Microsoft wijzigt Copilot voor 365: dataverwerking kan ineens buiten EU gebeuren

Microsoft wijzigt instellingen voor zakelijk gebruik van Copilot waardoor dataverwerking buiten de Europese grenzen kan plaatsvinden. Dit gebeurt bij hoge vraag. Deze optie staat vanaf 17 april standaard aan voor een deel van de organisaties die Microsoft 365 gebruiken.

Beheerders bij organisaties kunnen deze zogeheten flexroutering uitschakelen in het beheercentrum voor Microsoft 365. Diverse nieuwsberichten en blogs stellen dat Microsoft deze dataverwerking buiten de EU standaard instelt voor 365-gebruikers. Het bedrijf zelf meldt in een uitlegdocument dat het flexroutering inschakelt 'voor in aanmerking komende tenants die zijn gemaakt na 25 maart 2026'. Tenants zijn organisaties die capaciteit gebruiken in de cloudomgeving van Microsoft, wat ook het 365-aanbod omvat.

Organisaties die vóór 25 maart dit jaar al 365-gebruikers waren, kunnen in principe ook vallen onder Microsofts nieuwe beleid voor verkeersomleiding. Die klanten krijgen van de aanbieder het advies om in het Berichtencentrum van Microsoft 365 te kijken 'voor meer informatie over de standaardinstelling voor flexroutering van uw tenant'.

Dataversleuteling

Flexroutering zorgt er volgens Microsoft voor dat Copilot-gebruik ook tijdens piekmomenten een 'consistente ervaring' heeft. De gegevens van klanten zijn tijdens transport en in opslag versleuteld, benadrukt Microsoft. Die versleuteling is ongeacht de locatie waar de dataverwerking plaatsvindt.

In een bericht (MC1269223) aan beheerders meldt Microsoft dat het flexroutering vanaf 17 april inschakelt. Dit geldt voor organisaties die Copilot gebruiken en die zich in de Europese Unie bevinden of onder de Europese Vrijhandelsassociatie vallen. Laatstgenoemde omvat de landen IJsland, Liechtenstein, Noorwegen en Zwitserland.

soevereine clouds, VS vs EU, cloud, clouds
Digitale soevereiniteit en clouds, VS vs EU. Bron: Tweakers

Door Jasper Bakker

Nieuwsredacteur

Feedback • 07-04-2026 16:05
109 • submitter: SenneKuhLoos

07-04-2026 • 16:05

109

Submitter: SenneKuhLoos

Lees meer

26 feb 2026

Nederlandse GPT‑NL is klaar voor gebruik: 'Voldoet als enige taalmodel aan AVG'

134

2 jan 2026

De 'soevereine' cloud is vaak een illusie: zo blijven we afhankelijk van de VS

277
Windows 11-update laat gebruikers 365-abonnement beheren in Instellingen
Windows 11-update laat gebruikers 365-abonnement beheren in Instellingen Nieuws van 16 april 2026
Dataverwerking Copilot voor Microsoft 365 gebeurt alsnog standaard binnen Europa
Dataverwerking Copilot voor Microsoft 365 gebeurt alsnog standaard binnen Europa Nieuws van 13 april 2026
Microsoft verwijdert Copilot-naam uit Kladblok, maar AI-functies blijven
Microsoft verwijdert Copilot-naam uit Kladblok, maar AI-functies blijven Nieuws van 12 april 2026
Staatssecretaris pleit voor ‘digitaal noodpakket' voor alle Nederlanders
Staatssecretaris pleit voor ‘digitaal noodpakket' voor alle Nederlanders Nieuws van 8 april 2026
'Microsoft gaat licentiekosten rekenen voor AI-agents, net als voor gebruikers'
'Microsoft gaat licentiekosten rekenen voor AI-agents, net als voor gebruikers' Nieuws van 4 maart 2026
Microsoft laat admins Copilot-app verwijderen van beheerde Windows 11-apparaten
Microsoft laat admins Copilot-app verwijderen van beheerde Windows 11-apparaten Nieuws van 12 januari 2026
Meer producten en artikelen
Netwerk en systeembeheer Bedrijfsnieuws Marktontwikkelingen Politiek en recht Privacy CoPilot Digitale soevereiniteit Europese unie Generatieve AI Soevereine cloud

Reacties (109)

-Moderatie-faq
109
104
54
5
0
39
Wijzig sortering

Sorteer op:

Weergave:
JBVisual 7 april 2026 16:30
Ik vind dit een heel kwalijke zaak, zeker omdat Microsoft zich zeer lange tijd als "De aanbieder" van AI voor de EU heeft gekenmerkt. Een lange tijd waren zij ook de enige bekende AI aanbieder die dataverwerking voor Europese klanten ook echt binnen de EU hielden.

Ik heb presentaties gehad van Microsoft waarom klanten voor hun platform moesten kiezen ipv ChatGPT, Gemini etc... De inhoud van deze training ging niet eens over functionaliteit maar over data veiligheid en EU wetgeving voor het verwerken van persoonsgegevens.

Dat ze dit nu voor iedereen opeens aanpassingen, schopt mij echt tegen het been.
Ik heb deze boodschap zitten verkopen bij mijn klanten, ondanks dat ik dit handmatig per klant kan aanpassen heb ik geen vertrouwen meer in hun boodschap.
(Wie zegt dat ze het beleid niet weer omgooien? Ik kan ze nu niet meer vertrouwen als ze dit soort dingen zo makkelijk aanpassen.)
Reageer
HakanX @JBVisual7 april 2026 18:03
Helaas is het ons eigen EU die dit toestaat. EU data mag gewoon zonder meer naar de VS en Israël, omdat die op de lijst staan met landen die adequaat omgaan met dataveiligheid.
Wat dat laatste exact inhoud vraag ik mij wel af aangezien die landen data+AI gebruiken om doelen te bombarderen.

