Jeres filer ligger i et europæisk datacenter. Det har leverandøren lovet. Men hvad sker der, når AI-assistenten opsummerer dokumentet, besvarer mailen eller analyserer regnearket? Siden den 17. april 2026 kan svaret være: Forespørgslen forlader EU.
Aktiveret uden at spørge
En stor amerikansk softwareleverandør aktiverede i april en funktion, der ved spidsbelastning automatisk sender AI-forespørgsler fra europæiske kunder til servere i USA, Canada eller Australien. Funktionen blev slået til som standard for alle kunder i EU og EFTA. Ingen blev spurgt.
Leverandøren undtager i øjeblikket selv sine største enterprise- og offentlige kunder. Små og mellemstore virksomheder har ikke samme beskyttelse.
Forskellen på lagring og behandling
Filerne bliver liggende i Europa. Det er ikke problemet. Problemet er, at når AI-assistenten arbejder med indholdet, kan hele konteksten fra dokumenter, mails og metadata sendes til processorkraft uden for EU.
Det er forskellen på, hvor data opbevares, og hvor data behandles. Og det er præcis den skelnen, som leverandørens markedsføring af en “europæisk datagrænse” udvisker.
Også en ny underleverandør
Leverandørens egen dokumentation bekræfter, at en amerikansk AI-virksomhed siden januar 2026 fungerer som underleverandør for AI-assistenten. Leverandøren skriver direkte, at underleverandørens modeller ligger uden for den europæiske datagrænse.
To ændringer. Begge aktiveret som standard. Begge i samme periode. Begge flytter behandling af europæiske data uden for den grænse, leverandøren selv har navngivet som kundernes beskyttelse.
Tre ugers varsel i en beskedkø
Administratorer fik tre ugers varsel via en intern beskedkanal. Ændringen tager en uge at slå igennem. Organisationer, der ikke fangede beskeden, sender allerede data ud af EU.
Det kan slås fra. Men det kræver handling.
Funktionen kan deaktiveres i administrationspanelet af en bruger med den rette administratorrolle. Indstillingen hedder noget i retning af “routing ved spidsbelastning” og skal sættes til ikke at tillade det.
Det bør gøres i dag. Og jeres databeskyttelsesansvarlige bør involveres.
Designbeslutning, ikke fejl
Funktionen er ikke en bug. Det er en designbeslutning, der prioriterer ydeevne over dataresidens. Det er leverandørens ret.
Men når man kalder det en europæisk datagrænse og samtidig sender data uden for den som standard, er det svært at kalde det andet end sovereignty washing.
En uafhængig sikkerhedsgennemgang kan afdække, hvilke standardindstillinger i jeres cloud-miljø der reelt sender data ud af EU, og om jeres organisation har fanget dem.
Hvem i jeres organisation ville have opdaget denne ændring, hvis I ikke havde læst om den her?
Har du brug for en gennemgang af jeres cloud-konfiguration og dataresidenskrav?
Kontakt Nielco IT på telefon 70 13 63 23 eller via kontaktformularen.
