Microsoft Copilot verwerkt straks data buiten de EU, tenzij je dit uitzet
Per 17 april 2026 staat een nieuwe Microsoft instelling standaard aan die LLM verwerking buiten de EU Data Boundary toestaat. Voor Nederlandse organisaties is actie vereist.
Deadline: 17 april 2026. Als beheerder van een Microsoft 365 tenant in de EU, moet je vóór die datum controleren of deze instelling correct staat. Staat ie verkeerd? Dan verwerkt Copilot data mogelijk buiten de Europese Unie.
Wat is flex routing?
Microsoft heeft een nieuwe functie geïntroduceerd voor Copilot: flex routing. Het idee is simpel, als de Europese datacenters van Microsoft overbelast zijn, mag Copilot tijdelijk uitwijken naar datacenters buiten de EU om toch een goede gebruikerservaring te bieden.
Klinkt handig. Maar voor Nederlandse bedrijven die werken onder de AVG, NIS2 of sectorspecifieke regelgeving is dit precies het soort stille wijziging waar je niet van wil schrikken. Zeker niet als de instelling standaard aanstaat.
Microsoft communiceert dit via Message Center post MC1269223. De instelling is nu al zichtbaar in het Admin Center, de effectieve datum is 17 april 2026.
Wat verandert er concreet?
Zonder actie geldt het volgende:
- LLM inferentie (de verwerking van jouw Copilot prompt) kan plaatsvinden buiten de EU Data Boundary.
- Een beperkte hoeveelheid gepseudonimiseerde data mag ook buiten de EU worden opgeslagen voor beveiligings en operationele doeleinden.
- Gegevens in rust blijven wél binnen de EU, maar de verwerking zelf niet per se.
Microsoft garandeert encryptie in transit en at rest, maar dat neemt de vraag rond datasoevereiniteit niet weg.
Twee opties
Allow flex routing (standaard, risico) Copilot mag uitwijken naar datacenters buiten de EU tijdens piekvraag. Betere beschikbaarheid, maar verwerking vindt mogelijk buiten de EU Data Boundary plaats.
Do not allow flex routing (aanbevolen) LLM verwerking blijft altijd binnen de EU Data Boundary, ook bij piekvraag. Passend bij AVG, NIS2 en ISO 27001 vereisten voor datasoevereiniteit.
Waarom dit relevant is voor jouw organisatie
Voor de meeste Nederlandse MKB organisaties geldt minimaal de AVG. Zodra je werkt in sectoren zoals zorg, financiële dienstverlening, of overheid, komen NIS2 en DORA daar bovenop. In al die kaders geldt hetzelfde principe: jij bent verantwoordelijk voor waar en hoe persoonsgegevens worden verwerkt, ook als dat via een cloudleverancier gaat.
Flex routing is niet per se een overtreding, maar het vergroot je aanvalsoppervlak op compliance vlak. Als je auditor vraagt "hoe weet je dat Copilot verwerking binnen de EU blijft?" wil je daar een goed antwoord op hebben.
Zo zet je flex routing uit, 3 stappen
- Log in als beheerder op admin.microsoft.com en ga naar Copilot → Settings.
- Zoek de instelling "Flex routing during peak load periods".
- Selecteer "Do not allow flex routing" en sla op. De melding "Changes saved" bevestigt dat de instelling is vastgelegd.
Let op: Microsoft geeft aan dat wijzigingen in deze instelling binnen een week effectief zijn. Wacht dus niet tot 16 april.
Houd ook de Power Platform instellingen in de gaten
Gebruik je Dynamics 365, Power Platform of Copilot Studio? Dan is er ook een aparte flex routing instelling in het Power Platform Admin Center. Die volgt de M365 instelling, tenzij je daar een strengere configuratie hebt staan. Goed om te controleren of beide in lijn zijn.
Wil je zeker weten dat jouw Microsoft 365 omgeving compliant is geconfigureerd?
ClickOn helpt MKB organisaties met het proactief beheren en beveiligen van hun Microsoft 365 omgeving. We houden wijzigingen als deze bij en handelen ze voor je af.
Neem contact op via www.clickon.nl/contact
