Licensly

EU Data Boundary og Microsoft Sovereign Cloud, hvad betyder det for jeres data?

Af Michal Lampe Sørensen · 8 min læsning · 14. maj 2026

Indhold

TL;DR

EU Data Boundary betyder at jeres Microsoft 365- og Azure-data lagres og behandles inden for EU/EFTA. Det er gennemført som standard i 2026 og kræver ingen ekstra licens. Microsoft Sovereign Cloud (tidligere Cloud for Sovereignty) er det næste niveau med tre modeller: Sovereign Public Cloud, Sovereign Private Cloud og National Partner Clouds. GCC og GCC High er US-government-clouds. IKKE relevante for danske organisationer. Microsoft åbnede deres første danske datacenter-region (Denmark East) i 2026.

EU Data Boundary, er allerede gennemført

EU Data Boundary er Microsofts forpligtelse til at lagre og behandle kundedata og pseudonymiserede persondata inden for EU og EFTA-regionerne. Det dækker Microsoft 365, Dynamics 365, Power Platform og de fleste Azure-tjenester.

Microsoft annoncerede færdiggørelsen af EU Data Boundary i 2024, og fase 2 (yderligere telemetri- og support-data) er rullet ud i 2025-2026. For langt de fleste danske kunder betyder det: jeres M365-data forlader ikke EU.

Vigtige nuancer:

  • EU Data Boundary er inkluderet i alle Microsoft 365- og Azure-aftaler, kræver ingen ekstra licens
  • Der er stadig begrænsede scenarier hvor data kan forlade EU (f.eks. visse globale support-eskaleringer)
  • Microsoft har offentliggjort en transparent service-by-service oversigt over hvad der er omfattet

Pointe: Hvis nogen siger "vi skal have Sovereign Cloud for at overholde GDPR", så har de typisk misforstået det. EU Data Boundary dækker GDPR-residency-kravet for de fleste kommercielle og offentlige danske kunder.

Microsoft Sovereign Cloud, det næste niveau

Microsoft omdøbte i 2026 deres sovereignty-tilbud fra "Cloud for Sovereignty" til Microsoft Sovereign Cloud. Det er en suite af modeller designet til regeringer og stærkt regulerede industrier.

Der er tre deployment-modeller:

1. Sovereign Public Cloud Kører i Microsoft-opererede datacentre inden for geopolitiske grænser (f.eks. EU Data Boundary). Tilføjer kunde-styrede krypteringsnøgler, Data Guardian (operatør-adgangsovervågning) og tamper-evident audit logs. Bygget oven på standard Azure med ekstra sovereignty-kontroller.

2. Sovereign Private Cloud Kører i kundens egne eller partner-opererede datacentre, leveret via Azure Local og Microsoft 365 Local. Til forsvar, kritisk infrastruktur og scenarier hvor I skal kunne køre disconnected fra public cloud.

3. National Partner Clouds Lokaliserede instanser drevet sammen med godkendte nationale partnere, typisk relevant for offentlige organisationer der har specifikke krav om national operatørstyring.

Konkret: Microsoft 365 Local kører Exchange, SharePoint og Teams på Azure Local (tidligere Azure Stack HCI) i jeres eget datacenter. Det er en helt anden licens-model end almindelig M365, og prismæssigt betydeligt dyrere. Forvent enterprise-procurement, ikke webshop.

GCC og GCC High. IKKE for danske organisationer

Dette er en af de mest misforståede dele af Microsofts cloud-portefølje, så lad os være helt eksplicitte:

GCC (Government Community Cloud) og GCC High er kun for amerikanske statslige organisationer og deres leverandører. De er fysisk hosted i USA, drives af amerikanske statsborgere med sikkerhedsgodkendelse, og er designet til at opfylde amerikanske regulativer (FedRAMP, ITAR, CJIS, DoD IL5).

Danske organisationer kan ikke købe eller bruge GCC/GCC High. Hvis nogen tilbyder jer det, er det enten:

  • En misforståelse
  • En leverandør der har misforstået jeres geografiske kontekst
  • En forveksling med EU Data Boundary eller Sovereign Cloud

For danske krav (NIS2, D-mærket, FE-krav til kritiske leverandører) er EU Data Boundary standardvalget, og Microsoft Sovereign Cloud det opgraderede valg.

Tommelfingerregel: Hvis I er en dansk virksomhed eller offentlig organisation, så glem GCC og GCC High. Kig på EU Data Boundary (gratis, inkluderet) og evt. Sovereign Cloud (separat licens) i stedet.

