Microsoft wijzigt Copilot voor 365: dataverwerking kan ineens buiten EU gebeuren

Microsoft wijzigt instellingen voor zakelijk gebruik van Copilot waardoor dataverwerking buiten de Europese grenzen kan plaatsvinden. Dit gebeurt bij hoge vraag. Deze optie staat vanaf 17 april standaard aan voor een deel van de organisaties die Microsoft 365 gebruiken.

Beheerders bij organisaties kunnen deze zogeheten flexroutering uitschakelen in het beheercentrum voor Microsoft 365. Diverse nieuwsberichten en blogs stellen dat Microsoft deze dataverwerking buiten de EU standaard instelt voor 365-gebruikers. Het bedrijf zelf meldt in een uitlegdocument dat het flexroutering inschakelt 'voor in aanmerking komende tenants die zijn gemaakt na 25 maart 2026'. Tenants zijn organisaties die capaciteit gebruiken in de cloudomgeving van Microsoft, wat ook het 365-aanbod omvat.

Organisaties die vóór 25 maart dit jaar al 365-gebruikers waren, kunnen in principe ook vallen onder Microsofts nieuwe beleid voor verkeersomleiding. Die klanten krijgen van de aanbieder het advies om in het Berichtencentrum van Microsoft 365 te kijken 'voor meer informatie over de standaardinstelling voor flexroutering van uw tenant'.

Dataversleuteling

Flexroutering zorgt er volgens Microsoft voor dat Copilot-gebruik ook tijdens piekmomenten een 'consistente ervaring' heeft. De gegevens van klanten zijn tijdens transport en in opslag versleuteld, benadrukt Microsoft. Die versleuteling is ongeacht de locatie waar de dataverwerking plaatsvindt.

In een bericht (MC1269223) aan beheerders meldt Microsoft dat het flexroutering vanaf 17 april inschakelt. Dit geldt voor organisaties die Copilot gebruiken en die zich in de Europese Unie bevinden of onder de Europese Vrijhandelsassociatie vallen. Laatstgenoemde omvat de landen IJsland, Liechtenstein, Noorwegen en Zwitserland.

soevereine clouds, VS vs EU, cloud, clouds
Digitale soevereiniteit en clouds, VS vs EU. Bron: Tweakers

Door Jasper Bakker

Nieuwsredacteur

Feedback • 07-04-2026 16:05
53 • submitter: SenneKuhLoos

07-04-2026 • 16:05

53

Submitter: SenneKuhLoos

Lees meer

26 feb 2026

Nederlandse GPT‑NL is klaar voor gebruik: 'Voldoet als enige taalmodel aan AVG'

134

2 jan 2026

De 'soevereine' cloud is vaak een illusie: zo blijven we afhankelijk van de VS

277
'Microsoft gaat licentiekosten rekenen voor AI-agents, net als voor gebruikers'
'Microsoft gaat licentiekosten rekenen voor AI-agents, net als voor gebruikers' Nieuws van 4 maart 2026
Microsoft laat admins Copilot-app verwijderen van beheerde Windows 11-apparaten
Microsoft laat admins Copilot-app verwijderen van beheerde Windows 11-apparaten Nieuws van 12 januari 2026
Meer producten en artikelen
Netwerk en systeembeheer Bedrijfsnieuws Marktontwikkelingen Politiek en recht Privacy CoPilot Digitale soevereiniteit Europese unie Generatieve AI Soevereine cloud

Reacties (53)

-Moderatie-faq
53
49
21
3
0
20
Wijzig sortering

Sorteer op:

Weergave:
Jefrey Lijffijt 7 april 2026 16:11
Naar mijn begrip van de AVG (GDPR) is dat wel een serieus probleem bij verwerking van persoonsgegevens, want je zou additionele toestemming nodig hebben om die buiten de EU te kunnen verwerken. Is er wellicht een expert die dit kan bevestigen of weerleggen?
Reageer
neversium @Jefrey Lijffijt7 april 2026 16:22
Waarschijnlijk ook de reden dat het voor alle nieuwe klanten na 25 maart 2026 standaard staat ingeschakeld, door nieuwe voorwaarden en aangeven dat klanten die bepaalde persoonsgegevens verwerken, instellingen moeten wijzigigen voor GDPR compliance. En voor huidige klanten die hun contract verlengen, zal dit hetzelfde zijn, denk ik.