Link naar besluit: https://commission.europa...ion/adequacy-decisions_en
Reageer
TechSupreme @HakanX8 april 2026 02:35
Even je eigen link lezen:
(commercial organisations participating in the EU-US Data Privacy Framework),
Reageer
Triblade_8472 @TechSupreme8 april 2026 08:43
Hoewel sommige je meningmodden naar een 0, omdat je het waarschijnlijk wat bot stelt, heb je wel gelijk.


@HakanX je schrijft "EU data mag gewoon zonder meer naar de VS en Israël", maar het is dus niet 'gewoon' naar de VS, er staat expliciet dat bedrijven moeten meedoen aan het genoemde kader. (Israël mag wél ongelimiteerd trouwens)

En ja, ik ben er volledig van op de hoogte dat het een wassen neus is met de Patriot Act icm een gag order. Maar ik ben van mening dat je wel nuance moet blijven toepassen.
Reageer
TechSupreme @Triblade_84729 april 2026 01:44
Bot stelt? Dit is geen mening en de feiten zijn de feiten. Ik hoef daar geen groot ding van te maken; het staat gewoon in z'n eigen link.

Met de stelling "Israël mag wel ongelimiteerd" ben ik het niet eens, zeker niet als je het zo zegt.
The European Commission has the power to determine, on the basis of article 45 of Regulation (EU) 2016/679 whether a country outside the EU offers an adequate level of data protection.

The adoption of an adequacy decision involves:

a proposal from the European Commission;
an opinion of the European Data Protection Board;
an approval from representatives of EU countries;
the adoption of the decision by the European Commission.
De vraag is dus of het land voldoende privacy waarborgen heeft en daar zijn meerdere commissies mee gebonden. Die zeggen dat de Israëlische rechtsstaat voldoende bescherming biedt.
https://eur-lex.europa.eu...T/?uri=CELEX%3A32011D0061

De data mag alleen en exclusief gebruikt worden in de verwerking van geautomatiseerde databases en mag niet gebruikt worden om 1 persoon handmatig eruit te pikken. Dat beperkt het type data dat gedeeld mag worden zeer sterk.

Persoonlijk vind ik het trouwens een zieke gedachte om een of andere partij te demoniseren in alles wat het doet. Dat zien we heen en weer gebeuren en het enige wat je daarmee doet, is nog verder wegzinken in een neerwaartse spiraal.
Reageer
Mathijs Kok @JBVisual7 april 2026 17:56
Dat ze dit nu voor iedereen opeens aanpassingen, schopt mij echt tegen het been.
Microsoft vertelt waar je op moet klikken om in de oude situatie te blijven. Ik zou aannemen dat mensen die iets mee te maken hebben dat knopje wel kunnen vinden. Dit soort contracten veranderen met regelmaat en ik ben altijd prima op de hoogte gebracht door Microsoft.

Snap dus niet echt waar je je druk om maakt. Koste mij 30 seconden om aan te passen .
Reageer
William_H @Mathijs Kok7 april 2026 19:19
Waar hij zich terecht druk om maakt, is zijn goede naam en eer. Als jij naar eer en geweten een dienst verkoopt en verteld wordt en doorverteld dat AI altijd binnen Europa blijft, zij maken hier een unique selling point van, dan voel je je toch wel bekocht als dit ineens veranderd wordt?! Tuurlijk kun je met een vinkje dit ongedaan maken, maar het laat niet onverlet dat Microsoft dus niet in staat is de service te garanderen in de EU. En dat was toch altijd het punt van de cloud? De schaalbaarheid, en dat klanten zich hier niet druk over hoefden te maken? Dat blijkt dus (helaas?) niet(s) meer waar(d).
Reageer
klakkie.57th @Mathijs Kok7 april 2026 19:46
Waarom laten ze dan de huidige setting niet staan op EU en informeren ze de klant dat hij het kan aanpassen naar Flex EU/US 🤷🏻‍♂️
Reageer
Edgarz @klakkie.57th7 april 2026 23:39
Was er in de GDPR niet een regel omtrent opt in en opt out? Dat de laatste de standaardinstelling zou moeten zijn?

"The General Data Protection Regulation (GDPR) Requires Users to Opt-In. The GDPR, implemented in 2018, is a comprehensive regulation that governs data protection and privacy in the European Union. It requires businesses to obtain explicit consent (opt-in) before collecting and processing personal data".
Reageer
Sjoeff @Mathijs Kok8 april 2026 10:00
Ga jij ook die 300 andere tenants checken en het vinkje uitzetten :D? En waarom doen ze het niet andersom: standaard de optie UIT laten? Als ik het wil gebruiken zet ik het zelf wel aan.
Reageer
RielN @JBVisual7 april 2026 16:57
Het 'we laten je data in de EU' is een wassen neus voor US bedrijven, dus dit verandert juridisch niets verder.
Reageer
NoTechSupport @RielN7 april 2026 18:40
Ik begrijp niet waarom je gedownvote wordt. Wetgeving in de VS dwingt Amerikaanse bedrijven om data te delen. Daar valt deze data in de EU onder. Of je dat een probleem vindt of niet is een andere zaak. Maar gezien ze een dictatuur aan het worden zijn zeker onwenselijk.
Reageer
William_H @NoTechSupport7 april 2026 19:15
offtopic:
Ik denk dat het minnen komt door de ietwat ongenuanceerde toon van @RielN. Verder klopt z'n opmerking natuurlijk wel en dat maakt dat hij op het moment van schrijven ook gewoon weer op +1 staat.
Precies. De Cloud Act (opvolger van de Patriot Act) is gewoon altijd! van toepassing op Amerikaanse bedrijven. Ook met allerhande dochterbedrijf-constructies etc. En het vervelende is, je weet niet eens wanneer die data opgevraagd wordt, want volgens die wetgeving mag ook dat niet verteld worden. Om nog maar van de geheime rechtbank(en) waar zo'n zaak wordt behandeld nog maar niet te spreken.
Reageer
klystr @William_H7 april 2026 21:37
Die wetgeving is volgens mij ook van toepassing op Amerikaanse burgers, dus zelfs als de dochterbedrijfconstructie iets zou doen, wordt het daardoor teniet gedaan. Werkt er een Amerikaan aan de software of servers (of een subleverancier), dan kan die op persoonlijke titel gesommeerd worden mee te werken op straffe van verraad als diegene dat niet zou doen.

