Dataverwerking Copilot voor Microsoft 365 gebeurt alsnog standaard binnen Europa

Microsoft komt terug op het besluit om dataverwerking voor Copilot bij hoge vraag standaard buiten Europese grenzen uit te voeren. Het bedrijf ging dat eind deze week instellen voor gebruikers van Microsoft 365. Beheerders konden hun organisaties hiervoor uitschrijven.

In plaats van de onlangs aangekondigde opt-out kiest Microsoft er nu toch voor om zakelijke gebruikers een opt-in aan te bieden. Na vragen van Tweakers bevestigt Microsoft dat gebruikers zelf kunnen kiezen voor 'flexroutering' van hun Copilot-data buiten Europa.

Dit geldt voor klanten in de publieke sector en het onderwijs en voor grootzakelijke klanten, antwoordt Microsoft. Beheerders en Tweakers-lezers merkten al op dat Microsoft 365-gebruikers nu de keuze krijgen.

Gevoelige gegevens

De dataverwerking voor Copilot kan naast prompts aan Microsofts AI-assistent ook gevoelige gegevens bevatten die nodig zijn voor de 'redenatie' van Copilot om gebruikers antwoorden te geven. Voorbeelden van zulke benodigde gegevens voor dit inferencing zijn organisatiedata, e-mails, bestanden en metadata.

Microsoft benadrukt dat het gaat om gepseudonimiseerde data, waardoor deze moeilijker te herleiden is naar specifieke personen. Ook voldoet het bedrijf 'volledig aan Europese wetten en regelgeving' en versleutelt het alle data tijdens het transport en in rust. "De verplichtingen voor gegevensresidentie en verwerking van Microsoft 365 blijven ongewijzigd", verklaart de Amerikaanse techreus.

De ingangsdatum van vrijdag 17 april blijft onveranderd. Microsoft biedt flexroutering aan als reactie op het intensieve gebruik van Microsoft 365 Copilot en Copilot Chat, Dynamics 365, Power Platform en Copilot Studio. De keuze om data van Copilot voor deze toepassingen buiten Europa te verwerken geldt voor bedrijven en organisaties in de Europese Unie. Ook is dit van toepassing op IJsland, Liechtenstein, Noorwegen en Zwitserland.

Copilot-dataverwerking opt-in, bericht aan 365-beheerder. Bron: Tweakers
Copilot-dataverwerking opt-in, bericht aan 365-beheerder. Bron: Tweakers

Door Jasper Bakker

Nieuwsredacteur

Feedback • 13-04-2026 12:00 37

13-04-2026 • 12:00

37

Lees meer

Microsoft wijzigt Copilot voor 365: dataverwerking kan ineens buiten EU gebeuren
Microsoft wijzigt Copilot voor 365: dataverwerking kan ineens buiten EU gebeuren Nieuws van 7 april 2026
GitHub gebruikt Copilot-code van ontwikkelaars om AI verder te trainen
GitHub gebruikt Copilot-code van ontwikkelaars om AI verder te trainen Nieuws van 26 maart 2026
Microsoft vervangt native Copilot in Windows 11 door webapp
Microsoft vervangt native Copilot in Windows 11 door webapp Nieuws van 18 maart 2026
Microsoft laat admins Copilot-app verwijderen van beheerde Windows 11-apparaten
Microsoft laat admins Copilot-app verwijderen van beheerde Windows 11-apparaten Nieuws van 12 januari 2026
Nuance: nee, Microsoft schrapt Office-naam nu niet ten gunste van Copilot
Nuance: nee, Microsoft schrapt Office-naam nu niet ten gunste van Copilot Nieuws van 6 januari 2026
Meer producten en artikelen
Netwerk en systeembeheer Architectuur Bedrijfsnieuws Marktontwikkelingen Politiek en recht Privacy CoPilot Microsoft Datacenter Digitale soevereiniteit Europa Europese unie Soevereine cloud

Reacties (37)

-Moderatie-faq
37
37
14
1
0
23
Wijzig sortering

Sorteer op:

Weergave:
tc982 13 april 2026 12:19
Het is een capaciteit dingetje. Binnen de zero trust architectuur van Microsoft Copilot for 365 wordt enkel en alleen de prompt buiten je eigen tenant gebracht. De semantic index licht bovenop (of onderop- het is maar hoe je bekijkt) de MS graph.