Weet alleen niet of dit GDPR-proof is.
Reageer
Jefrey Lijffijt @neversium7 april 2026 18:09
Blijkbaar is de legaliteit voor data transfers met de VS geregeld via het Data Privacy Framework, dat op dit moment nog wel stand houdt (de twee vorige overeenkomsten zijn uiteindelijk onrechtmatig verklaard nadat Max Schrems ze voor de rechter heeft gedaagd). Organisaties die de DPF ondertekenen moeten zich dus aan regels houden en dan is het op dit moment legaal. Microsoft en Google hebben beide de DPF ondertekend: https://www.dataprivacyframework.gov/list . OpenAI en Anthropic niet. Microsoft host de modellen echter zelf, dus Copilot is denk ik GDPR-compliant ook als het in de VS verwerkt wordt.
Reageer
Quintiemero @Jefrey Lijffijt7 april 2026 19:17
Dat klopt. Maar zeg niet dat het GDPR-compliant is. Dat js heel breed. Dan tik je alleen het hoofdstuk van datadoorgifte af. Er zijn nog 50 andere artikelen die relevant zijn ;)
Reageer
MSalters
@neversium7 april 2026 16:40
Nee. AVG mag niet impliciet. Dat vereist een expliciete overeenkomst.
Reageer
RielN @MSalters7 april 2026 17:05
Waar staat in de GDPR dat je IN de EU moet opslaan dan?
Reageer
Bor Coördinator Frontpage Admins / FP Powermod @RielN7 april 2026 17:59
De regels rond Doorgifte persoonsgegevens buiten de EER vind je o.a. hier:

Autoriteitpersoonsgegevens.nl

Specifiek is dit voor de VS ook van toepassing: Doorgifte persoonsgegevens naar de VS

[Reactie gewijzigd door Bor op 7 april 2026 18:01]

Reageer
RielN @Bor7 april 2026 18:24
Ja, correct. Maar dat onderstreept mijn punt dat het voor de GDPR niet relevant is waar die gegevens fysiek verwerkt staan. Het mag allebei.

[Reactie gewijzigd door RielN op 7 april 2026 18:29]

Reageer
Scriptkid @Bor7 april 2026 19:07
Vraag is wat hier van toepassing is,

Uitkomsten staan in eu stale data, de data in transit gebruikt allreneen processor buiten de eu.

Vraag is dus of het gaat om data verwerki g buiten de eu
Reageer
MSalters
@RielN7 april 2026 18:58
Dat is het probleem niet. Ook voor een Europese partij die de daya in de EU houdt moet je een dataverwerking overeenkomst hebben.
Reageer
FreezeXJ @MSalters7 april 2026 17:14
Wiens probleem is dat precies? Volgens mij niet dat van Microsoft... De schuldige systeembeheerder (inmiddels wegbezuinigd want alles zit toch in de cloud) heeft het wellicht best aangekaart, en de manager hatte es nicht gewusst... Uiteindelijk is dit slecht te handhaven tenzij we kunnen aantonen dat er die-en-die-gegevens om zo-laat gelekt zijn naar Toko-Dattem die dat verwerkt heeft in de USA, en krijg dat maar eens boven water op zo'n manier dat de rechtbank het accepteert.
Reageer
MSalters
@FreezeXJ7 april 2026 18:59
Beide partijen hebben een overeenkomst nodig. Je mag anders die data niet geven en niet ontvangen
Reageer
Quintiemero @Jefrey Lijffijt7 april 2026 19:16
Nee hoor. Kan prima. We hebben weer afspraken met de US.
Reageer
JBVisual 7 april 2026 16:30
Ik vind dit een heel kwalijke zaak, zeker omdat Microsoft zich zeer lange tijd als "De aanbieder" van AI voor de EU heeft gekenmerkt. Een lange tijd waren zij ook de enige bekende AI aanbieder die dataverwerking voor Europese klanten ook echt binnen de EU hielden.

