Voor MKB‑bedrijven en instellingen die bouwen op hun ICT

Microsoft Copilot wordt binnen veel organisaties steeds intensiever gebruikt. Niet alleen in Microsoft 365, maar ook binnen Dynamics 365 en Power Platform. Grote kans dus dat Copilot inmiddels onderdeel is van de dagelijkse werkplek. Microsoft heeft recent een technische wijziging doorgevoerd die gevolgen kán hebben voor waar Copilot-verzoeken worden verwerkt: Flex Routing.

Voor veel organisaties is dit relevant vanuit privacy, compliance en informatiebeveiliging. In dit artikel leggen we uit:

• wat Flex Routing is
• waarom Microsoft dit toepast
• wat dit betekent voor data en privacy
• welke keuze organisaties hierin hebben

Wat is Microsoft Flex Routing?

Wanneer veel gebruikers tegelijk gebruikmaken van Copilot, kan de belasting op Europese datacenters oplopen. Om prestaties stabiel te houden, gebruikt Microsoft sinds 17 april 2026 een techniek genaamd Flex Routing. Hierbij mag Microsoft tijdelijk capaciteit inzetten buiten de Europese Unie, bijvoorbeeld in:

• de Verenigde Staten
• Canada
• Australië

Dit gebeurt alleen wanneer extra capaciteit nodig is om Copilot snel en beschikbaar te houden.

Het voordeel

• Snellere verwerking
• Betere beschikbaarheid van Copilot tijdens piekmomenten

Mogelijk gevolg

• Verwerking van bepaalde Copilot-data buiten de EU

Welke gegevens kunnen worden verwerkt?

Copilot gebruikt niet alleen de prompt die iemand intypt. Om een goed antwoord te kunnen geven, haalt Copilot vaak aanvullende context op uit Microsoft 365. Denk aan:

• e-mails
• Word-documenten
• Excel-bestanden
• PDF’s
• agenda-items
• Teams-informatie
• andere gegevens waar de gebruiker toegang toe heeft

Een voorbeeld:

“Vat deze e-mails en documenten samen.”

In zo’n situatie kan Copilot tijdelijk inhoud verwerken uit meerdere bronnen. Wanneer Flex Routing actief is, kan een deel van die verwerking buiten de EU plaatsvinden.

Microsoft geeft aan dat gegevens tijdens transport en opslag versleuteld blijven en dat beveiligingsstandaarden behouden blijven. Toch kan de fysieke locatie van verwerking dus afwijken van de Europese datagrens.

Staat Flex Routing standaard aan?

Dat verschilt per type organisatie. Voor veel commerciële organisaties geldt meestal een opt-out-model; Flex Routing staat standaard aan, tenzij dit actief wordt uitgeschakeld.

Voor bepaalde sectoren zoals overheid, onderwijs of sommige gereguleerde omgevingen geldt vaker een opt-in-model; Flex Routing staat standaard uit, tenzij het expliciet wordt ingeschakeld.

Microsoft communiceert dit via het Microsoft 365 Admin Message Center.

Kun je Flex Routing uitschakelen?

Ja. Een Microsoft 365- of Power Platform-beheerder kan Flex Routing beheren via het Microsoft-beheercentrum. Wanneer Flex Routing wordt uitgeschakeld:

• blijft verwerking binnen de EU-gegevensgrens
• kan Copilot bij hoge belasting minder snel reageren of tijdelijk minder goed presteren

Het is dus een afweging tussen maximale datalocatiecontrole en optimale prestaties en beschikbaarheid.

Wat betekent dit voor jouw organisatie?

Er is hierin geen standaard goed of fout antwoord. De juiste keuze hangt onder andere af van:

• privacy- en compliance-eisen
• sector en regelgeving
• NIS2-verplichtingen
• interne securityrichtlijnen
• hoe bedrijfskritisch Copilot binnen de organisatie is

Voor sommige organisaties is het essentieel dat verwerking volledig binnen de EU blijft. Voor andere organisaties wegen continuïteit, snelheid en gebruikerservaring juist zwaarder.

Ons advies

Wij adviseren organisaties om hier bewust naar te kijken en niet blind de standaardinstellingen te volgen.