Datacenter Denmark East, nyt fra marts 2026

Microsoft åbnede officielt deres første danske datacenter-region Denmark East den 26. marts 2026, med faciliteter i Høje Taastrup, Køge og Roskilde på Sjælland.

Betydningen for danske kunder:

  • Datalokationsvalg på Azure: I kan vælge Denmark East som primær region, hvilket betyder data ligger fysisk i Danmark
  • Lavere latency for tjenester der kører i Denmark East
  • GDPR-fordel: Data lagret i Danmark er under fuld dansk og EU-jurisdiktion
  • For M365 specifikt: Microsoft 365-tjenester bruger fortsat den nordeuropæiske primære region (Irland) som default, men det nye danske datacenter giver Microsoft mere kapacitet i regionen

Det hjælper særligt brancher med strenge data-residency-krav: sundhed, finans, energi og offentlig sektor. Men det kræver konfiguration. Azure-tjenester vælger ikke automatisk Denmark East som lokation.

Hvem har faktisk brug for Sovereign Cloud?

De fleste danske organisationer behøver ikke Microsoft Sovereign Cloud. EU Data Boundary dækker langt størstedelen af krav.

Sovereign Cloud (med ekstra licensering) bliver først relevant når I har en af disse profiler:

1. Statslige eller kommunale organisationer med klassificerede data Hvor I skal kunne dokumentere at kun EU-statsborgere har potentiel adgang, selv ikke Microsoft-driftspersonale i USA i en eskaleret support-sag.

2. Kritisk infrastruktur (NIS2 bilag I) Energi, vand, transport, telekommunikation. Her kan Sovereign Public Clouds Data Guardian og operationelle transparens være et reelt krav fra tilsynsmyndigheden.

3. Forsvar og national sikkerhed Her skal I sandsynligvis på Sovereign Private Cloud (Microsoft 365 Local) eller en National Partner Cloud.

4. Finans med specifikke regulator-krav om operatør-styring F.eks. krav om at I selv styrer krypteringsnøglerne (Customer-Managed Keys) eller at adgang til underliggende infrastruktur logges på en bestemt måde.

For almindelige danske SMV'er, konsulenthuse, undervisningsinstitutioner uden klassificeret materiale, NGO'er og de fleste private virksomheder er svaret nej. EU Data Boundary er nok.

Vores anbefaling

Start med at klarlægge hvilket konkret krav I prøver at opfylde. "Vi vil gerne være sikre på vores data" er ikke et krav, det er en bekymring. "NIS2 bilag I, artikel 21" eller "D-mærket adgangsstyring" er krav.

Vores praktiske anbefalinger:

Almindelig dansk SMV uden specifikke compliance-krav? Standard Microsoft 365 + Business Premium dækker jer. EU Data Boundary er allerede slået til.

SMV med GDPR-følsomme kundedata? Business Premium + Conditional Access + Intune. Dokumentér jeres adgangsstyring. Sovereign Cloud er overkill.

Offentlig organisation eller stærkt reguleret branche? E3 eller E5 som baseline. Overvej Sovereign Public Cloud (ekstra licensering) hvis jeres tilsyn kræver Data Guardian, kunde-styrede nøgler eller forhøjet operationel transparens.

Forsvar, kritisk infrastruktur eller klassificerede data? Tal med en partner der har erfaring med Microsoft 365 Local eller Sovereign Private Cloud. Det er ikke en hyldevare.

Husk at sovereignty handler om dokumenterbar kontrol, ikke om at have et bestemt produkt. Mange organisationer kan opfylde reelle sovereignty-krav med god Conditional Access, Customer Lockbox og dokumenterede adgangspolitikker på en almindelig M365-licens.

Skulle I være i tvivl, så start med at få afklaret hvilke krav jeres tilsynsmyndighed eller revisor faktisk stiller. Det er billigere end at vælge forkert.

Læs videre: Hvis I er omfattet af NIS2 (eller bliver det via supply chain-krav), har vi en hel NIS2-pille, start med scope-tjekket og licens-decision matrix for konkret vejledning.

Se alle Microsoft 365-planer

Vores planoversigt viser priser, features og inklusioner, start her hvis I overvejer migration eller opgradering.

Gå til planoversigten →

Relaterede artikler

Conditional Access forklaret, det mest undervurderede feature i Microsoft 365Microsoft 365 til virksomheder, den komplette guide (2026)