Ik heb presentaties gehad van Microsoft waarom klanten voor hun platform moesten kiezen ipv ChatGPT, Gemini etc... De inhoud van deze training ging niet eens over functionaliteit maar over data veiligheid en EU wetgeving voor het verwerken van persoonsgegevens.

Dat ze dit nu voor iedereen opeens aanpassingen, schopt mij echt tegen het been.
Ik heb deze boodschap zitten verkopen bij mijn klanten, ondanks dat ik dit handmatig per klant kan aanpassen heb ik geen vertrouwen meer in hun boodschap.
(Wie zegt dat ze het beleid niet weer omgooien? Ik kan ze nu niet meer vertrouwen als ze dit soort dingen zo makkelijk aanpassen.)
Reageer
RielN @JBVisual7 april 2026 16:57
Het 'we laten je data in de EU' is een wassen neus voor US bedrijven, dus dit verandert juridisch niets verder.
Reageer
NoTechSupport @RielN7 april 2026 18:40
Ik begrijp niet waarom je gedownvote wordt. Wetgeving in de VS dwingt Amerikaanse bedrijven om data te delen. Daar valt deze data in de EU onder. Of je dat een probleem vindt of niet is een andere zaak. Maar gezien ze een dictatuur aan het worden zijn zeker onwenselijk.
Reageer
William_H @NoTechSupport7 april 2026 19:15
offtopic:
Ik denk dat het minnen komt door de ietwat ongenuanceerde toon van @RielN. Verder klopt z'n opmerking natuurlijk wel en dat maakt dat hij op het moment van schrijven ook gewoon weer op +1 staat.
Precies. De Cloud Act (opvolger van de Patriot Act) is gewoon altijd! van toepassing op Amerikaanse bedrijven. Ook met allerhande dochterbedrijf-constructies etc. En het vervelende is, je weet niet eens wanneer die data opgevraagd wordt, want volgens die wetgeving mag ook dat niet verteld worden. Om nog maar van de geheime rechtbank(en) waar zo'n zaak wordt behandeld nog maar niet te spreken.
Reageer
RielN @NoTechSupport7 april 2026 18:41
Verwonderlijk!
Reageer
Mathijs Kok @JBVisual7 april 2026 17:56
Dat ze dit nu voor iedereen opeens aanpassingen, schopt mij echt tegen het been.
Microsoft vertelt waar je op moet klikken om in de oude situatie te blijven. Ik zou aannemen dat mensen die iets mee te maken hebben dat knopje wel kunnen vinden. Dit soort contracten veranderen met regelmaat en ik ben altijd prima op de hoogte gebracht door Microsoft.

Snap dus niet echt waar je je druk om maakt. Koste mij 30 seconden om aan te passen .
Reageer
William_H @Mathijs Kok7 april 2026 19:19
Waar hij zich terecht druk om maakt, is zijn goede naam en eer. Als jij naar eer en geweten een dienst verkoopt en verteld wordt en doorverteld dat AI altijd binnen Europa blijft, zij maken hier een unique selling point van, dan voel je je toch wel bekocht als dit ineens veranderd wordt?! Tuurlijk kun je met een vinkje dit ongedaan maken, maar het laat niet onverlet dat Microsoft dus niet in staat is de service te garanderen in de EU. En dat was toch altijd het punt van de cloud? De schaalbaarheid, en dat klanten zich hier niet druk over hoefden te maken? Dat blijkt dus (helaas?) niet(s) meer waar(d).
Reageer
HakanX @JBVisual7 april 2026 18:03
Helaas is het ons eigen EU die dit toestaat. EU data mag gewoon zonder meer naar de VS en Israël, omdat die op de lijst staan met landen die adequaat omgaan met dataveiligheid.
Wat dat laatste exact inhoud vraag ik mij wel af aangezien die landen data+AI gebruiken om doelen te bombarderen.

