Norske bedrifter og offentlige etater som bruker Microsofts skytjenester, bør ta en ny titt på personverninnstillingene sine. En omstridt endring som selskapet har rullet ut, kan føre til at data som behandles av kunstig intelligens, forlater Europa og havner i USA eller andre land utenfor EØS — ifølge Digi.no, som først omtalte saken.
Hva er «Flex Routing»?
Microsofts Copilot-tjenester benytter en mekanisme kalt «Flex Routing». Denne gjør at forespørsler fra europeiske kunder midlertidig kan rutes til datasentre i USA, Canada eller Australia i perioder med høy belastning. Ifølge det tilgjengelige kildematerialet er funksjonen slått av som standard for EU-leietakere, men eksperter understreker at virksomheter bør bekrefte at dette faktisk gjelder for deres egne oppsett — og ikke ta det for gitt.
En ytterligere komplikasjon er at Anthropic, som siden januar 2026 er en underleverandør for Copilot, foreløpig holder sine modeller utenfor Microsofts EU-dategrense. Dette betyr at EU-kunder som bruker Anthropic-modellene i Copilot, og som har strenge krav til dataresidens, bør deaktivere denne integrasjonen.
Norske virksomheter kan ikke lenger anta at «europeisk sky» er det samme som «data i Europa» — konfigurasjonen avgjør alt.

Hva er Microsofts offisielle løfte til europeiske kunder?
Microsoft har gjort betydelige investeringer for å møte EUs krav. Selskapet lanserte sitt «EU Data Boundary»-initiativ, som skal gi kommersielle og offentlige kunder muligheten til å lagre og behandle kjernedata utelukkende innenfor EU og EFTA-regionen. Tjenester som Microsoft 365, Dynamics 365, Power Platform og de fleste Azure-tjenester er i prinsippet dekket.
I tillegg har Microsoft annonsert en kapasitetsøkning på 40 prosent for europeiske datasentre over en toårsperiode, med mål om mer enn 200 datasentre fordelt på 16 europeiske land innen 2027.
For offentlig sektor finnes også «Microsoft Cloud for Sovereignty», designet spesielt for å møte strenge krav til suverenitet og compliance.
US CLOUD Act — det underliggende problemet ingen løser
Selv om Microsoft plasserer data i europeiske datasentre, er selskapet som amerikansk virksomhet underlagt US CLOUD Act. Det betyr at amerikanske myndigheter i prinsippet kan kreve tilgang til data lagret i Europa, uavhengig av hvor serverne fysisk befinner seg.
Microsoft sier at de vil utfordre slike forespørsler og kun etterkomme dem dersom det er rettslig påkrevet etter EU-rett, og at de vil varsle berørte kunder der det er tillatt. Likevel påpeker eksperter innen digital suverenitet at ingen U.S.-basert skyleverandør kan tilby full suverenitet i juridisk forstand, nettopp på grunn av denne ekstraterritorielle rekkevidden.
Hva betyr dette for norske virksomheter?
For norske virksomheter med strenge personvernforpliktelser — enten de opererer i helsesektoren, offentlig forvaltning eller håndterer sensitive forretningsdata — er dette ikke et teknisk detaljspørsmål. Det er et compliance-spørsmål.
EUs AI-lov, som trådte i kraft i august 2024 og som fra august 2026 stiller krav til høyrisiko-systemer, hever dataresidens fra en juridisk preferanse til et teknisk krav. Det holder ikke lenger å velge riktig region i en nettpulldown — virksomheter må kunne dokumentere den geografiske stien data har tatt gjennom hele KI-agentens kjøring.
Norske virksomheter bør ifølge eksperter konkret:
- Bekrefte at Flex Routing er deaktivert i egne Microsoft-leietakere
- Vurdere om Anthropic-integrasjonen i Copilot er forenlig med egne GDPR-krav
- Bruke spesifikke Azure AI-konfigurasjoner med Data Zone SKU hvis streng EU-residens er nødvendig
- Holde løpende oversikt over Microsofts underleverandørliste, som kan endres
Kilden Digi.no understreker at Microsofts endring allerede er rullet ut, og at ansvaret for å sikre riktig konfigurasjon i stor grad hviler på kundene selv.
