Microsoft Copilot Flex routing: hold jer inden for EU
Copilot kan nu behandle jeres prompts uden for EU, når Microsoft rammer spidsbelastning. Det kan kollidere med jeres krav til data residency, GDPR og revisionsspor. Her får I en konkret måde at beslutte “til” eller “fra” på, og hvordan I dokumenterer valget.
- Find jeres risikoniveau: Kortlæg hvilke teams der bruger Copilot til persondata, kundedata eller fortrolige kontrakter—og beslút om EU-processering er et krav.
- Skil “data at rest” fra inferencing: Data kan blive lagret i EU, men LLM inferencing (selve prompt-behandlingen) kan ske uden for EU ved peak load.
- Træf et bevidst valg i admin center: Tjek indstillingen for Microsoft 365 flexible inferencing og dokumentér jeres beslutning til audit.
- Undgå policy-huller: Opdatér jeres AI-politik med regler for, hvilke datatyper brugere må sende til Copilot.
- Test brugeroplevelsen: Hvis I slår Flex routing fra, mål Copilot-svartider i spidsbelastning og tilpas support/forventninger.
Hvad er Microsoft Copilot Flex routing – og hvorfor kom det nu?
Microsoft har udrullet Flex routing til EU- og EFTA-tenants fra 17. april 2026. Formålet er at holde Copilot responsiv, når der er høj belastning. Mekanismen betyder, at Microsoft i perioder kan rute LLM inferencing til kapacitet uden for EU, selvom jeres Microsoft 365-data fortsat ligger i EU som udgangspunkt.
Kort sagt: I kan få bedre svartider, men I kan også få et nyt compliance-spørgsmål, som ledelsen skal tage stilling til og kunne forklare ved en audit. (Kilder: Microsoft Learn om Flex routing; MC-omtale i mediedækning; teknisk gennemgang hos Office365ITPros.)
Sender Copilot data ud af EU – hvad er det præcist, der flytter sig?
Det centrale er forskellen mellem:
- Data at rest: Indhold, der er lagret i jeres tenant (fx filer i SharePoint/OneDrive).
- Inferencing: Behandlingen af jeres prompt og kontekst for at generere et svar.
Flex routing handler om inferencing. Ifølge Microsofts dokumentation kan behandlingen under spidsbelastning ske uden for EU. Microsoft beskriver samtidig, at data krypteres i transit, og at der ikke er tale om permanent lagring uden for EU som del af denne routing. (Kilder: Microsoft Learn; Microsoft Privacy om data transfers; kontekst om EU Data Boundary på Microsofts blog.)
Beslutningsregel: Hvis jeres interne krav siger “al behandling i EU”, så er Flex routing en undtagelse, I aktivt skal håndtere—uanset at data at rest er i EU.
Hvordan vælger I mellem performance og compliance?
I praksis er det et valg mellem brugeroplevelse og strengere data residency. Brug nedenstående matrix til at beslutte, om I skal slå flex routing fra Copilot (opt-out) eller lade det være slået til.
| Kriterium | Vælg EU-only (slå Flex routing fra) | Vælg Flex routing (behold til) |
|---|---|---|
| Data-typer i prompts | Persondata, kundesager, helbreds-/HR-data, kontrakter, pris-/udbudsmateriale | Generel viden, skabeloner, ikke-fortrolige tekster, interne procesbeskrivelser uden følsomme detaljer |
| Krav fra kunder/kontrakter | Kontraktkrav om EU-data residency / “processing in EU” | Ingen eksplicitte residency-krav, eller krav kan opfyldes via passende overførselsgrundlag |
| Regulatorisk profil | Høj compliance-eksponering (fx NIS2-supply chain fokus, ISO 27001 med stram kontrol af behandling) | Lav/moderat eksponering, og I kan dokumentere risikovurdering + kontroller |
| Forretningens tolerance for forsinkelse | I kan leve med, at Copilot kan blive langsommere ved peak load | I har stærkt behov for stabile svartider (fx kundevendte flows i Power Platform/Copilot Studio) |
| Styring | I vil håndhæve streng AI-politik + segmenteret adgang + tydelig logning | I har moden governance og kan bruge Flex routing med klare brugeregler og løbende kontrol |
Praktisk anbefaling til de fleste SMB’er: Start med EU-only for afdelinger med følsomme data (HR, Finance, Legal, kundeservice med sager). Overvej Flex routing i afdelinger med lavere data-risiko, hvis I kan håndhæve en AI-politik og acceptere den juridiske vurdering.
Før → Efter (1):
Før: Copilot bruges frit i hele organisationen, og prompts kan indeholde kundesager “for at spare tid”.
Efter: I segmenterer Copilot-brug (fx via grupper/politikker) og indfører en “rød liste” over datatyper, der ikke må ind i prompts—det reducerer risikoen for utilsigtet dataoverførsel og gør jeres compliance-argumentation enkel.
Sådan slår I Flex routing fra (og dokumenterer det til audit)
Flex routing kan slås fra i Microsoft 365 Admin Center via indstillingen for Flexible inferencing during peak load periods. Flere tekniske gennemgange peger på, at indstillingen også berører Copilot-brug på tværs af Microsoft 365 og Power Platform. (Kilder: Mindcore Techblog; erik365.blog; Microsoft Learn.)
Tjekliste: det I skal have på plads samme dag
- Find indstillingen: Gå i M365 Admin Center og lokaliser “Flexible inferencing during peak load periods”. Tag et screenshot til jeres change-log.
- Beslut scope: Gælder jeres krav hele virksomheden eller kun udvalgte funktioner? Skriv beslutningen i jeres sikkerhedspolitik/AI-politik.