Als een gebruiker een prompt ingeeft wordt de semantic index gebruikt om de prompt uit te breiden met additionele informatie en wordt dan door een LLM gejaagd die BUITEN de tenant staat. Deze LLM antwoord maar het antwoord wordt niet opgeslagen (zie het als Dora van Finding Nemo).

Het antwoord gaat vervolgens nog eens door de semantic index en dan afgeleverd aan de gebruiker of applicatie die de prompt heeft geïnitieerd.

Eén van hun grootste problemen is capaciteit, dus hevelen ze de prompt over naar andere instances. Met de enterprise protection belofte was er gezegd dat deze nog steeds in de EU zou liggen, maar blijkbaar hebben ze daar ook capaciteitsproblemen en willen ze dat dus over de hele wereld kunnen doen.

ergens begrijpelijk, de prompt flowed naar hun servers over hun eigen intern network en komt niet het internet op. Toch is het een probleem voor velen omdat niemand zin heeft om alle regio’s in kaart te brengen en te controleren dat deze ‘evengoed’ met GDPR en andere persoonsgegevens kunnen omgaan. Vandaar de hetze.

De vraag is dan ook, als ze dit doen, nu naar Amerika, wat als ze daar ook op capaciteit zitten, wordt de data dan gestuurd naar UAE datacenters?

Het was één van de primaire beloftes die ze gedaan hadden: een LLM die zich gedraagt zoals de huidige voorwaarden - geen verandering - geen legal team nodig om alles na te zien. Als je tenant correct geavalueerd was door het legal team, kon je zonder schroom gebruik maken va CoPilot.

Daarop terugkomen is voor velen een verbreking van die belofte.
Reageer
batjes
13 april 2026 12:04
Toch raar dat hier meer ophef over is dan Copilot Chat/Copilot for Office?

Dit bleef binnen de EEC, IJsland en Noorwegen "horen gewoon bij ons". Ondertussen loopt Microsoft te koop met ISO certificeringen, maar voert wel doodleuk alle data uit copilot.microsoft.com en m365.cloud.microsoft.com/chat weer terug in de LLM en deze data gaat ook doodleuk de EU uit.

}:O
Reageer
tc982 @batjes13 april 2026 12:21
ISO heeft iets te zeggen over HOE je de data opslaat en niet waar. Je kan perfect een rnrisico analyse draaien en bepalen dat je de US gelijk stelt met de EU in data-opslag.


Dat het commercieel een goede zet is, dat laat ik dan weer in het midden. De geopolitieke situatie geeft een ongekende wantrouwen aan de VS vanuit de consument.
Reageer
batjes
@tc98213 april 2026 13:23
Ten dele zeker wel. Want het lukt Microsoft met Copilot Studio, Copilot for Security, Copilot for Support en Copilot for Sales wel om van de juiste certificeringen voorzien te zijn.

Uit persoonlijk contact met Microsoft kwam naar voren dat ze die certificering voor Chat en Office niet nog niet kunnen krijgen omdat ze zelf niet kunnen garanderen dat die data niet o.a. voor modeltraining gebruikt wordt.

Maar geen zorgen, Copilot is niet de enige, de meeste LLM modellen wordt door jan en alleman voorzien van bedrijfsgeheimen en gevoelige persoonsgegevens. \o/ Er is daar wat mij betreft echt veel te weinig ophef over. Terwijl deze filler-aflevering wel de nodige aandacht krijgt.
Reageer
david-v @batjes13 april 2026 14:45
Maar geen zorgen, Copilot is niet de enige, de meeste LLM modellen wordt door jan en alleman voorzien van bedrijfsgeheimen en gevoelige persoonsgegevens
Wij krijgen dat met regelmaat toch echt (online) cursussen voor die je verplicht moet volgen. Al een jaar zitten daar modules bij voor het gebruik van LLM. Niet alleen een LLM is een potentieel lek van gegevens maar ook allerlei online diensten, zoekmachines, vertalers enz. Persoonsgegevens delen buiten de organisatie is hoe dan ook taboe, ook binnen de organisatie mag je persoonsgegevens niet zomaar onderling delen.

