Pas op voor Flex routing in Microsoft Copilot

Microsoft Copilot verwerkt data buiten de EU zonder dat veel organisaties dit weten

Microsoft Copilot zit inmiddels diep in Microsoft 365. Denk aan integraties met Teams, Outlook, Word en Excel. Voor veel organisaties is het daarmee de standaard AI geworden, zonder dat daar altijd een expliciete keuze aan vooraf ging.

Sinds 17 april 2026 is er iets veranderd dat direct impact heeft op data en compliance.

Flex Routing staat standaard aan

Microsoft heeft stilletjes een functie toegevoegd: Flex Routing.
Tijdens piekbelasting mogen Copilot-verzoeken buiten de EU worden verwerkt, in datacenters in de VS, Canada of Australië.

Het gaat hierbij niet alleen om technische metadata.
Binnen de zogeheten RAG-verwerking worden ook inhoudelijke gegevens gebruikt, zoals:

  • e-mails
  • documenten
  • kalenderdata
  • prompts van gebruikers

Deze informatie kan dus tijdelijk buiten de EU worden verwerkt.

Belangrijk detail: deze functie staat standaard aan. Je moet hem zelf uitzetten.

Waarom dit risico’s oplevert

Veel prompts bevatten gevoelige informatie. Denk aan:

  • samenvattingen van HR-gesprekken
  • analyses van contracten
  • financiële vraagstukken

Zodra deze verwerking buiten de EU plaatsvindt, valt die onder andere wetgeving. Bijvoorbeeld de CLOUD Act in de Verenigde Staten.

Dat leidt tot concrete uitdagingen:

  • AVG: je moet kunnen aantonen waar en hoe data is verwerkt
  • EU AI Act: extra eisen rondom transparantie en documentatie bij gebruik in gevoelige domeinen

Met dynamische routing wordt dat een stuk lastiger.

Wat je direct kunt doen

Controleer de instellingen in het admin center van Microsoft 365:

  • Ga naar Copilot instellingen
  • Zoek naar “Flexibele inferencing tijdens piekbelastingsperiodes”
  • Zet deze op “Niet toestaan”

Dit is een eerste stap om grip te houden op waar je data wordt verwerkt.

Een bredere vraag

De kern zit dieper dan één instelling.

Wil je een AI-oplossing die bij drukte automatisch data buiten je eigen regio verwerkt?
Of kies je voor een aanpak waarbij data het netwerk niet verlaat?

Steeds meer organisaties kijken daarom naar lokale AI-oplossingen.
Daar blijven prompts, data en output binnen de eigen infrastructuur. Zonder afhankelijkheid van derde landen of externe wetgeving.

Hoe ga jij hiermee om?

Heb je Flex Routing al gecontroleerd?
En is duidelijk waar jouw Copilot-data wordt verwerkt?

Ga voor lokaal!

Met lokale AI houd je volledige controle over je data en verwerking. Alles blijft binnen je eigen infrastructuur, zonder afhankelijkheid van externe datacenters of wisselende jurisdicties. Dat maakt het eenvoudiger om te voldoen aan AVG en interne compliance eisen. Je voorkomt dat gevoelige prompts of documenten buiten je zicht worden verwerkt. En je bouwt een AI fundering die past bij organisaties waar controle en continuiteit voorop staan.

Ontdek Silent AI

Schrijf in voor tips en info

Wij schrijven regelmatig blogs over actuele onderwerpen uit de wereld van digitale opslagtechnologie. Meld je hier aan om over nieuwe blogs geïnformeerd te worden.