Link naar besluit: https://commission.europa...ion/adequacy-decisions_en
Reageer
FreezeXJ @JBVisual7 april 2026 17:16
OK, dus jij hebt geen vertrouwen meer in ze, maar wat ga je doen dan? Al je klanten omzetten naar Mistral (Wasda?)? Of toch lekker bij MS blijven, want die hebben zo'n mooi pakket en een goeie (verkoopbare) naam bij managers?
Reageer
incama @FreezeXJ7 april 2026 18:20
Bewustzijn creëren, de dialoog aangaan. Wat is er mis met praten?
Reageer
bousix @JBVisual7 april 2026 17:11
En dan hebben we het nog niet eens over het tarief / de kosten.
Reageer
Anthix 7 april 2026 16:26
Meteen even in onze eigen tenant bekeken. Wij hadden dezelfde melding in het admin center, maar onder een andere message ID.

Hoewel de opsomming hetzelfde blijft (Microsoft introduceert flex routing), stond flex routing by default uit. Verschilt dus per tenant, maar goed om even te controleren.
Reageer
david-v 7 april 2026 16:09
Prima dat die keuze er is, maar MS zou onderhand wel moeten weten dat we dit in de EU graag als opt-in willen en niet als standaard instelling!
Reageer
IStealYourGun @david-v7 april 2026 16:21
Het probleem is dat veel bedrijven (en hun it'ers) heel lui zijn en liever klagen over MS dan effectief actief te ondernemen, dus gaat MS voor de recommended settings ipv opt-in
Reageer
david-v @IStealYourGun7 april 2026 16:28
Weet ik, daarom zie ik liever een opt-in bij dit soort acties.
Reageer
dasiro @IStealYourGun7 april 2026 17:55
ja, maar nee: het is aan Microsoft om zich in de eerste plaats aan de wetgeving van dataverwerking binnen de EU te houden en enkel op explicitiete vraag van de klant dat daarbuiten te doen.
Reageer
HKLM_ @david-v7 april 2026 16:34
Microsoft wilt van een probleem af en dat is dat ze een capaciteit issue hebben binnen europa. Door het opt-out te maken voor veel tenants zullen ze vanaf 17 april opeens die capaciteit issue zien verminderen omdat flex routing zijn ding gaat doen. Iedere beheerder / organisatie welke het niet uit heeft gezet is een +je voor Microsoft.

Ik ben het met je eens hoor, het zou opt-in moeten zijn en ik heb mijn klanten geadviseerd om flex routing uit te zetten. Maar wees je er van bewust dat er ook organisaties zijn dit dit wel prima vinden en het liever aan laten staan.
Reageer
FreezeXJ @HKLM_7 april 2026 17:08
Daarmee hebben die organisaties wel meteen een AVG-probleem te pakken, want daarmee lek je opeens vrij veel info (mogelijk alles, afhankelijk van hoe dichtgespijkerd je copiloot is) naar de USA, of 'elders'. Zitten er persoonsgegevens in je mail, of op je computer waar de co bij kan, dan ben je de sjaak.

Dat bedrijven hier niet bij stilstaan, en alleen door een lullig mailtje van MS 'gewaarschuwd' worden is voer voor de AP, maar ik vrees dat die vooral op individuele gevallen moeten inspringen, en dan eerst 2 jaar moeten waarschuwen voor ze een boete mogen uitdelen.
Reageer
Mathijs Kok @FreezeXJ7 april 2026 17:42
Daarmee hebben die organisaties wel meteen een AVG-probleem te pakken,
Uh? Het is niet verboden om data op een US-server te hebben, Waarom zou dit een overtreding zijn?
Reageer
FearZ @david-v7 april 2026 16:21
Dat interesseert Microsoft niet zoveel dat we dat als opt-in willen.
Reageer
Lisadr @david-v7 april 2026 16:30
Microsoft weet wat de goedkoopste optie is. Microsoft weet ook goed hoe politici beïnvloed kunnen worden. Microsoft weet ook dat de EU weinig doet aan handhaving en dat de boetes een stuk kleiner zijn dan de kostenbesparingen of winstmaximalisatie van Microsoft.
Reageer
david-v @Lisadr7 april 2026 16:40
Dan volg je toch echt niet de nieuws berichten de laatste tijd. Big tech is niet blij met alle regeltjes in de EU en de handhaving wordt steeds meer uitgevoerd. Ook de boetes zijn niet meer zomaar weg te wuiven.