Met andere woorden, er wordt veel gedaan om precies te voorkomen wat jij zegt. Of dat bij elk bedrijf of organisatie zo is, weet ik niet, maar bij ons n=1 in ieder geval niet.

Het gebruik van LLMs buiten de contractuele afspraken van het bedrijf is overigens niet toegestaan. Chatgpt is bijvoorbeeld niet toegestaan en wordt ook geblokkeerd.
Reageer
HummerHealey @david-v13 april 2026 23:08
Daarom draai ik m’n LLM lokaal, afgesloten van internet.
Reageer
Quintiemero @batjes13 april 2026 12:48
Dan heb je een verkeerd begrip van ISO. De ISO is geen AVG-certificaat. Dus het dekt de lading totaal niet.
Reageer
batjes
@Quintiemero13 april 2026 13:28
Er zijn meer certificeringen afhankelijk van wat je precies wel of niet doet en ze zijn niet vereist om te voldoen aan de AVG. Maar in de praktijk is minimaal 27001 wel een beetje verplicht wanneer je potentieel met persoonsgegevens in aanraking komt.
Reageer
Quintiemero @batjes13 april 2026 13:39
Ja en nee. Naar mijn mening wordt de ISO te belangrijk gemaakt. Het zegt iets over dat je processen in place hebt voor je beveiliging. Niet dat je daadwerkelijk voldoet en al helemaal niet of je aan de AVG voldoet.

[Reactie gewijzigd door Quintiemero op 13 april 2026 13:39]

Reageer
batjes
@Quintiemero13 april 2026 13:51
ISO is naar mijn gevoel ook vaak een wassen neus, is maar net hoeveel waarde het bedrijf er zelf aan hecht. Dat enkele dagje per jaar clean desk policy, gesloten kasten en gelockte schermen vanwege aangekondigt bezoek zet geen echte zolen aan de dijk.

Wat belangrijker is, dat ISO wel vereist dat je aantoonbaar 'je best moet doen'. Dat je documenteerd wanneer je wat verdachts vind, je aan procesverbetering doet, je personeel digitaal opgevoedt, dat je laat zien dat je met veiligheid bezig bent. De 27001 audit beoordeeld dit namelijk ook.

Laat de AVG en het AP vooral dat tweede aspect erg belangrijk vinden. Je dekt jezelf als bedrijf in met zo'n certificering wanneer je alsnog gehackt wordt en gegevens komen op straat te liggen.
Reageer
Quintiemero @batjes13 april 2026 13:55
Dat is waar! Ik erger me wel aan hoeveel organisaties denken, oh ze zijn ISO-gecertificeerd dus zij en wij zijn AVG-compliant. Mijn grootste ergenis. Hoerah, je dekt 4 van de 50 artikelen van de AVG (beveiliging en procedure meldplicht datalekken)
Reageer
batjes
@Quintiemero13 april 2026 14:07
Daar heb je ook helemaal gelijk in. Het is er 1 van vele, ook weer afhankelijk van wat je precies doet.
Reageer
Noxious @batjes13 april 2026 12:53
Linksom of rechtsom maakt het toch niet uit waar de data echt staat voor mijn gevoel; het valt allemaal hoe dan ook onder de Cloud Act.
Reageer
bzuidgeest
@Noxious13 april 2026 15:18
Daarom heeft Amazon het ook anders gedaan dan Microsoft. Zo ik het begrijp hebben ze hun AWS software in licentie gegeven aan een 100% duits bedrijf waar niemand van amazon over de vloer komt. Ze krijgen geld van dat bedrijf, maar dat is alles. Amerikaanse cloud software 100% in de EU geinstallaleerd en beheerd. Geen cloud act die eraan komt.

