Microsofts belofte over ‘datasoevereiniteit’ in Europa heeft sinds kort een stevige kanttekening gekregen. Vanaf 17 april 2026 is het bedrijf begonnen met het verzenden van Copilot-gegevens naar buitenlandse servers voor verwerking.
Met de introductie van zogenaamde flex routing voor Microsoft 365 Copilot, kan de inferencing van het Large Language Model (LLM) – de stap waarin jouw data daadwerkelijk wordt verwerkt – plaatsvinden in de VS, Canada of Australië wanneer de capaciteit in de Europese datacenters tekortschiet.
Deze wijzigingen worden standaard toegepast. Voor nieuwe klantaccounts die na 25 maart 2026 zijn aangemaakt, staat flex routing al aan. Voor alle andere gebruikers wordt dit automatisch ingeschakeld, tenzij je je hiervoor afmeldt (zie de instructies verderop in dit artikel).
Als jouw bedrijf in de Europese Unie gevestigd is, is dit geen kleine technische update. Flex routing bepaalt of jouw AI-workflows binnen de EU blijven, of deze ongemerkt verlaten. Het laat bovendien duidelijk zien wat de digitale soevereiniteit van Big Tech echt betekent voor Europa: zíj houden nog steeds de touwtjes in handen.
Wat is flex routing precies?
Inferencing is het moment waarop een AI-model jouw prompt verwerkt om een reactie te genereren, of dat nu het samenvatten van een document, het beantwoorden van een vraag of het opstellen van een tekst is. Tegen de tijd dat dit gebeurt, is jouw data al verzameld en klaargezet. Zelfs als jouw bestanden in Europa zijn opgeslagen, kunnen ze nu elders worden verwerkt – automatisch, onder een niet-Europese jurisdictie.
‘Gehost in de EU’ betekent niet ‘verwerkt in de EU’
Microsoft stelt duidelijk dat data tijdens de verzending en opslag versleuteld blijft. Dat klinkt wellicht geruststellend. Maar als je werkt onder kaders zoals de Algemene Verordening Gegevensbescherming (AVG/GDPR), de NIS2-richtlijn of de Digital Operational Resilience Act (DORA), is alleen de bescherming van opslag en verzending niet voldoende.
De verwerking (inferencing) is het moment waarop de data toegankelijk moet worden gemaakt voor berekeningen. Met flex routing kan dat specifieke moment zich nu buiten de EU afspelen. Waar jouw data wordt verwerkt is cruciaal, zelfs als het onderweg versleuteld is.
De verantwoordelijkheid voor naleving ligt bij jou
Het besluit van Microsoft om flex routing standaard aan te zetten, is een waarschuwingssignaal. In de praktijk controleren of wijzigen de meeste gebruikers hun standaardinstellingen nauwelijks.
Het betekent ook dat jouw compliance-verantwoordelijken extra goed moeten opletten. Leveranciers kunnen zomaar besluiten een belangrijk beleid te wijzigen. Jij bent nu zélf verantwoordelijk voor het monitoren van deze updates, het interpreteren van de gevolgen en het aanpassen van instellingen om aan de wetgeving te blijven voldoen.
Wat je nu direct kunt doen
Bij Mantix BV adviseren we je om de controle over je eigen data terug te pakken. Dit is wat je kunt doen:
1. Schakel flex routing uit
Als jouw bedrijfsbeleid vereist dat gegevens uitsluitend in de EU worden verwerkt, vertrouw dan niet op de standaardinstellingen.
- Log in op het Microsoft 365-beheercentrum als beheerder (met de rol AI-beheerder).
- Ga naar Copilot -> Instellingen -> Flexibele inferencing tijdens piekbelasting (Flexible inferencing during peak load periods).
- Selecteer Flex routing niet toestaan (Do not allow flex routing).
2. Begrijp de grensoverschrijdende risico’s
Voldoet jouw huidige IT-opzet nog wel aan de eisen van jouw bedrijf? Denk hierbij aan data-overdrachtsverplichtingen onder de AVG, interne richtlijnen voor data-residentie en het risico van juridisch toezicht door overheden buiten de EU.
3. Controleer je AI-datastromen kritisch
De meeste bedrijven weten inmiddels wel waar hun data is opgeslagen, maar veel minder bedrijven weten waar het daadwerkelijk wordt verwerkt. Stel jezelf de vraag wie er toegang heeft tot de data tijdens de verwerking en of buitenlandse wetten derden kunnen dwingen tot het vrijgeven van deze gegevens.
4. Kies voor transparante en Europese alternatieven
Kies voor leveranciers die transparant zijn over hoe ze jouw gegevens verwerken. Ben je op zoek naar veilige alternatieven waarbij jouw data daadwerkelijk in Europa blijft?
- Voor veilige, Europese e-mail en AI-functionaliteiten is Proton een uitstekend alternatief. Zij verwerken data uitsluitend op Europese servers en bieden een transparant beveiligingsmodel.
- Voor het veilig beheren van projecten en workflows raden we Kanban Ease (kanbanease.com) aan. Zo houd je overzicht op je werk, zonder concessies te doen aan datasoevereiniteit.
Jouw data, jouw regels
Als je volledig afhankelijk bent van Amerikaanse leveranciers, werk je met systemen die gebouwd zijn voor een andere wettelijke realiteit. De regels die je leverancier volgt, worden in Washington bepaald, maar jouw bedrijf wordt in Europa afgerekend op de strenge Europese normen.
Precies daarom helpen we je bij Mantix BV graag met het inrichten van een IT-landschap dat écht past bij jouw bedrijf. Wanneer je infrastructuur en software naadloos aansluiten bij de Europese wet- en regelgeving, wordt datasoevereiniteit een harde garantie, en niet slechts een voorwaarde met een asterisk.
Heb je vragen over hoe je jouw IT-omgeving veiliger en meer compliant kunt inrichten? Neem gerust contact met ons op.