[Reactie gewijzigd door klystr op 7 april 2026 21:38]

Reageer
RielN @NoTechSupport7 april 2026 18:41
Verwonderlijk!
Reageer
bousix @JBVisual7 april 2026 17:11
En dan hebben we het nog niet eens over het tarief / de kosten.
Reageer
batjes @JBVisual7 april 2026 19:27
Beetje jammer alleen dat zelfs de zakelijke inzet van Copilot Chat doodleuk je input gewoon zelf verwerkt en gebruikt voor trainingsdoeleinden. Het heeft samen met Copilot for Office geen ISO 27001 certificering. (https://servicetrust.microsoft.com/viewpage/ISOIEC).

Het niet zelf verwerken van input zit alleen in andere Copilot paketten, welke niet heel erg veel gebruikt worden. Het gross van het copilot (zakelijk) gebruik van gaat via m365.cloud.microsoft.com/copilot.microsoft.com en in Office.

Zo heel erg hun best leken ze toch al niet te doen.

Doen bijna alle LLM providers niet overigens. Bizar hoeveel van onze gegevens en iedereen's toko allemaal in die LLM's zit.

Laat het vertrouwen maar meer schaden.
Reageer
WillySis
@JBVisual7 april 2026 20:32
De maatregel geld voor bedrijven, niet voor persoonlijke of family abonnementen. Zelfs bedrijven hebben nog de keuze om de data binnen Europa te houden.
Reageer
magician2000 @JBVisual7 april 2026 22:41
Is het niet naïef om zoiets aan te raden aan klanten omdat de dataverwerking binnen de EU gehouden werd? Dat maakt voor een Amerikaans bedrijf namelijk niets uit. Eén berichtje en ze moeten alsnog alles aanleveren bij de Amerikaanse overheid. Het is een wassen neus.

Wil je 'veilig' opereren, dan zul je dus een Europese aanbieder moeten nemen. Ze zijn nooit te vertrouwen geweest, wat ze ook zeggen of beloven. Dat hebben al die bedrijven keer op keer al bewezen.
Reageer
FreezeXJ @JBVisual7 april 2026 17:16
OK, dus jij hebt geen vertrouwen meer in ze, maar wat ga je doen dan? Al je klanten omzetten naar Mistral (Wasda?)? Of toch lekker bij MS blijven, want die hebben zo'n mooi pakket en een goeie (verkoopbare) naam bij managers?
Reageer
incama @FreezeXJ7 april 2026 18:20
Bewustzijn creëren, de dialoog aangaan. Wat is er mis met praten?
Reageer
Jefrey Lijffijt 7 april 2026 16:11
Naar mijn begrip van de AVG (GDPR) is dat wel een serieus probleem bij verwerking van persoonsgegevens, want je zou additionele toestemming nodig hebben om die buiten de EU te kunnen verwerken. Is er wellicht een expert die dit kan bevestigen of weerleggen?
Reageer
neversium @Jefrey Lijffijt7 april 2026 16:22
Waarschijnlijk ook de reden dat het voor alle nieuwe klanten na 25 maart 2026 standaard staat ingeschakeld, door nieuwe voorwaarden en aangeven dat klanten die bepaalde persoonsgegevens verwerken, instellingen moeten wijzigigen voor GDPR compliance. En voor huidige klanten die hun contract verlengen, zal dit hetzelfde zijn, denk ik.

Weet alleen niet of dit GDPR-proof is.
Reageer
MSalters
@neversium7 april 2026 16:40
Nee. AVG mag niet impliciet. Dat vereist een expliciete overeenkomst.
Reageer
RielN @MSalters7 april 2026 17:05
Waar staat in de GDPR dat je IN de EU moet opslaan dan?
Reageer
Bor Coördinator Frontpage Admins / FP Powermod @RielN7 april 2026 17:59
De regels rond Doorgifte persoonsgegevens buiten de EER vind je o.a. hier:

Autoriteitpersoonsgegevens.nl

Specifiek is dit voor de VS ook van toepassing: Doorgifte persoonsgegevens naar de VS

[Reactie gewijzigd door Bor op 7 april 2026 18:01]

Reageer
Scriptkid @Bor7 april 2026 19:07
Vraag is wat hier van toepassing is,

Uitkomsten staan in eu stale data, de data in transit gebruikt allreneen processor buiten de eu.

Vraag is dus of het gaat om data verwerki g buiten de eu
Reageer
RielN @Bor7 april 2026 18:24
Ja, correct. Maar dat onderstreept mijn punt dat het voor de GDPR niet relevant is waar die gegevens fysiek verwerkt staan. Het mag allebei.