Maar goed, beter is nog steeds iets lokaal ontwikkelds.
Reageer
willieverhoef @bzuidgeest13 april 2026 16:29
Dit heeft Microsoft enkele jaren geleden ook gedaan en duitsland met T-mobile, maar ze zijn gestopt omdat er te weinig interesse / winst was. Het ook veel beperkingen zoals ook de overheidcloud in de VS, het is echt een andere cloud, en dus vaak net even anders te bereiken.
Reageer
bzuidgeest
@willieverhoef13 april 2026 16:31
Het is altijd mogelijk dat Amazon er beter over nagedacht heeft. In hun berichtgeving adresseren ze specifiek de vaak geobserveerde te kortkomingen van Microsofts huidige opzet.
Reageer
willieverhoef @bzuidgeest13 april 2026 18:41
In ieder geval geen office applicatie welke met gestandaardiseerde url's werkt. Voor een klant server heb je daar natuurlijk geen last van. Wel voor de beheerder en logging/monitor omgeving. Die je dus ook niet centraal zou willen hebben.
Reageer
magician2000 @bzuidgeest13 april 2026 22:56
En diezelfde cloud act geld nog steeds voor dit 'bedrijf'. Het blijft enorm dom om van dat soort organisaties gebruik te maken. Een shitshow die je jaren geleden al aan had kunnen zien komen, mits je de ogen open had gehad.
Reageer
Blokker_1999
@batjes13 april 2026 12:12
Het punt is dus net dat met flex routing deze data niet langer binnen Europa bleef, maar dat interferencing ook buiten Europa kon gebeuren.

Over de gewone Copilot heb je als onderneming sinds het begin ook gewoon controle. Je kan je data beter beschermen als je dat aanzet, of je kan hem gewoon volledig blokkeren. En als bedrijf kan je perfect voorkomen dat ook de gewone Copilot zichzelf gaat trainen op de data die je gebruikers voeden aan dat systeem, zo lang ze maar aangemeld zijn met een bedrijfsaccount.
Reageer
Llopigat
@Blokker_199913 april 2026 22:40
Over de gewone Copilot heb je als onderneming sinds het begin ook gewoon controle.
Hm ja en nee. Ik heb er vanaf het begin mee gewerkt aan de admin kant en het is meerdere malen voorgekomen dat er gewoon iets qua functie in gepleurd wordt en standaard aan gezet wordt.

Het ergste voorbeeld was vorig jaar: Toen kwamen ze opeens met een 'gratis trial' voor onze medewerkers van Sharepoint Copilot Agents. Dat wilden wij helemaal niet toestaan, maar er werd doodleuk een nieuw vinkje in de admin interface gepleurd en standaard op aan gezet. Tegen de tijd dat we dat uitgezet hadden (duurt even want we hebben het zo afgeschermd dat maar een paar mensen daar bij kunnen), hadden mensen dat al zitten gebruiken en waren kwaad omdat hun bouwsels niet meer werken. Ten eerste willen we niet dat ze dingen voor onze medewerkers aan zetten en ten tweede is het absoluut niet de bedoeling dat mensen op eigen houtje trial overeenkomsten kunnen gaan accepteren :( Daar was ook een vinkje voor en dat stond uit maar er werd gewoon een nieuw vinkje bij gezet. Maar Microsoft is zo ongelofelijk hyper op het verkopen van copilot dat ze nergens anders meer om geven.

Een ander probleem is dat ze vaak opeens dingen veranderen waardoor de onderbouwing van onze privacy en security reviews (DPIA) onder water komt te staan.

En weer iets anders: De "gratis" versie van copilot (copilot chat, wat nu basic gaat heten), zou functies krijgen in MS Office die eerst alleen aan de premium (ofwel copilot zonder chat) versie verbonden zaten. Dat werd met veel bombarie aangekondigd maar wordt nu weer per 15 april afgeschaft. Oh en natuurlijk alles compleet van naam veranderen elke paar maanden.

