Microsoft 365 Copilot: dataverwerking buiten de EU staat vanaf 17 april standaard aan

Op 17 april 2026 verandert Microsoft stilletjes een instelling die directe gevolgen heeft voor elke juridische organisatie die Microsoft 365 Copilot gebruikt. Vanaf die datum mag Copilot data van EU-klanten tijdens piekmomenten verwerken buiten de EU Data Boundary. De functie heet flexroutering, en ze staat voor veel tenants standaard aan.

Voor juridische teams is dit geen technische voetnoot. Het raakt de kern van wat je tegenover cliënten, toezichthouders en interne compliance hebt toegezegd over gegevensverwerking.

Wat verandert er precies

Flexroutering laat Microsoft de zogeheten LLM-inferencing (het moment waarop het taalmodel een prompt omzet in een antwoord) uitwijken naar datacenters buiten de EU zodra de Europese capaciteit onder druk staat. De mogelijke bestemmingen zijn volgens berichtgeving van Cybernews onder meer de Verenigde Staten, Canada en Australië.

Microsoft legt in haar eigen documentatie uit dat data tijdens transport en in rust versleuteld blijft. Data-at-rest blijft in principe binnen de EU Data Boundary, met uitzondering van beperkte gepseudonimiseerde data die om operationele redenen buiten de grens kan worden opgeslagen. Dat klinkt geruststellend, maar het verschuift wel iets fundamenteels: de belofte dat EU-data binnen de EU blijft, geldt voor de inferencing-stap niet meer onvoorwaardelijk.

Microsoft kondigde de wijziging aan in bericht MC1269223 aan beheerders. De instelling staat standaard aan voor nieuwe tenants die zijn aangemaakt na 25 maart 2026. Voor bestaande tenants die onder het nieuwe beleid vallen, moeten beheerders het Berichtencentrum van Microsoft 365 raadplegen om hun eigen standaardinstelling te controleren. Organisaties die Multi-Geo-capaciteit hebben gekocht, zien de instelling niet, zoals Office 365 for IT Pros toelicht.

Waarom dit juridisch relevant is

De EU Data Boundary is geen marketingterm. Veel juridische organisaties hebben hun keuze voor Microsoft 365 mede gebaseerd op de toezegging dat klantdata binnen de Europese grenzen blijft. Die toezegging zit verweven in DPIA's, verwerkersovereenkomsten en interne beleidsstukken.

Flexroutering zet die keuze onder druk op drie niveaus.

Ten eerste de AVG. Zodra data buiten de EU wordt verwerkt, geldt hoofdstuk V van de verordening. Dat betekent beoordeling van de ontvangende jurisdictie, transfer impact assessments en onderbouwing waarom doorgifte rechtmatig is. Het Schrems II-arrest van het Hof van Justitie en de opvolgende guidance van de EDPB maken duidelijk dat die beoordeling geen formaliteit is.

Ten tweede sectorale regelgeving. Voor financiële instellingen geldt DORA, voor essentiële en belangrijke entiteiten NIS2, en voor advocaten geldt daarnaast het beroepsgeheim en de geheimhoudingsplicht uit de Advocatenwet. Een tool die op onvoorspelbare momenten buiten de EU rekent, maakt het lastig om aan die normen aantoonbaar te voldoen.

Ten derde aanbestedingsrechtelijke en contractuele afspraken. Publieke opdrachtgevers en grote cliënten eisen steeds vaker expliciet dat verwerking binnen de EU plaatsvindt. Wie die belofte heeft afgegeven en de standaardinstelling van Microsoft niet wijzigt, loopt het risico die toezegging stilzwijgend te schenden.

Het probleem van de stilzwijgende opt-out

Wat deze wijziging pijnlijk maakt, is de keuze voor opt-out in plaats van opt-in. Het Substack-blog Copilot & AI at Work wijst erop dat Microsoft eerder juist wel koos voor opt-in bij EU-klanten, bijvoorbeeld toen Anthropic-modellen als subverwerker werden toegevoegd. Die voorzichtigheid lijkt te zijn verlaten.

Voor juridische teams betekent dit dat het niet volstaat om "niets te doen". Wie de instelling niet actief controleert en zo nodig uitschakelt, stemt feitelijk in met verwerking buiten de EU tijdens piekmomenten. En juist omdat die piekmomenten onvoorspelbaar zijn, is het achteraf vrijwel onmogelijk om aan een cliënt of toezichthouder te demonstreren dat specifieke gegevens op een bepaald moment binnen de EU zijn verwerkt. Changepilot vat het kernachtig samen: als flexroutering aan staat en je hebt het niet gereviewd, is het eerlijke antwoord op die vraag "niet eenvoudig".

Wat teams nu moeten doen

De operationele stap is simpel. In het Microsoft 365-beheercentrum onder Copilot → Settings → Flexible inferencing during peak load periods kan een beheerder met de rol AI Administrator de optie "Do not allow flex routing" selecteren. Microsoft bevestigt dat wijzigingen binnen een week worden doorgevoerd.

De juridische stap is complexer. Ga na welke toezeggingen je organisatie heeft gedaan over dataverwerking binnen de EU: in DPIA's, in contracten met cliënten, in antwoorden op aanbestedingsvragen en in intern beleid. Toets of de standaardinstelling van Microsoft daarmee verenigbaar is. Leg de afweging vast. Als je flexroutering wilt toestaan, documenteer dan waarom dat in jouw context aanvaardbaar is en welke aanvullende waarborgen gelden. Als je het wilt uitschakelen, doe dat vóór 17 april en informeer de business over de mogelijke gevolgen voor de beschikbaarheid van Copilot tijdens piekuren.

En breder: deze wijziging is een signaal. Cloudleveranciers passen de spelregels aan via berichten in admin-centra die vaak niet het bureau van de juridische afdeling bereiken. Een structurele oplossing vraagt om een proces waarin compliance, IT en legal dit soort mededelingen gezamenlijk beoordelen voordat een deadline verstrijkt.

Waar dit voor staat

Flexroutering zelf is niet het echte probleem. Het echte probleem is dat een toezegging over dataverwerking binnen de EU stilzwijgend wordt versoepeld via een toggle die standaard aan staat. Voor juridische teams die AI serieus willen inzetten, is dit het moment om te bewijzen dat governance niet achter de technologie aanloopt, maar ervoor staat.

Wil je weten hoe je jouw AI-governance zo inricht dat je dit soort wijzigingen niet mist? Plan een gesprek.