De belofte van Microsoft Copilot is helder: productiever werken, slimmer omgaan met informatie en sneller beslissingen nemen. En eerlijk is eerlijk, die belofte wordt in veel organisaties al waargemaakt.
Maar onder de motorkap verandert er iets fundamenteels. Iets waar je als IT-manager of CISO niet omheen kunt. Sinds april heeft Microsoft namelijk een wijziging doorgevoerd die direct raakt aan een onderwerp waar de afgelopen jaren juist enorm op gestuurd is: datasoevereiniteit binnen Europa. En die wijziging komt op een moment waarop geopolitiek, wetgeving en digitale afhankelijkheid steeds meer met elkaar verweven raken.
In het kort
Microsoft Copilot kan sinds kort data buiten de EU verwerken door de introductie van ‘flex routing’. Dit gebeurt automatisch bij piekbelasting en staat vaak standaard ingeschakeld. Het risico zit niet alleen in waar data wordt opgeslagen, maar juist in waar deze wordt verwerkt. Voor organisaties met strikte compliance-eisen (zoals AVG of NIS2) is het belangrijk om dit bewust te controleren en hier beleid op te maken.
De meeste organisaties hebben hun Microsoft 365-omgeving bewust in Europa ondergebracht. Vanuit compliance, maar ook vanuit een gevoel van controle. Data binnen de EU voelt veilig, overzichtelijk en juridisch beter te verantwoorden. Maar wat veel organisaties zich onvoldoende realiseren, is dat er een groot verschil zit tussen waar data wordt opgeslagen en waar data wordt verwerkt.
En juist dat laatste verandert nu.
Met de introductie van ‘flex routing’ kan Microsoft Copilot data tijdelijk buiten de Europese Unie verwerken op het moment dat de vraag naar AI-capaciteit piekt. Niet omdat Microsoft ineens andere intenties heeft, maar omdat de vraag naar AI simpelweg sneller groeit dan de infrastructuur kan bijbenen.
Vanaf 17 april 2026 is deze functionaliteit in werking gezet voor Europese organisaties. De impact is groter dan hij op het eerste gezicht lijkt. Wanneer jouw medewerkers Copilot gebruiken, bijvoorbeeld om documenten samen te vatten of analyses te maken, vindt er een proces plaats dat ‘inferencing’ heet. Dat is het moment waarop de AI jouw input verwerkt en omzet in een antwoord. En precies dát proces kan nu, bij drukte, plaatsvinden in datacenters buiten Europa — zoals in de Verenigde Staten, Canada of Australië. Belangrijk detail: deze instelling staat in veel gevallen standaard aan en wordt automatisch uitgerold.
Je merkt er als gebruiker niets van.
Maar dat maakt het juist relevant.
De risico’s zitten niet alleen in techniek, maar vooral in aannames. Veel organisaties gaan ervan uit dat data binnen de EU blijft, omdat Microsoft-diensten in Europa draaien. Maar met flex routing kan data tijdens AI-verwerking buiten de EU worden verwerkt, zonder dat je als gebruiker iets merkt.
Zonder dit bewust te controleren en vast te leggen, loop je risico op compliance-problemen, minder grip op je data en lastige vragen bij audits of incidenten.
Op papier blijft Microsoft binnen de kaders van wet- en regelgeving opereren. Data blijft versleuteld, opslag vindt grotendeels binnen de EU plaats en juridische mechanismen zoals Standard Contractual Clauses blijven gelden. Maar dat is slechts één kant van het verhaal. De andere kant is dat organisaties de afgelopen jaren juist hebben ingezet op het beperken van afhankelijkheden buiten Europa. Niet alleen vanuit compliance, maar ook vanuit geopolitiek perspectief.
De wereld is veranderd:
In dat licht voelt het wrang dat een AI-functionaliteit (die vaak razendsnel wordt geadopteerd) ineens een andere route kiest voor dataverwerking. Niet onveilig, maar wel minder voorspelbaar.