[Reactie gewijzigd door Llopigat op 13 april 2026 22:47]

Reageer
Zebby @batjes13 april 2026 13:02
En daarom maakt het geen ruk uit allemaal. AI gaat om zo veel nullen dat alle boetes niet boeiend zijn. En MS is Amerikaans, die zich aan geen wet meer hoeft te houden, dus alle data is gewoon van Amerika.
Reageer
Jefrey Lijffijt @batjes13 april 2026 14:56
Nee Copilot Chat/Copilot for Office draait toch evengoed volledig binnen de EU zolang je de GPT modellen gebruikt? Dit is precies wat ze beloven zolang je ingelogd bent via een Microsoft 365 enterprise licentie.
Reageer
r_acker @batjes13 april 2026 18:01
Graag een bron voor je uitspraak dat copilot data terugvoert naar Amerika en/llm.

Deze misinformatie is erg hardnekkig hier, dus ik zie graag een officiële bron tegemoet.
Reageer
HummerHealey @batjes13 april 2026 23:07
Voor de cloud act maakt het allemaal niet uit. Wanneer de Amerikaanse overheid de gegevens op vraagt maakt het niet uit waar gegevens staan of verwerkt wordt.
Reageer
Blokker_1999
13 april 2026 12:07
Het lijkt toch echt afhankelijk van je organisatie te zijn. Zelf zie ik bij ons nog altijd MC1269223 als enige bericht rondom flex routing staan en hier staat in:
Flex routing is enabled by default for your tenant, and you remain in control – you can review or change this setting at any time in the Microsoft 365 admin center.
Mooi dat er organisaties zijn waar het wel uit staat, maar dat doet je wel de vraag stellen: waarom bij de ene wel en de andere niet?

Aan alle beheerders blijft dan ook de aanbeveling: kijk de instelling na als je niet wenst dat flex routing kan aanstaan!
Reageer
himlims_ @Blokker_199913 april 2026 12:27
Is juist dat niet het verschil tussen Windows v/s Linux:
Windows staan de meeste instellingen vaak open en aan, en moet je dat dicht zetten. Linux staan veel default instellingen uit, en moet je dat zelf aan zetten.
Althans dat is mijn beleving.

Ook hele “marketing” geneuzel over cloud; “dat is veilig(er) dan in-prem” nope - moet nog steeds zelf de hardening toepassen.

Filosofisch afwijkend tussen die twee visies (besturing systemen)
Reageer
pietvelleman @himlims_13 april 2026 13:44
Windows - out of the box - een verse installatie... draait een firewall en virusscanner en staat direct aan en krijgt updates...

Op een standaard Ubuntu machine staat de firewall uit en draait geen virusscanner...

Dus ik weet niet precies met wat je bedoelt met 'open en aan'....
Reageer
himlims_ @pietvelleman13 april 2026 14:46
Dat ligt aan desktop/distro, wat ik bedoel in generieke zin, bij een service of dienst; met Linux de meeste features vanuit een config file moet activeren of instellen. En bij Windows een venster de met vergelijkbare featureset checkboxes gaat uitzetten. (Want standaard veelal aan, en dat is juist een van de issues bij de situatie uit artikel; had niet gehoeven als opt-in was. Via hardening had je een optie kunnen uitzetten wat hoofdpijn voorkomt)
Reageer
krietjur 13 april 2026 12:04
Zetten ze het dan ook weer overal uit waar het aan staat? Ik heb het nooit zelf aangezet, maar staat wel degelijk aan in mijn tenant..
Reageer
Chromebooks.nl 13 april 2026 12:15
Volgens de patriot act maakt het niet uit waar de servers staan; Amerikaanse bedrijven moeten altijd meewerken om inzage in data te geven. Waarom is het dan voor Europa zo belangrijk; Zodat we zelf makkelijk bij de data kunnen of is het puur voor de optiek?
Reageer
Pasteis @Chromebooks.nl13 april 2026 12:29
Volgens de patriot act maakt het niet uit waar de servers staan; Amerikaanse bedrijven moeten altijd meewerken om inzage in data te geven. Waarom is het dan voor Europa zo belangrijk; Zodat we zelf makkelijk bij de data kunnen of is het puur voor de optiek?
Ik denk met name het laatste. De drempel is lager en de Patriot act zal niet voor het minste geringste gebruikt worden. Als ik me niet vergist publiceert Microsoft ook welke aanvragen zijn geweest tot inzage? Je zal dus als gemiddeld bedrijf zonder conflict met de VS veilig zijn. Maar alsnog. Ikzelf ben erg wantrouwend in de belofte die MS doet met dat alles veilig is.