[Reactie gewijzigd door RielN op 7 april 2026 18:29]

Reageer
MSalters
@RielN7 april 2026 18:58
Dat is het probleem niet. Ook voor een Europese partij die de daya in de EU houdt moet je een dataverwerking overeenkomst hebben.
Reageer
FreezeXJ @MSalters7 april 2026 17:14
Wiens probleem is dat precies? Volgens mij niet dat van Microsoft... De schuldige systeembeheerder (inmiddels wegbezuinigd want alles zit toch in de cloud) heeft het wellicht best aangekaart, en de manager hatte es nicht gewusst... Uiteindelijk is dit slecht te handhaven tenzij we kunnen aantonen dat er die-en-die-gegevens om zo-laat gelekt zijn naar Toko-Dattem die dat verwerkt heeft in de USA, en krijg dat maar eens boven water op zo'n manier dat de rechtbank het accepteert.
Reageer
MSalters
@FreezeXJ7 april 2026 18:59
Beide partijen hebben een overeenkomst nodig. Je mag anders die data niet geven en niet ontvangen
Reageer
Jefrey Lijffijt @neversium7 april 2026 18:09
Blijkbaar is de legaliteit voor data transfers met de VS geregeld via het Data Privacy Framework, dat op dit moment nog wel stand houdt (de twee vorige overeenkomsten zijn uiteindelijk onrechtmatig verklaard nadat Max Schrems ze voor de rechter heeft gedaagd). Organisaties die de DPF ondertekenen moeten zich dus aan regels houden en dan is het op dit moment legaal. Microsoft en Google hebben beide de DPF ondertekend: https://www.dataprivacyframework.gov/list . OpenAI en Anthropic niet. Microsoft host de modellen echter zelf, dus Copilot is denk ik GDPR-compliant ook als het in de VS verwerkt wordt.
Reageer
SunnieNL @Jefrey Lijffijt7 april 2026 19:55
Het is echter niet automatisch zo dat als microsoft met copilot gdpr compliant is, Dat het bedrijf wat van de dienst gebruikt maakt, dat ook is. Maaar dat is dan weer afhankelijk welke data ze er door laten processen. Elk bedrijf die dus niet opt-out en geen nieuwe risico analyse doet (dpia) of extra maatregelen neemt en de betrokken personen vergeet te informeren, heeft een AVG risico.
Reageer
Jefrey Lijffijt @SunnieNL7 april 2026 21:26
Ja sorry te kort door de bocht; ik vroeg me slechts af of er een additioneel probleem is ontstaan, maar gegeven de DPF is dat niet het geval, toch?

Is er meldingsplicht dat de data niet noodzakelijk in de EU blijft? Dat heb ik namelijk niet direct kunnen vinden, volgens mij is dat niet het geval.
Reageer
SunnieNL @Jefrey Lijffijt7 april 2026 23:59
Artikel 13.1e
Wanneer persoonsgegevens betreffende een betrokkene bij die persoon worden verzameld, verstrekt de verwerkingsverantwoordelijke de betrokkene bij de verkrijging van de persoonsgegevens al de volgende informatie:

e) in voorkomend geval, dat de verwerkingsverantwoordelijke het voornemen heeft de persoonsgegevens door te geven aan een derde land of een internationale organisatie; of er al dan niet een adequaatheidsbesluit van de Commissie bestaat; of, in het geval van in artikel 46, artikel 47 of artikel 49, lid 1, tweede alinea, bedoelde doorgiften, welke de passende of geschikte waarborgen zijn, hoe er een kopie van kan worden verkregen of waar ze kunnen worden geraadpleegd.
Dat zou dus neerkomen dat je moet vermelden dat je voornemens bent de persoonsgegevens te verwerken en dat ze mogelijk in de USA worden processed, waarbij je de opmerking kan maken dat dit valt onder de EU-U.S. Data Privacy Framework en eventueel dat je passende/geschikte waarborgen hebt getroffen (zoals encryptie, maar dat wordt lastig als copilot de data ook moet kunnen verwerken)

vermelding in de privacyverklaring zou dan zoiets worden als
Voor het gebruik van AI-functionaliteiten (zoals Microsoft Copilot) wordt in de basis gebruikgemaakt van servers binnen de EU. In het geval van onvoldoende lokale capaciteit kan Microsoft de verwerking tijdelijk verplaatsen naar datacenters in de Verenigde Staten. Deze doorgifte is gewaarborgd door Microsofts certificering onder het EU-U.S. Data Privacy Framework.
Een en ander houdt dan wel in dat je TIA moet regelen, nieuwe DPIA moet doen (want risico veranderd mogelijk) en dus bovenstaande aanpassing moet maken en doorgeven aan de datasubjecs. Uit de DPIA zou natuurlijk wel kunnen komen dat er nu een verhoogd risico is en er alsnog extra maatregelen moeten worden genomen of dat CoPilot niet meer gebruikt mag worden voor bepaalde zaken (al acht ik die kansen laag)
Reageer
Quintiemero @Jefrey Lijffijt7 april 2026 19:17
Dat klopt. Maar zeg niet dat het GDPR-compliant is. Dat js heel breed. Dan tik je alleen het hoofdstuk van datadoorgifte af. Er zijn nog 50 andere artikelen die relevant zijn ;)
Reageer
Jefrey Lijffijt @Quintiemero7 april 2026 21:23
Uiteraard bedoel ik niet dat het gebruik sowieso kan, slechts dat er (zolang de context verder gelijk blijft) geen verschil is met voorheen. Volgens mij maakt – gegeven de DPF – het dus niet uit of die data in de EU blijft; er is geen additioneel risico. Of zie ik dat verkeerd?
Reageer
William_H @Jefrey Lijffijt7 april 2026 19:23
De DPF ligt helaas naar mijn weten nog steeds onder vuur.
Reageer
batjes @Jefrey Lijffijt7 april 2026 19:34
Het verbaast mij sowieso hoe licht men overal in het algemeen denkt over al dit soort zaken. Hoe ontzettend veel data er ondertussen allemaal door OpenAI/Copilot/Claude en anderen verwerkt wordt.