Bovendien gaat het hier om organisaties. Bij grotere bedrijven gaat het vaak om miljoenen aan omzet per jaar. Dat is niet iets waar MS makkelijk omheen kan dansen.

Maar goed, deze beslissing om het opt-out te maken is mi dus geen juist keuze en krijgt misschien nog wel een staartje. We gaan het zien.
Reageer
Lisadr @david-v7 april 2026 17:10
Dan volg je toch echt niet de nieuws berichten de laatste tijd. Big tech is niet blij met alle regeltjes in de EU en de handhaving wordt steeds meer uitgevoerd. Ook de boetes zijn niet meer zomaar weg te wuiven.
Grote bedrijven zijn nooit blij met regels. In een ideale wereld voor hen zijn er geen regels in hun nadeel, betalen ze geen belasting en worden hun kosten gesubsidieerd.

Kun je een paar voorbeelden geven waarbij Microsoft of andere bigtech (Bytedance, Google, Amazon) in de afgelopen 24 maanden zware boetes hebben gehad (zoals een paar % van hun omzet) en die ook betaald hebben?

De laatste keer dat Microsoft een miljardenboete kreeg, konden ze het onderhandelen naar 0 euro.
Reageer
Mathijs Kok @Lisadr7 april 2026 17:48
[...]


Grote bedrijven zijn nooit blij met regels. In een ideale wereld voor hen zijn er geen regels in hun nadeel, betalen ze geen belasting en worden hun kosten gesubsidieerd.

Kun je een paar voorbeelden geven waarbij Microsoft of andere bigtech (Bytedance, Google, Amazon) in de afgelopen 24 maanden zware boetes hebben gehad (zoals een paar % van hun omzet) en die ook betaald hebben?
Meta alleen al heeft in de laatste vijf jaar meer dan 650 miljoen betaald aan boetes die niet meer aangevochten worden. Het is lang een breed bekend feit dat Meta daar enorm van baalt en er veel aan doet om verdere boetes te voorkomen. De interne regels voor Europa zijn recentelijk aangepast.

De miljardenboete aan Microsoft heb je niet geheel begrepen. Die boete zou Microsoft krijgen als ze hun gedrag niet zou aanpassen. Microsoft heeft de Commissie kunnen overtuigen dat ze welwillend was om dingen te wijzigen. Dit soort 'boetes' zijn heel normaal. De EU wil geen geld maar verandering van gedrag.

[Reactie gewijzigd door Mathijs Kok op 7 april 2026 17:51]

Reageer
FreezeXJ @david-v7 april 2026 17:11
Tuurlijk zijn ze er niet blij mee, maar dat is wat anders dan dat ze hun gedrag aanpassen. Mensen zijn ook niet blij met verkeersboetes, maar toch rijdt 80% strak te hard... (behalve bij de aangekondigde flitspaal)