Los van het feit... ik zie om mij heen dat bedrijven erg makkelijk Co-Pilot en hun gebruikersvoorwaarden vertrouwen en gebruiken binnen hun bedrijf. Zeker bij enterprise/corporates terwijl ik me juist daar meer zorgen zou maken als grootbedrijf dan mkb.
Reageer
Honytawk @Chromebooks.nl13 april 2026 12:30
Zodat wij de stekker er uit kunnen trekken als dit nodig lijkt.
Zelfs de patriot act gaat er dan niets meer mee kunnen doen.

En dat we bedrijven kunnen forceren om te investeren in onze infrastructuur.
Reageer
david-v @Chromebooks.nl13 april 2026 12:37
Het heeft te maken met de regels die opgesteld zijn binnen de EU. Voornamelijk persoonsgegevens kunnen het beste binnen de EU opgeslagen worden of in een land met passende beschermingsniveau. Dat zijn Noorwegen, Lichtenstein en IJsland, waarbij je aan bepaalde criteria moet voldoen.

Als je alles bij elkaar neemt heb je een kluwel aan wetgeving, afspraken en "acts" waar je echt niet zo goed met weet hoe het allemaal zit.
Reageer
Mit-46 @Chromebooks.nl13 april 2026 12:52
Volgens mij maakt het allemaal niet uit, maar ik kan het mis hebben.

Er moet altijd een rechter aan te pas komen dus wat ik ervan begrijp is er helemaal geen verschil met de EU.

Ook onze overheden kunnen om data vragen en ook daar moet een rechter aan te pas komen.

Wij hebben de Data act en zij hebben de Patriot Act.
Nu zijn er ongetwijfeld (grote) verschillen tussen beide, maar volgens mij geldt voor beide dat wanneer overheidsinstanties data willen vorderen dit via een rechter moet lopen.

Als ik het mis heb zou het fijn zijn als iemand het kan verhelderen! :)
Reageer
willieverhoef @Mit-4613 april 2026 16:39
Ook in Nederland moet alles via de rechter, maar wel met uitzonderingen, zoals de AIVD en MIVD. En deze aanvragen hoeven ook niet gemeld te worden, en zijn dus ook niet te controleren.
Voor deze is er een instantie de commisie stiekem, maak ja ook die moeten het doen met de informatie die het krijgt, en mag er verder niet over communiceren.......
Reageer
david-v 13 april 2026 12:40
Gelukkig, het eerste wat ik had aangegeven toen dit bekend werd is waarom het in hemelsnaam opt-out moest zijn. Als je als bedrijf betere performance wilt dan is het een keuze om dit aan te zetten. Opt-in lijkt me dan de juiste keuze hierin.
Reageer
Alpha89 13 april 2026 12:45
Voor diegene wat een Multi-Geo Tenant hebben waarbij EU de hoofdlocatie is:
Note that this setting will not be available for customers who have purchased multi-geo capabilities even if their tenant is listed as being in a country or region in the EU or EFTA. Customers can check their tenant’s country or region in the Microsoft 365 admin center.
Bron: https://learn.microsoft.com/en-us/microsoft-365/copilot/copilot-flex-routing#eligibility

[Reactie gewijzigd door Alpha89 op 13 april 2026 12:46]

Reageer

Om te kunnen reageren moet je ingelogd zijn