Praktische stappen

• Controleer of Flex Routing actief is binnen de tenant
• Beoordeel of dit past binnen het informatiebeveiligingsbeleid
• Stem dit af met compliance, security of directie
• Leg gemaakte keuzes vast binnen governance en risicomanagement

Hulp nodig?

Wij helpen organisaties dagelijks met Microsoft 365, security en governance-vraagstukken.

We helpen graag bij:

• het controleren van Flex Routing binnen de Microsoft-omgeving
• het maken van een passende afweging
• het vertalen van technische instellingen naar begrijpelijke risico’s en beleid

Wil je sparren over de impact van Copilot, datalocatie of compliance binnen Microsoft 365? Neem gerust contact met ons op.

[...]

De kogel is door de kerk: de Nederlandse Cyberbeveiligingswet (implementatie van de Europese NIS2-richtlijn) is aangenomen. De wet gaat in per 1 juli 2026. Voor veel organisaties voelt dit nog als iets voor later. In de praktijk is dit juist het moment om te bepalen waar je staat, en wat er nog moet gebeuren.

Wat verandert er?

De nieuwe wet stelt strengere eisen aan de digitale weerbaarheid van organisaties. Denk aan:

• Meer verantwoordelijkheid op directieniveau
• Verplichte maatregelen om risico’s te beperken
• Meldplicht bij ernstige incidenten
• Toezicht en mogelijke sancties bij onvoldoende beveiliging

Belangrijk: de wet geldt niet alleen voor grote bedrijven. Ook middelgrote organisaties en ketenpartners kunnen hieronder vallen.

Val je onder de Cyberbeveiligingswet?

Dat is niet altijd direct duidelijk. De wet richt zich op organisaties in sectoren die essentieel zijn voor de maatschappij, zoals:

• IT- en digitale dienstverlening
• Energie en infrastructuur
• Zorg
• Transport
• Overheden en publieke organisaties

Maar ook als je zelf niet direct onder de wet valt, kun je er wél mee te maken krijgen. Bijvoorbeeld omdat je leverancier of klant wél moet voldoen en eisen aan jou doorzet.

Waar moet je concreet aan denken?

De wet is geen papieren exercitie. Het gaat om aantoonbare maatregelen. In de praktijk betekent dit bijvoorbeeld:

• Inzicht in je IT-omgeving en risico’s
• Basismaatregelen zoals MFA, updates en monitoring
• Heldere procedures bij incidenten
• Bewustwording binnen je organisatie
• Documentatie van wat je doet (en waarom)

Oftewel: niet alleen “we hebben het geregeld”, maar ook kunnen laten zien dat het geregeld ís.

Wat wij nu vaak zien

Veel organisaties zitten in één van deze situaties:

• Er zijn al maatregelen genomen, maar het totaaloverzicht ontbreekt
• Security is ingericht, maar niet vastgelegd
• Er wordt gereageerd op incidenten, maar niet structureel gestuurd
• Onduidelijkheid of de organisatie überhaupt onder de wet valt

Dat is logisch. NIS2 (en straks de Cyberbeveiligingswet) is breed en raakt meerdere lagen in je organisatie.

Wat is verstandig om nu te doen?

Wachten tot 1 juli 2026 is geen goed idee. Wat wél werkt:

• Bepaal of je onder de wet valt (of er indirect mee te maken krijgt)
• Breng je huidige situatie in kaart
• Prioriteer de grootste risico’s
• Maak een realistisch plan richting compliance

Juist door dit nu te doen, voorkom je dat het straks een ad-hoc traject wordt onder tijdsdruk.

Hoe Brisk ICT helpt

Bij Brisk ICT kijken we niet alleen naar losse maatregelen, maar naar het geheel. Van werkplek tot beveiliging en beheer, alles moet samen werken. Dat betekent:

• Inzicht in je huidige securityniveau
• Concrete verbeterstappen die passen bij jouw organisatie
• Structureel beheer en monitoring
• Ondersteuning bij het aantoonbaar maken van je maatregelen

Geen over-engineering, maar precies wat nodig is om veilig en werkbaar te blijven. De Cyberbeveiligingswet komt eraan. De vraag is niet óf je ermee te maken krijgt, maar wanneer. Wil je weten waar jouw organisatie staat? Dan is dit het moment om dat scherp te krijgen. [...]

