelar roll – även om de är krypterade på vägen in och ut.

Bördan av efterlevnad ligger på dig

Microsofts beslut att göra flexibel dirigering till en standardfunktion är en varningssignal. Forskning visar att de flesta inte bryr sig om att kontrollera sina standardinställningar eller uppdatera dem. Om datasuveränitet var något företaget brydde sig om för sina europeiska kunder skulle det inte ha implementerat flexibel dirigering automatiskt.

Det gör också din efterlevnadsavdelning medveten om att leverantörer plötsligt kan besluta sig för att ändra en viktig policy. Du är nu ansvarig för övervakning av leverantörsuppdateringar, tolkning av deras konsekvenser och justering av inställningar för att förbli kompatibel. Detta kan verka orättvist om du valde en USA-baserad leverantör i tron att din datasuveränitet var viktig för dem.

Vad EU-företag kan göra nu

  1. Inaktivera flexibel dirigering. Om dina policyer kräver behandling enbart inom EU, förlita dig inte på standardinställningar.
    • Logga in i Microsoft 365 admin center som en administratör med tilldelad AI-administratörsroll(nytt fönster).
    • Gå till Copilot -> Inställningar -> Flexibel inferens under perioder med hög belastning.
    • Välj Tillåt inte flexibel dirigering
  2. Förstå gränsöverskridande konsekvenser. Din nuvarande konfiguration kanske inte uppfyller dina verksamhetskrav. Överväg:
    • Skyldigheter vid dataöverföring enligt GDPR och sektorspecifika regler
    • Interna policyer för datalokalisering och avtalsmässiga åtaganden
    • Juridisk åtkomst och tillsyn i jurisdiktioner utanför EU
  3. Granska AI-specifika dataflöden noggrant. De flesta företag vet var data är lagrade. Färre vet var de behandlas. Börja ifrågasätta:
    • Var dina data behandlas
    • Om det finns lagar som kan tvinga fram utlämnande av data till tredje part
    • Vem som kan få åtkomst till data under behandlingen och om det kan ändras
  4. Välj leverantörer som är transparenta med hur de behandlar dina data. Protons AI-assistent(nytt fönster) behandlar data uteslutande på europeiska servrar och publicerar detaljerade beskrivningar av dess säkerhetsmodell.

Flexibel dirigering avslöjar något djupare om datastyrning

Om dina leverantörer är baserade i USA förlitar du dig på system byggda för en annan regulatorisk verklighet – en som du inte kontrollerar, men som du fortfarande måste stå till svars för.

Mjukvaruuppdateringar, support, juridiska policyer och prissättningsbeslut fattas i Silicon Valley eller Seattle. Reglerna som din leverantör följer är fastställda i Washington. Men ditt företag hålls till europeiska standarder.

Det är därför fler företag börjar titta på europeiska alternativ till Big Tech(nytt fönster). När din infrastruktur, dina policyer och det juridiska ramverket är i linje med den region du verkar i, blir datasuveränitet verkställbar, inte villkorlig.