Al die overeenkomsten van vertrouwen zijn leuk en aardig, alleen mag het wel duidelijk zijn dat we op wereldtoneel niemand kunnen vertrouwen tenzij we ze kort en klein kunnen slaan en/of ze binnen steenwerp afstand zitten.

De bedrijven die een significant deel van deze data verwerken hebben keer op keer (....etc) laten blijken dat ze best wel schijt hebben aan alles en iedereen ten faveure voor het grote geld.

[Reactie gewijzigd door batjes op 7 april 2026 19:35]

Reageer
Jefrey Lijffijt @batjes7 april 2026 21:34
Dat is helemaal waar, maar het praktisch risico dat de data wel degelijk verder gedeeld wordt (zoals met de Amerikaanse veiligheidsdiensten) lijkt mij eigenlijk gelijk, want de Amerikaanse wetgeving heeft er geen boodschap aan waar die data staat opgeslagen, slechts dat het bij een Amerikaans bedrijf is.

De praktische risico's zijn iets heel anders dan legaliteit, helaas. Daarnaast geven we om privacy, maar jan en alleman geeft willens en wetens zijn ziel bloot aan AI en Big Tech, terwijl van bedrijven en organisaties verwacht wordt tot het uiterste te gaan om die informatie niet te lekken en Big Tech de voornaamste spelers omvat die er baat bij hebben al die persoonlijke informatie te kennen.
Reageer
Quintiemero @Jefrey Lijffijt7 april 2026 19:16
Nee hoor. Kan prima. We hebben weer afspraken met de US.
Reageer
FastFred @Jefrey Lijffijt8 april 2026 08:32
Ik mag hopen dat iedere organisatie in hun AI beleid heeft staan dat er geen persoonsgegevens of gevoelige bedrijfsdata met AI gedeeld mag worden. Met AI is er nooit een 100% garantie dat die kennis niet over het hele internet gedeeld wordt.
Reageer
Jefrey Lijffijt @FastFred8 april 2026 08:44
AI wordt steeds meer als middleware gebruikt, tussen data en toepassingen. Op die manier is data makkelijker vindbaar, wordt het onderdeel van patronen die je een beter zicht geven op de werkelijkheid. Het zal niet lang duren voordat statische interfaces die data alleen maar weergeven vrijwel volledig vervangen zijn. Het is echt een onzinnige voorstelling van zaken om data niet met AI te verwerken. De vraag is alleen hoe we de risico's op lekken en misbruik zo klein mogelijk maken.
Reageer
david-v 7 april 2026 16:09
Prima dat die keuze er is, maar MS zou onderhand wel moeten weten dat we dit in de EU graag als opt-in willen en niet als standaard instelling!
Reageer
HKLM_ @david-v7 april 2026 16:34
Microsoft wilt van een probleem af en dat is dat ze een capaciteit issue hebben binnen europa. Door het opt-out te maken voor veel tenants zullen ze vanaf 17 april opeens die capaciteit issue zien verminderen omdat flex routing zijn ding gaat doen. Iedere beheerder / organisatie welke het niet uit heeft gezet is een +je voor Microsoft.

Ik ben het met je eens hoor, het zou opt-in moeten zijn en ik heb mijn klanten geadviseerd om flex routing uit te zetten. Maar wees je er van bewust dat er ook organisaties zijn dit dit wel prima vinden en het liever aan laten staan.
Reageer
FreezeXJ @HKLM_7 april 2026 17:08
Daarmee hebben die organisaties wel meteen een AVG-probleem te pakken, want daarmee lek je opeens vrij veel info (mogelijk alles, afhankelijk van hoe dichtgespijkerd je copiloot is) naar de USA, of 'elders'. Zitten er persoonsgegevens in je mail, of op je computer waar de co bij kan, dan ben je de sjaak.

Dat bedrijven hier niet bij stilstaan, en alleen door een lullig mailtje van MS 'gewaarschuwd' worden is voer voor de AP, maar ik vrees dat die vooral op individuele gevallen moeten inspringen, en dan eerst 2 jaar moeten waarschuwen voor ze een boete mogen uitdelen.
Reageer
Mathijs Kok @FreezeXJ7 april 2026 17:42
Daarmee hebben die organisaties wel meteen een AVG-probleem te pakken,
Uh? Het is niet verboden om data op een US-server te hebben, Waarom zou dit een overtreding zijn?
Reageer
HKLM_ @FreezeXJ7 april 2026 19:46
Direct een AVG probleem wil ik ook niet zeggen, alles hangt en staat bij het gebruik van AI in je organisatie of het nu Copilot of AI-x is maakt niet uit. Daar zit ook gelijk een groot probleem organisaties hebben geen beleid, zijn traag, snappen het niet en dan gaat het mis. Als je Copilot of een andere AI goed inricht dan kan het echt wel veilig en AVG veilig.


Wat betreft de wijziging en een lullig mailtje, tja te veel organisaties denken dat Microsoft 365 buy and forget is... maar als je Microsoft 365 gebruikt zou een taak van de beheerder zijn om de MC's te bekijken in het admin center en daar op te acteren.
Reageer
IStealYourGun @david-v7 april 2026 16:21
Het probleem is dat veel bedrijven (en hun it'ers) heel lui zijn en liever klagen over MS dan effectief actief te ondernemen, dus gaat MS voor de recommended settings ipv opt-in
Reageer
dasiro @IStealYourGun7 april 2026 17:55
ja, maar nee: het is aan Microsoft om zich in de eerste plaats aan de wetgeving van dataverwerking binnen de EU te houden en enkel op explicitiete vraag van de klant dat daarbuiten te doen.
Reageer
comecme @dasiro7 april 2026 20:56
Geldt die wetgeving dan ook voor zakelijke gebruikers of gaat dat alleen om consumenten?
Reageer
david-v @IStealYourGun7 april 2026 16:28
Weet ik, daarom zie ik liever een opt-in bij dit soort acties.
Reageer
Lisadr @david-v7 april 2026 16:30
Microsoft weet wat de goedkoopste optie is. Microsoft weet ook goed hoe politici beïnvloed kunnen worden. Microsoft weet ook dat de EU weinig doet aan handhaving en dat de boetes een stuk kleiner zijn dan de kostenbesparingen of winstmaximalisatie van Microsoft.
Reageer
david-v @Lisadr7 april 2026 16:40
Dan volg je toch echt niet de nieuws berichten de laatste tijd. Big tech is niet blij met alle regeltjes in de EU en de handhaving wordt steeds meer uitgevoerd. Ook de boetes zijn niet meer zomaar weg te wuiven.

