Microsoftin lupaus Euroopan tietosuvereniteetista sisältää varauksen. Yhtiö alkaa 17. huhtikuuta 2026 alkaen lähettää Copilot-tietoja ulkomaisille palvelimille käsiteltäväksi.

Microsoft 365 Copilot -palvelun joustavan reitityksen käyttöönoton myötä suurten kielimallien (LLM) päättely – vaihe, jossa tietonne todella käsitellään – saattaa tapahtua Yhdysvalloissa, Kanadassa tai Australiassa, kun eurooppalaisten datakeskusten kapasiteetti on vähissä.

Näitä muutoksia sovelletaan oletusarvoisesti. Uusilla asiakastileillä, jotka on luotu 25. maaliskuuta 2026 jälkeen, joustava reititys on jo käytössä. Kaikilla muilla se otetaan käyttöön automaattisesti, ellette kieltäydy siitä. (Ohjeet tähän löytyvät alta.)

Jos yrityksenne sijaitsee Euroopan unionissa tai Euroopan vapaakauppajärjestössä (EFTA), tämä ei ole pieni tekninen päivitys. Joustava reititys muuttaa sen, pysyvätkö tekoälynne työnkulut EU:n sisällä vai poistuvatko ne sieltä tiettämättänne. Lisäksi se korostaa, mitä suuryritysten (Big Tech) versio digitaalisesta suvereniteetista todella tarkoittaa Euroopalle: heillä on edelleen hallinta.

Mitä joustava reititys on?

Päättely on hetki, jolloin tekoälymalli käsittelee kehotteenne tuottaakseen vastauksen, olipa kyse asiakirjan tiivistämisestä, kysymykseen vastaamisesta tai sisällön luonnostelemisesta. Tähän mennessä tietonne on jo koottu. Vaikka tietonne olisi tallennettu Eurooppaan, niitä voidaan nyt käsitellä muualla — automaattisesti, EU:n ulkopuolisella lainkäyttöalueella.

EU:ssa isännöity ei tarkoita EU:ssa käsiteltyä

Microsoft tekee selväksi, että tiedot pysyvät salattuina(uusi ikkuna) siirron ja levossa olon aikana. Tämä saattaa rauhoittaa joitakin asiakkaita. Mutta jos toimitte sellaisten kehysten alaisuudessa kuin GDPR(uusi ikkuna) (yleinen tietosuoja-asetus), NIS2-direktiivi (verkko- ja tietoturvadirektiivi) tai DORA-asetus (digitaalista häiriönsietokykyä koskeva asetus), tietojen suojaaminen tallennuksen ja siirron aikana ei riitä.

Käsittely (tai päättely) on kohta, jossa altistuminen voi tapahtua. Joustavan reitityksen myötä tuo kohta voi nyt siirtyä.

Jotta tekoälymalli voi suorittaa päättelyä, tietojen on oltava käytettävissä laskentaa varten. Kehotteenne, sähköpostinne, tiedostonne ja metatietonne kerätään ja lähetetään mallille. Joustavan reitityksen ansiosta tämä paketti voidaan käsitellä EU:n ulkopuolella.

Sillä, missä tietonne käsitellään, on merkitystä – vaikka ne olisivat salattuja matkalla sisään ja ulos.

Vaatimustenmukaisuuden taakka on teidän

Microsoftin päätös tehdä joustavasta reitityksestä oletusominaisuus on varoitusmerkki. Tutkimukset osoittavat, että useimmat ihmiset eivät vaivaudu tarkistamaan tai päivittämään oletusasetuksiaan. Jos yhtiö välittäisi eurooppalaisten asiakkaidensa tietosuvereniteetista, se ei olisi ottanut joustavaa reititystä käyttöön automaattisesti.

Tämä antaa myös vaatimustenmukaisuusosastollenne tiedon siitä, että toimittajat voivat yhtäkkiä päättää muuttaa tärkeää käytäntöä. Olette nyt vastuussa toimittajien päivitysten valvonnasta, niiden vaikutusten tulkinnasta ja asetusten säätämisestä vaatimustenmukaisena pysymiseksi. Tämä saattaa tuntua epäreilulta, jos valitsitte yhdysvaltalaisen toimittajan siinä uskossa, että tietosuvereniteettinne oli heille tärkeää.

Mitä EU-yritykset voivat tehdä nyt

  1. Poistakaa joustava reititys käytöstä. Jos käytäntönne edellyttävät käsittelyä vain EU:ssa, älkää luottako oletusasetuksiin.
    • Kirjautukaa sisään Microsoft 365 -hallintakeskukseen ylläpitäjänä, jolle on määritetty tekoälyn ylläpitäjän tehtävä(uusi ikkuna).
    • Siirtykää kohtaan Copilot -> Asetukset -> Joustava päättely ruuhka-aikoina.
    • Valitkaa Älä salli joustavaa reititystä
  2. Ymmärtäkää rajat ylittävät vaikutukset. Nykyinen asennuksenne ei välttämättä täytä liiketoimintanne vaatimuksia. Harkitkaa:
    • Tiedonsiirtovelvoitteet GDPR:n ja alakohtaisten sääntöjen mukaisesti
    • Sisäiset tietojen sijaintia koskevat käytännöt ja sopimusvelvoitteet
    • Laillinen pääsy ja valvonta EU:n ulkopuolisilla lainkäyttöalueilla
  3. Auditoikaa tekoälykohtaiset tietovirrat tarkasti. Useimmat yritykset tietävät, minne tiedot on tallennettu. Harvemmat tietävät, missä ne käsitellään. Aloittakaa kysyminen:
    • Missä tietonne käsitellään
    • Onko olemassa lakeja, jotka voivat velvoittaa tietojen luovuttamiseen ulkopuoliselle taholle
    • Kuka voi käyttää tietoja käsittelyn aikana ja voiko tämä muuttua
  4. Valitkaa toimittajia, jotka ovat avoimia siitä, miten he käsittelevät tietojanne. Protonin tekoälyavustaja(uusi ikkuna) käsittelee tietoja yksinomaan eurooppalaisilla palvelimilla ja julkaisee yksityiskohtaisen kuvauksen tietoturvamallistaan.

Joustava reititys paljastaa jotain syvällisempää tiedonhallinnasta

Jos toimittajanne sijaitsevat Yhdysvalloissa, luotatte järjestelmiin, jotka on rakennettu erilaista sääntelytodellisuutta varten – sellaista, jota ette hallitse, mutta josta teidän on silti vastattava.

Ohjelmistopäivitykset, tuki, oikeudelliset käytännöt ja hinnoittelupäätökset tehdään Piilaaksossa tai Seattlessa. Säännöt, joita toimittajanne noudattaa, asetetaan Washingtonissa. Mutta yrityksenne on noudatettava eurooppalaisia standardeja.

Siksi yhä useammat yritykset alkavat etsiä eurooppalaisia vaihtoehtoja Big Tech -yhtiöille(uusi ikkuna). Kun infrastruktuurinne, käytäntönne ja oikeudellinen kehyksenne ovat linjassa toiminta-alueenne kanssa, tietosuvereniteetista tulee täytäntöönpanokelpoinen, ei ehdollinen.