Microsoft kutter AI-varsel til 30 dager i databehandleravtalen

Microsoft strammer tidsvinduet for AI-underleverandører

Microsoft har oppdatert sin Products and Services Data Protection Addendum, DPA-en som regulerer hvordan selskapet behandler kundedata i blant annet Microsoft 365, Azure, Dynamics 365 og Microsoft Advertising. Mai-versjonen er publisert 22. mai 2026. Den viktigste endringen for europeiske virksomheter ligger i avsnittet om underleverandører.

Microsoft skriver at kunder skal varsles minst seks måneder før en ny underleverandør får tilgang til kundedata. Men det er lagt inn et eget unntak for underleverandører som støtter kunstig intelligens. Der holder det med 30 dagers varsel, så lenge kunden får en mekanisme for å deaktivere bruken av den aktuelle underleverandøren frem til minst seks måneder etter varselet.

Det høres teknisk ut. I praksis gjør Microsoft AI-forsyningskjeden raskere enn den vanlige leverandørkjeden. For en virksomhet som bruker Copilot, Azure AI eller andre Microsoft-tjenester med AI-funksjoner, betyr det at vurderingen av en ny modell-, sikkerhets- eller infrastrukturpartner ikke kan vente til neste årlige leverandørrevisjon. Den må håndteres på uker.

Dette er særlig relevant i Norge og EU fordi kunden fortsatt er behandlingsansvarlig for egne personopplysninger. Microsoft er databehandler i mange av disse avtalene, og en ny underleverandør kan utløse behov for oppdatert DPIA, vurdering av overføringsgrunnlag, revisjon av behandlingsprotokoll og ny risikovurdering. Et 30 dagers vindu er kort når juridisk, IT-sikkerhet, personvern, innkjøp og forretningen alle må signere.

AI-governance blir kontraktsdrift

Endringen sier mye om hvor enterprise-AI er på vei. Microsoft trenger fleksibilitet til å bytte eller legge til AI-leverandører raskere enn tradisjonelle avtaler normalt tillater. Det kan være modellpartnere, evalueringsverktøy, sikkerhetsleverandører, dataplattformkomponenter eller annen infrastruktur som gjør Copilot- og Azure AI-tjenestene mulig.

For kundene betyr dette at AI-governance ikke bare er modellpolicy og brukeropplæring. Det er også kontraktsdrift. Noen må faktisk følge Microsofts underleverandørvarsler, forstå hvilke tjenester varselet gjelder, avklare om data fra virksomheten kan bli berørt, og vurdere om funksjonen må skrus av midlertidig.

Det er lett å undervurdere den siste delen. Retten til å deaktivere en AI-underleverandør er bare nyttig hvis virksomheten vet hvilke forretningsprosesser som bruker funksjonen, hvem som eier beslutningen, og hva konsekvensen blir dersom funksjonen skrus av. Mange organisasjoner har ikke et oppdatert kart over hvor Copilot, Azure AI, innebygget AI i Dynamics eller Microsoft Advertising faktisk behandler kundedata. Da blir 30 dager fort en kalenderpåminnelse, ikke en kontroll.

Dette er også en varsellampe for CISO og DPO. AI-underleverandører kan ha en annen risikoprofil enn klassiske driftsleverandører. De kan behandle tekst, dokumenter, lyd, kode, CRM-data eller kampanjedata på måter som gjør formål, dataminimering og overføring mer krevende å beskrive. Selv når Microsofts standardbeskyttelser ligger fast, er det kunden som må kunne vise at vurderingen er gjort.

Hva ledelsen bør gjøre nå

Første steg er å plassere eierskap. Hvis ingen eier Microsofts AI-underleverandørvarsler, eier ingen risikoen. Det bør ligge en fast operativ prosess hos IT, sikkerhet eller vendor management, med DPO og juridisk koblet på når varselet gjelder persondata eller intern sensitiv informasjon.

Andre steg er å koble prosessen til tjenestekartet. Hvilke Microsoft-produkter bruker AI-funksjoner hos dere? Hvilke datakategorier behandles? Hvilke brukstilfeller er forretningskritiske? Hvilke funksjoner kan deaktiveres uten driftsstans, og hvilke krever lederbeslutning?

Tredje steg er å oppdatere DPIA- og leverandørmaler. En ny AI-underleverandør bør ikke behandles som en vanlig CDN- eller driftspartner. Den bør vurderes mot datakategorier, modellbruk, logging, lagring, overføring utenfor EØS, tilgangsstyring og muligheten til å begrense bruk.

Det strategiske poenget er enkelt: AI-plattformene endrer seg raskere enn enterprise-prosessene. Microsofts DPA gjør det formelt. Norske virksomheter som har lagt Copilot og Azure AI inn i kjerneprosesser, må derfor gjøre leverandørstyring mer løpende. Ikke fordi Microsoft alene er problemet, men fordi AI-tjenester nå har en mer bevegelig underleverandørkjede enn klassisk SaaS.

Kilder og medier

Primærkilde: Microsoft Licensing, «Microsoft Product and Services Data Protection Addendum (WW)», English, May 2026, publisert 22. mai 2026. Source: https://www.microsoft.com/licensing/docs/documents/download/MicrosoftProductandServicesDPA(WW)(English)(May2026)(CR).docx

Kontekst: Microsofts offentlige lisensside viser mai 2026-versjonen og nedlastingen av DPA-en: https://www.microsoft.com/licensing/docs/view/Microsoft-Products-and-Services-Data-Protection-Addendum-DPA

Thumbnail: OpenAI Image 2 / hogby.ai