Bovendien gaat het hier om organisaties. Bij grotere bedrijven gaat het vaak om miljoenen aan omzet per jaar. Dat is niet iets waar MS makkelijk omheen kan dansen.

Maar goed, deze beslissing om het opt-out te maken is mi dus geen juist keuze en krijgt misschien nog wel een staartje. We gaan het zien.
Reageer
Lisadr @david-v7 april 2026 17:10
Dan volg je toch echt niet de nieuws berichten de laatste tijd. Big tech is niet blij met alle regeltjes in de EU en de handhaving wordt steeds meer uitgevoerd. Ook de boetes zijn niet meer zomaar weg te wuiven.
Grote bedrijven zijn nooit blij met regels. In een ideale wereld voor hen zijn er geen regels in hun nadeel, betalen ze geen belasting en worden hun kosten gesubsidieerd.

Kun je een paar voorbeelden geven waarbij Microsoft of andere bigtech (Bytedance, Google, Amazon) in de afgelopen 24 maanden zware boetes hebben gehad (zoals een paar % van hun omzet) en die ook betaald hebben?

De laatste keer dat Microsoft een miljardenboete kreeg, konden ze het onderhandelen naar 0 euro.
Reageer
Mathijs Kok @Lisadr7 april 2026 17:48
[...]


Grote bedrijven zijn nooit blij met regels. In een ideale wereld voor hen zijn er geen regels in hun nadeel, betalen ze geen belasting en worden hun kosten gesubsidieerd.

Kun je een paar voorbeelden geven waarbij Microsoft of andere bigtech (Bytedance, Google, Amazon) in de afgelopen 24 maanden zware boetes hebben gehad (zoals een paar % van hun omzet) en die ook betaald hebben?
Meta alleen al heeft in de laatste vijf jaar meer dan 650 miljoen betaald aan boetes die niet meer aangevochten worden. Het is lang een breed bekend feit dat Meta daar enorm van baalt en er veel aan doet om verdere boetes te voorkomen. De interne regels voor Europa zijn recentelijk aangepast.

De miljardenboete aan Microsoft heb je niet geheel begrepen. Die boete zou Microsoft krijgen als ze hun gedrag niet zou aanpassen. Microsoft heeft de Commissie kunnen overtuigen dat ze welwillend was om dingen te wijzigen. Dit soort 'boetes' zijn heel normaal. De EU wil geen geld maar verandering van gedrag.

[Reactie gewijzigd door Mathijs Kok op 7 april 2026 17:51]

Reageer
Lisadr @Mathijs Kok9 april 2026 12:08
650 miljoen over 5 jaar (hoewel ik niet kan vinden of ze werkelijk de 650 miljoen hebben betaald) is vergelijkbaar met Jan Modaal die 35 euro boete per jaar betaalt Tuurlijk baalt Jan-Modaal van een boete van 35 euro, net als Meta dat doet. Het is niet veel. Het is een "cost of doing business"

Wil je werkelijk gedragsverandering, dan doe je dat niet met zeer kleine boetes. Met een omzet van 201 miljard USD had Meta een boete van 8 miljard USD kunnen krijgen in 1 jaar alleen voor AVG.

Een verkeersboete is bedoeld om gedrag aan te passen. Als Jan-modaal verkeersboetes krijgt van 5400 euro, gaat het ook niet lukken om het te onderhandelen naar 0 euro. Het lukt wel als je Big Tech of een ander megabedrijf bent.
Reageer
FreezeXJ @david-v7 april 2026 17:11
Tuurlijk zijn ze er niet blij mee, maar dat is wat anders dan dat ze hun gedrag aanpassen. Mensen zijn ook niet blij met verkeersboetes, maar toch rijdt 80% strak te hard... (behalve bij de aangekondigde flitspaal)