- Opdatér risikovurdering: Notér hvorfor I vælger til/fra, hvilke datatyper der er relevante, og hvem der har godkendt (IT + ledelse).
- Kommunikér til brugere: Hvis EU-only vælges, forventningsafstem: Copilot kan være langsommere ved peak load.
- Plan for kontrol: Aftal kvartalsvis review: står indstillingen korrekt, og overholder teams prompt-reglerne?
Før → Efter (2):
Før: Indstillinger ændres ad hoc, og ingen kan svare på “hvornår og hvorfor” ved en audit.
Efter: I kører change-styring på Copilot-indstillinger (beslutning, screenshot, ansvarlig, dato) og kan dokumentere compliance på 5 minutter.
Vil I have et hurtigt Copilot- og compliance-tjek?
Vi kan gennemgå jeres tenant for Microsoft Copilot Flex routing, data residency-krav, oversharing og governance—og levere en kort beslutningsnote til ledelsen. Start via /kontakt.
Tjekliste: Opdatér jeres AI-politik, så den matcher LLM inferencing
Flex routing gør det nødvendigt at skrive jeres AI-regler mere konkret. Brug denne mini-politik som skabelon og tilpas den til jeres branche.
| Politikpunkt | Hvad I skriver | Hvad I kontrollerer |
|---|---|---|
| Rød liste (forbudte data) | CPR, helbredsoplysninger, disciplinærsager, kundesager med identifikatorer, bank-/kortdata, fortrolige prisbilag | Stikprøver i udvalgte teams + træning ved afvigelser |
| Gul liste (kræver anonymisering) | Kundeservice-tekster, e-mails, tickets, kontraktudkast | Tjek at prompts bruger anonymisering (navne → roller, sagsnr. → dummy) |
| Godkendte use-cases | Opsummering af møder uden følsomme detaljer, kladde til interne notater, forbedring af sproglig kvalitet | Brugsvejledning i Teams/SharePoint + “do/don’t”-eksempler |
| Data residency-krav | EU-only for udvalgte funktioner, eller begrundet accept af Flex routing | Kvartalsvis check af admin-indstillingen + change-log |
FAQ: Microsoft Copilot Flex routing og EU data boundary
Hvad er Microsoft Flex routing?
En funktion der ved spidsbelastning kan rute Copilot LLM inferencing til kapacitet uden for EU/EFTA for at holde svartider nede. Den kan slås fra i Microsoft 365 Admin Center. (Kilde: Microsoft Learn.)
Sender Copilot data ud af EU?
Med Flex routing kan selve prompt-behandlingen (inferencing) ske uden for EU ved peak load. Data at rest er fortsat placeret i EU som udgangspunkt. Hvis jeres krav er “al behandling i EU”, bør I vælge EU-only og dokumentere det. (Kilder: Microsoft Learn; Office365ITPros.)
Hvordan slår man Flex routing fra i Microsoft 365?
Gå i M365 Admin Center og find indstillingen “Flexible inferencing during peak load periods”. Slå den fra, tag screenshot til change-log, og notér beslutningen i jeres AI-/sikkerhedspolitik. (Kilder: Mindcore Techblog; erik365.blog.)
Påvirker Flex routing Copilot Studio og Power Platform?
Ja, gennemgange af indstillingen peger på påvirkning ud over klassisk M365 Copilot, herunder Power Platform-scenarier. Hvis I har kundevendte chatbots eller flows, bør I lave en separat vurdering for de workloads. (Kilde: Mindcore Techblog.)
Er Copilot GDPR compliant, hvis Flex routing er slået til?
GDPR handler ikke kun om “EU” men om lovligt overførselsgrundlag, dataminimering og dokumentation. Tommelfingerregel: Hvis I ikke kan forklare og dokumentere overførslen ved audit, så vælg EU-only og begræns datatyper i prompts. Brug jeres DPA og interne risikovurdering som styringsgrundlag. (Kilder: Microsoft Privacy; TechCommunity-tråde om compliance-bekymringer.)
Kan vi auditere, om Copilot allerede har behandlet data uden for EU?
Planlæg ud fra, at I skal kunne dokumentere konfiguration og beslutning: hvornår indstillingen var til/fra, hvem godkendte, og hvilke datatyper brugere må sende. Hvis I mangler historik, så fastfrys nu: slå til/fra, log ændringen, og indfør kvartalsvis kontrol. Det er typisk den hurtigste vej til at blive audit-klar.
Sådan kommer I fra viden til implementering (7 konkrete skridt)
- Udpeg en ejer: IT + compliance/ledelse, som kan godkende “EU-only” eller “Flex routing”.
- Kortlæg Copilot-brug pr. afdeling: hvilke dokumenttyper og hvilke dataklasser går i prompts.
- Brug beslutningsmatrixen og tag en skriftlig beslutning (1 side) med begrundelse.
- Skift indstillingen i M365 Admin Center, og gem screenshot + dato i change-log.
- Opdatér AI-politikken med rød/gul liste og 3 godkendte use-cases per afdeling.
- Test Copilot ved peak load: bed 5–10 nøglebrugere notere oplevet svartid og fejl i en uge.
- Planlæg kvartalsvis review: indstilling, governance, og om brugsmønstre har ændret sig.
Kilder og kontekst: Microsoft Learn (Flex routing), Microsoft Blog (EU Data Boundary), Microsoft Privacy (data transfers), Office365ITPros (dilemmaet), Mindcore Techblog + erik365.blog (admin og konsekvenser), Cybernews (tidslinje/MC), TechCommunity (praktiske compliance-bekymringer).