Digitale soevereiniteit staat bij steeds meer organisaties op de agenda. Niet omdat het een hype is, maar omdat de vragen urgenter worden. Waar staat onze data. Wie kan er bij. En onder welke voorwaarden. De vraag is allang niet meer of digitale soevereiniteit relevant is, maar hoe je hier in de praktijk verstandig mee omgaat.

Afhankelijkheid van grote platforms

In veel organisaties is de IT omgeving de afgelopen jaren sterk geconcentreerd rond een beperkt aantal grote technologieplatforms. Dat heeft duidelijke voordelen. Functionaliteit is rijk, samenwerking is eenvoudig en beheer is overzichtelijk.

Tegelijkertijd groeit het besef dat volledige afhankelijkheid ook risico’s met zich meebrengt. Geopolitieke spanningen nemen toe. Wet en regelgeving verandert. En beslissingen die buiten Europa worden genomen, kunnen directe gevolgen hebben voor data, toegang en continuïteit.

De vraag die steeds vaker gesteld wordt is dan ook: hoeveel grip willen we als organisatie eigenlijk hebben op onze digitale infrastructuur.

Soevereiniteit is geen ideologisch vraagstuk

Digitale soevereiniteit wordt soms neergezet als een principiële of zelfs ideologische keuze. In de praktijk zien wij iets anders. Het is vooral een strategisch vraagstuk. Het gaat niet om tegen of voor een bepaald platform. Het gaat om inzicht in risico’s, afhankelijkheden en alternatieven. En om de vraag wat past bij de manier waarop een organisatie werkt, samenwerkt en groeit.

Nextcloud als praktisch alternatief

In gesprekken met onze partner CJ2 Hosting kwam dit onderwerp uitgebreid aan bod. Zij laten zien hoe een Nextcloud platform kan bijdragen aan meer grip op data, infrastructuur en governance. Niet als tegenhanger van bestaande cloudoplossingen, maar als een volwassen en praktisch alternatief dat organisaties keuzevrijheid biedt. Data blijft onder eigen beheer, terwijl samenwerken, delen en beveiligen goed geregeld blijft.

De rol van Microsoft binnen digitale soevereiniteit

Een veelgestelde vraag is welke rol Microsoft speelt binnen digitale soevereiniteit. In de praktijk zien wij dat Microsoft 365 voor veel organisaties een krachtige en betrouwbare basis vormt voor samenwerken, communicatie en informatiebeheer. Digitale soevereiniteit betekent dan ook niet automatisch dat bestaande Microsoft-diensten ter discussie staan. Wel kan er behoefte zijn aan extra grip op specifieke onderdelen, zoals dataopslag of bepaalde samenwerkingsprocessen.

In die gevallen kan een hybride inrichting uitkomst bieden, waarbij Microsoft-diensten worden aangevuld met soevereine oplossingen waar dat meer controle of autonomie vraagt. Digitale soevereiniteit draait daarbij niet om afscheid nemen, maar om het maken van bewuste en passende keuzes.

De echte afweging

Uiteindelijk draait digitale soevereiniteit niet om technologie alleen. Het draait om keuzes. Hoeveel controle wil je als organisatie. Welke risico’s accepteer je. Welke flexibiliteit heb je nodig om goed te kunnen blijven samenwerken. En hoe zorg je ervoor dat veiligheid, continuïteit en gebruiksgemak in balans blijven. Dat vraagt om inzicht, nuance en een aanpak die past bij jouw organisatie. Geen standaardoplossing, maar een doordachte inrichting van je IT landschap.

Geen eindpunt maar een proces

Digitale soevereiniteit is geen project met een duidelijk eindpunt. Het is een continu afwegingsproces dat meebeweegt met ontwikkelingen in technologie, wetgeving en geopolitiek. Juist daarom is het belangrijk om dit gesprek regelmatig te voeren. Intern, met partners en met een heldere blik op de toekomst.

Digitale soevereiniteit vraagt om bewuste keuzes en een aanpak die past bij jouw organisatie. Er is geen standaardroute, wel behoefte aan inzicht en overzicht.
Brisk ICT denkt graag mee over hoe dit er in de praktijk voor jouw organisatie uit kan zien.

[...]