Microsoft kan die boetes prima hebben, en als ze pas wat aanpassen na de 3e waarschuwing dan zijn ze nog op tijd, en kost het ze niks, maar hebben ze wel een jaartje of 2 winst gepakt hierop. Die paar miljoen die het ze kost aan advocaat-kosten merken ze niet eens op een omzet van 51 miljard aan puur hun cloud-afdeling.
Reageer
FearZ @david-v7 april 2026 16:21
Dat interesseert Microsoft niet zoveel dat we dat als opt-in willen.
Reageer
CAPSLOCK2000
@david-v7 april 2026 19:44
Prima dat die keuze er is, maar MS zou onderhand wel moeten weten dat we dit in de EU graag als opt-in willen en niet als standaard instelling!
Probleem is dat niemand dit vrijwillig aan gaat zetten.? Waarom zou je? Je hebt er geen enkel voordeel bij en loopt alleen maar extra risico. Betere performance krijg je er niet voor terug, wat je krijgt is immers contractueel vastgelegd. Vanuit de klant gezien moet MS maar meer servers kopen als ze lokaal niet genoeg performance hebben.
As MS betere performance of korting aanbiedt dan zouden er vast een hoop vrijwillig voor kiezen, maar niemand gaat een opt-in doen voor iets waar ze zelf niks aan hebben.
Reageer
david-v @CAPSLOCK20007 april 2026 19:48
Probleem is dat niemand dit vrijwillig aan gaat zetten.? Waarom zou je? Je hebt er geen enkel voordeel bij en loopt alleen maar extra risico.
Als je geen AVG data verwerkt, dan is het minder problematisch. Het voordeel is juist wel dat het sneller is, zeker als het drukker wordt. Ik merk dat met copilot ook. MS heeft er ook geen baat bij, behalve de load beter verdelen, waardoor het een betere ervaring is voor de gebruikers. Nu komt het over alsof ze dan wel je hele data kunnen gaan gebruiken omdat het buiten de EU staat, maar zo werkt dat niet.
Reageer
michelr @david-v7 april 2026 20:39
Belans tussen beschikbaarheid van de dienst en regelgeving. Je zou idd denken dat men binnen EU/EFTA reeds weet dat dingen uit moeten. Als het voor Anthropic als processor kan, dan zeker ook voor dit.
(gewijzigd, was even in de war met de Anthopic setting die in GDPR territory wel standaard uit staat)

[Reactie gewijzigd door michelr op 7 april 2026 20:43]

Reageer
david-v @michelr7 april 2026 20:44
Dat is dan ook het enige positieve, naar het probleem waar MS hiermee probeert op te lossen, ofwel het delen van AI load. Wat ik me afvraag is waarom ze het ook niet opt-in doen voor nieuwe tenants. Ik heb liever dicht, en open zetten indien nodig dan andersom.
Reageer
david-v @RielN7 april 2026 16:59
Voor de AVG wel. Het doemscenario dat de VS Den Haag mag binnenvallen om een Amerikaan te bevrijden of dat ze expliciet naar data van een persoon mogen vragen is bekend en gedocumenteerd. Persoonlijk denk ik dat ze veel meer data binnen krijgen via de Nederlandse inlichtingendienst, ook van data opgeslagen in oer Nederlandse datacenters.
Reageer
RielN @david-v7 april 2026 17:05
Op dit moment schrijft de GDPR dat niet voor maar stelt voorwaarden aan de doorgifte. En daar voldoet MS gewoon aan. Mijn punt is dat deze wijziging dus nergens invloed op heeft.
Reageer
batjes @david-v7 april 2026 19:50
Lijkt me dat de Amerikaanse inlichtingendiensten op dit moment hun spionage voor een groot deel via de LLM's doen. Schikbarend om te zien welke en hoeveel gegevens er door jan en alleman in dit soort LLM en op clouddiensten buiten onze controle danwel zonder enig fatsoenlijk overzicht verwerkt worden.

Israel is opvallend open over hun digitale oorlogsvoering en het is vanuit dat oogpunt donders indrukwekkend hoeveel ze in Iran zien c.q. weten zonder drones/satelieten. Een land dat al decennia lang strontje hun best doet pottenkijkers buiten te houden.

Het is pas sinds de LLM's dat ik me persoonlijk weer zorgen ben gaan maken om mijn privacy. De algoritmes omzeilen danwel foppen was eigenlijk best wel makkelijk. De LLM's kunnen verbanden leggen in datasets waar je u tegen zegt.
Reageer
david-v @batjes7 april 2026 19:59
Lijkt me dat de Amerikaanse inlichtingendiensten op dit moment hun spionage voor een groot deel via de LLM's doen. Schikbarend om te zien welke en hoeveel gegevens er door jan en alleman in dit soort LLM en op clouddiensten buiten onze controle danwel zonder enig fatsoenlijk overzicht verwerkt worden.
Dit gaat over zakelijk gebruik, daar zijn inlichtingendiensten minder in geïnteresseerd. Bedrijven zijn wel in elkaars gegevens geïnteresseerd als ze in dezelfde branche zitten, maar dat is een ander verhaal.
Reageer
batjes @david-v7 april 2026 20:18
De Amerikaanse inlichtingendiensten hoeven nog maar weinig moeite te doen nu er schikbarende hoeveelheden gevoelige data ze op een dienblaadje aangeboden wordt.

Bedrijfsspionage is heel wat groter dan militair spionage.
Reageer
david-v @batjes7 april 2026 20:26
Nogmaals, welke gevoelige data? Prompts?

Wat je hiermee zegt is feitelijk dat iedereen die bijvoorbeeld een iPhone gebruikt ook al zijn data direct met de Amerikaanse inlichtingendiensten deelt.

Ik deel sommige zorgen die iedereen hier ook heeft, maar dit is een vorm van bang makerij die echt onnodig is, maar dat is mijn persoonlijke mening.
Reageer
batjes @david-v7 april 2026 20:35
Praktisch, ja. De kracht van de massa was de grote hoeveelheden data waar inlichtingendiensten de capaciteit nooit voor hadden om door te filteren. Tweakers heeft hier in het verleden wel eens over bericht waarbij de AIVD doodleuk toegeeft compleet te verzuipen in de gigantische hoeveelheden data.

Laat dat probleem nou opgelost zijn met LLM's en het is niet alsof inlichtingendiensten nergens bij kunnen komen. Complete backbones worden al decennia lang gemirrored. Zal zeker niet de eerste danwel laatste keer zijn dat (nationale) bedrijven voorover bukken voor een overheidsbackdoor.

Toevallig is Apple niet zo lang geleden er nog op betrapt om echt *spuug* ik zweer per ongeluk mee te luisteren via Siri.