Microsoft kan die boetes prima hebben, en als ze pas wat aanpassen na de 3e waarschuwing dan zijn ze nog op tijd, en kost het ze niks, maar hebben ze wel een jaartje of 2 winst gepakt hierop. Die paar miljoen die het ze kost aan advocaat-kosten merken ze niet eens op een omzet van 51 miljard aan puur hun cloud-afdeling.
Reageer
david-v @RielN7 april 2026 16:59
Voor de AVG wel. Het doemscenario dat de VS Den Haag mag binnenvallen om een Amerikaan te bevrijden of dat ze expliciet naar data van een persoon mogen vragen is bekend en gedocumenteerd. Persoonlijk denk ik dat ze veel meer data binnen krijgen via de Nederlandse inlichtingendienst, ook van data opgeslagen in oer Nederlandse datacenters.
Reageer
RielN @david-v7 april 2026 17:05
Op dit moment schrijft de GDPR dat niet voor maar stelt voorwaarden aan de doorgifte. En daar voldoet MS gewoon aan. Mijn punt is dat deze wijziging dus nergens invloed op heeft.
Reageer
kozue 7 april 2026 16:20
Uiteindelijk maakt het niet zoveel uit, want MS blijft een Amerikaans bedrijf en die moeten gewoon doen wat hun regering ze opdraagt. Of je data nou wel of niet binnen de EU blijft, Trump kan het gewoon opvragen. Beter om helemaal geen Amerikaans bedrijf te gebruiken als je om databescherming geeft.
Reageer
david-v @kozue7 april 2026 16:24
Trump kan wel meer willen, maar bij dit soort aanvragen is dat echt niet zo makkelijk en moet altijd gericht zijn op één persoon.

Bedenk ook dat wat jij zegt ook kan gelden voor een iPhone/iCloud bijvoorbeeld.
Reageer
RielN @david-v7 april 2026 17:09
Heel apart, die reactie in de huidige geopolitieke situatie. Geloof je oprecht, dat de huidige US administratie, als ze info nodig hebben, zeggen shit, de GDPR?

kozue heeft wat mij betreft gewoon een punt.

[Reactie gewijzigd door RielN op 7 april 2026 17:13]

Reageer
david-v @RielN7 april 2026 17:16
Andersom, als bedrijf in de EU moet je hier aan voldoen, dus als MS dit soort truukjes uithaalt, is dat voor bedrijven in de EU wel een ding.

Inlichtingendiensten hebben redelijk lak aan dit soort internationale afspraken overigens, ook de Nederlandse inlichtingendienst doet dingen die tegen en over de rand van het legitieme is.
Reageer
RSH @david-v7 april 2026 18:45
Denk je werkelijk dat US bestuurders zich daar iets van aantrekken? Om hiertegen op te treden moet bekend zijn dat er een vordering op gegevens is gedaan. Vanuit US wetgeving kan bekendmaking van een vordering geblokkeerd worden. Einde oefening.

Overigens, zoals de zaak tegen OVHcloud door de Canadese RCMP bewijst, beperkt het probleem zich echt niet alleen tot het land van “orange man bad”.
Reageer
YoMarK 7 april 2026 17:53
Voor de mensen die het zich afvragen....

Deze opzie zit in het MS365 beheersportaal (admin.microsoft.com). Daarna onder Copilot-->Settings. Bovenin "View all". Zoeken op "flex", de setting zelf heet "Flexible inferencing during peak load periods". "Do not alllow", tenzij prestaties belangrijker zijn voor je gebruikers/organisatie dan AVG, etc..
Reageer
Alpha89 7 april 2026 18:12
Tenants met Multi-Geo krijgen deze optie trouwens niet.
Note that this setting will not be available for customers who have purchased multi-geo capabilities even if their tenant is listed as being in a country or region in the EU or EFTA. Customers can check their tenant’s country or region in the Microsoft 365 admin center.
Bron.
Reageer
SalesforceDude 7 april 2026 18:32
Ik ben een paar weken geleden op Ubuntu overgestapt. Ik krijg bijna dagelijks sterker het gevoel dat dit de juiste keuze was.
Reageer
david-v @caspar M7 april 2026 17:04
Bij bedrijfsmatige toepassingen is dat meestal afgedekt en wordt data niet gebruikt. Bij gratis varianten is dat een heel ander verhaal.

Anders zou je kunnen stellen dat MS alles wat je in de cloud doet, inclusief bedrijfsgegevens en documenten scant en vervolgens daar weer geld mee verdient. Als je daar bewijs van hebt dan wil ik dat wel graag zien. Bedrijfsdata he, niet allerlei gratis diensten erbij gaan betrekken, want daar weten we allemaal van dat het gebruikt wordt voor profilering
Reageer

Om te kunnen reageren moet je ingelogd zijn