De grootste valkuil die we nu zien bij organisaties is niet dat ze verkeerde keuzes maken. Het probleem is dat ze vaak helemaal geen keuze maken.Omdat ze ervan uitgaan dat alles nog werkt zoals voorheen. Terwijl de werkelijkheid is dat:
Data tijdens verwerking de EU kan verlaten
Dit automatisch gebeurt als je niets instelt
En dit niet zichtbaar is voor eindgebruikers
Dat maakt dit geen IT-configuratie, maar een governance-vraagstuk. Een vraag die thuishoort op het niveau van de CISO, de IT-directeur en in sommige gevallen zelfs de board.
Microsoft introduceert flex routing met een duidelijke reden: performance en beschikbaarheid. AI vraagt enorme rekenkracht. En op piekmomenten moet die capaciteit ergens vandaan komen. Flex routing zorgt ervoor dat Copilot snel blijft werken, ook als Europese datacenters vol zitten. Dat betekent dat organisaties nu impliciet voor een keuze staan. Kies je voor maximale performance? Of kies je voor maximale controle over waar je data wordt verwerkt? Er is geen goed of fout antwoord. Maar er is wel een groot verschil tussen een bewuste keuze en een standaardinstelling die ongemerkt blijft staan.
Dit is geen reden om Copilot uit te zetten. Integendeel. AI biedt enorme kansen voor organisaties die slimmer willen werken en sneller willen schakelen. Tegelijkertijd vraagt deze ontwikkeling wel om meer bewustzijn. Wat hier speelt, gaat namelijk verder dan een technische instelling. Het laat zien hoe snel de spelregels rondom data veranderen. Waar organisaties jarenlang hebben gestuurd op “data blijft binnen Europa”, ontstaat nu een situatie waarin verwerking dynamisch plaatsvindt, afhankelijk van capaciteit en performance.
Daarmee verschuift ook de verantwoordelijkheid. Niet alleen naar Microsoft, maar juist naar de organisatie zelf. Het begint met inzicht. Breng in kaart of flex routing actief is binnen je Microsoft 365-omgeving en bepaal vervolgens of verwerking buiten de EU past binnen je beleid en risicoprofiel. Voor sommige organisaties is dat geen probleem, voor andere juist wel. Zeker in sectoren waar compliance en toezicht een grote rol spelen, is dit een afweging die je niet impliciet wilt maken.
Leg die keuze daarom ook vast. Niet alleen technisch, maar juist ook in beleid en documentatie. Denk aan NIS2, ISO of interne richtlijnen rondom datagebruik. En betrek daarbij vanaf het begin de juiste stakeholders, zoals je CISO of security officer.
De uitdaging is dat dit geen instelling is die je als eindgebruiker tegenkomt. Je moet hiervoor echt in de beheeromgeving duiken.
Je kunt dit controleren via het Microsoft 365 Admin Center:
Afhankelijk van je licenties en configuratie kan dit ook terugkomen in:
Zie je deze instellingen niet direct? Dan is dat op zichzelf al een signaal. Veel van dit soort functionaliteiten worden gefaseerd uitgerold en zitten soms verstopt achter nieuwe policy-instellingen.
Juist daarom is het verstandig om dit samen met je IT-partner of securityspecialist te bekijken. Niet alleen om te controleren wat er aan staat, maar vooral om te begrijpen wat het betekent voor jouw organisatie.
Gebruik je Copilot binnen je organisatie, dan gaat het niet alleen om wat het oplevert in productiviteit, maar ook om de vraag waar je data daadwerkelijk wordt verwerkt en of dat nog past binnen de afspraken die je hebt gemaakt met klanten, toezichthouders en jezelf. Twijfel je hoe dit binnen jouw Microsoft 365-omgeving is ingericht of wil je zeker weten dat je nog voldoet aan de laatste eisen rondom security en compliance, dan kijken we graag met je mee. Zo benut je de voordelen van AI, zonder de grip op je data te verliezen.