Vertrouwen is niet onterecht lager dan James Cameron het kan ophalen.
Reageer
GeroldM @david-v9 april 2026 21:06
Voor de AVG wel. Het doemscenario dat de VS Den Haag mag binnenvallen om een Amerikaan te bevrijden of dat ze expliciet naar data van een persoon mogen vragen is bekend en gedocumenteerd. Persoonlijk denk ik dat ze veel meer data binnen krijgen via de Nederlandse inlichtingendienst, ook van data opgeslagen in oer Nederlandse datacenters.
De VS mogen dat niet. Maar hebben wel aangegeven dit te zullen doen wanneer er een Amerikaanse staatsburger door het internationale strafhof word beschuldigt van oorlogsmisdaden.

Wat in mijn opzicht dan ook het elimineren van de beschuldigde en de personen die hem/haar komen ontzetten, de lichamen dan wel netjes aan te bieden aan de Amerikaanse Ambassade en deze genoeg tijd geven om zich uit Nederland te verwijderen. Dit om aggresief gedrag van de VS te voorkomen als de NL ambassade in de VS word ontmanteld.

Daarna zou ik gaan onderhandelen met de VS over het opheffen van militaire faciliteiten van de VS in Nederland en het verwijderen van hun militair personeel uit de gemeenschap.

Want welgesteld, de EU is heel belangrijk voor het functioneren van het VS leger over de gehele wereld. Veel VS soldaten die in Azie, Afrika, de EU, UK, wanneer deze gewond raken, worden eerst naar medische faciliteiten in de EU gevlogen. Dit zorgt ervoor dat hun soldaten een veel grotere overleveringskans hebben. En daardoor verliest het VS leger relatief weinig aan operationele kennis en kunde en gaan soldaten flink langer mee.

Verliest de VS hun faciliteiten binnen de EU, dan overleven veel minder soldaten hun verwondingen. Want eventjes terugvliegen naar de VS, dat duurt stukken langer en daardoor bezwijken soldaten. Niet alleen is dat een verlies van een soldaat, je bent dan ook meteen alle ervaring en kunde van die soldaat kwijt. En je dient als leger weer een boel geld te spenderen aan het opnieuw opleiden van soldaten/officieren.

Dat maakt een leger veel minder inzetbaar. Het Pentagon klaagt al jaren over het gebrek aan nieuwe rekruten die fysiek en mentaal sterk genoeg zijn, naast het slim genoeg zijn voor het huidige materieel waarmee zij moeten werken.
Reageer
Anthix 7 april 2026 16:26
Meteen even in onze eigen tenant bekeken. Wij hadden dezelfde melding in het admin center, maar onder een andere message ID.

Hoewel de opsomming hetzelfde blijft (Microsoft introduceert flex routing), stond flex routing by default uit. Verschilt dus per tenant, maar goed om even te controleren.
Reageer
YoMarK 7 april 2026 17:53
Voor de mensen die het zich afvragen....

Deze opzie zit in het MS365 beheersportaal (admin.microsoft.com). Daarna onder Copilot-->Settings. Bovenin "View all". Zoeken op "flex", de setting zelf heet "Flexible inferencing during peak load periods". "Do not alllow", tenzij prestaties belangrijker zijn voor je gebruikers/organisatie dan AVG, etc..
Reageer
Drardollan
7 april 2026 19:38
Ik snap dat ze willen offloaden vanuit de EU, we hebben simpelweg te weinig rekenkracht hier. Dat zal wel veranderen met de nieuwe datacenters die ze gaan bouwen, maar die zijn nog lang niet klaar. Denk dat er ook prima een deel van de vragen buiten de EU afgehandeld kan worden, maar als organisatie moet je dat wat mij betreft bewust aanzetten en niet uit hoeven zetten.

Ik heb net 1 van mijn tenants met Copilot gecontroleerd en ondanks dat die ruim voor maart 2026 is gemaakt stond het gewoon aan. Dus een waarschuwing voor anderen, vertrouw Microsoft hierin niet op de blauwe ogen!
Reageer
Alpha89 7 april 2026 18:12
Tenants met Multi-Geo krijgen deze optie trouwens niet.
Note that this setting will not be available for customers who have purchased multi-geo capabilities even if their tenant is listed as being in a country or region in the EU or EFTA. Customers can check their tenant’s country or region in the Microsoft 365 admin center.
Bron.
Reageer
SalesforceDude 7 april 2026 18:32
Ik ben een paar weken geleden op Ubuntu overgestapt. Ik krijg bijna dagelijks sterker het gevoel dat dit de juiste keuze was.
Reageer
SunnieNL @SalesforceDude7 april 2026 19:57
Want hoe helpt dat om jouw persoonsgegevens bv niet via een bedrijf via copilot in Amerika te laten processen?
Reageer
SalesforceDude @SunnieNL7 april 2026 20:06
Niet.. jammer genoeg.

Maar ik kan er wel voor kiezen om te weken op een systeem dat geen data van anderen deelt. Hypocriet, omdat ik daarnaast juist met Salesforce werk. I know. 8)7
Reageer
Chrisjuhh 7 april 2026 19:35
Dit artikel mist nog wel wat nuance en de helft van wat er in het message center bericht staat. Ook mis ik wederhoor bij Microsoft zelf wat de bedoeling en interpretatie is. Volgens mij een standaard practice bij goede journalistiek.

de meeste enterprise klanten in NL (en zeker public sector klanten) hebben deze instellingen standaard “uit” staan en werkt het dus als een opt-in variant. Daarmee kun je dus als organisatie zelf de keuze maken wat je belangrijk vindt.
Reageer
hermanbrood 7 april 2026 21:28
'Laten we in Europa de bouw van datacenters tegenhouden'.

Vervolgens huilen we dat onze eigen datacenters onze eigen AI vraag niet aan kunnen. Tja, als je zaait, zul je oogsten, EU.
Reageer

Om te kunnen reageren moet je ingelogd zijn