Jeg er glad for at jeg liker å lære nye ting. Jeg har grønt kort, men spiller sjelden golf. Jeg har astronavigasjonskurs for kystskippere med bruk av sekstant, men seiler sjelden. Jeg har flere keramikk-kurs, men praktiserer det ikke. Det morsomste er egentlig bare å lære noe nytt – og så lære noe annet nytt.
Men man trenger jo ikke flere kurs når man jobber med digitale lover fra EU. Det er bare å vente en uke eller to, så kommer det noe nytt. Nå har vi en hel omnibus å sette oss inn i.
Initiativet med Digital Omnibus kommer etter såkalte «stakeholder consultations». Kommisjonen har identifisert sentrale områder som skaper utfordringer ved implementering av de «digitale lovene». Draghi-rapporten har også spilt inn. Europa er redd for å bli akterutseilt på grunn av for mange reguleringer. Kanskje har også USA presset på – det får vi nok aldri vite.
Hensikten med Digital Omnibus er å gjøre regelverket enklere uten at dette går på bekostning av personvernet. Likevel er flere av endringene allerede gjenstand for intens diskusjon.
Og prosessen stopper ikke her. Kommisjonen ser allerede på ytterligere forenklingstiltak av det digitale regelverket via en «Digital Fitness Check». Interessenter inviteres til å gi sine synspunkter innen 11. mars 2026. Du finner mer om dette initiativet her: Sustainable products initiative (europa.eu).
Under kommer først litt om prosessen frem mot et mulig endret regelverk, deretter foreslåtte endringer i GDPR, KI-forordningen og Data Act. Noen steder har jeg tatt med foreslått ordlyd der den er særlig viktig, andre steder omtaler jeg endringene mer overordnet.
Jeg legger også ved et par praktiske lenker til tabellariske oversikter over endringer i GDPR og KI-forordningen, skrevet av László Pók.
Viktig: Dette er forslag. Jeg ser at noen allerede skriver at de skal endre forretningsstrømmene sine. Jeg tror det er klokt å vente til man ser hva som faktisk blir vedtatt, før man justerer forretningspraksis.
Etter gjennomgangen av omnibusen følger noen andre nyheter det er verdt å få med seg – blant annet en undersøkelse fra det franske datatilsynet om hva folk mener om å betale for tjenester som alternativ til målrettet reklame. Vi er også innom Datatilsynets syn på deling av personopplysninger for å hindre svindel, at ICC sier farvel til Microsofts produkter og tar i bruk OpenDesk – samt en håndfull andre saker som vekket min interesse.
Veien frem for omnibus – en påminnelse om hvordan EU fatter beslutninger
Her er gangen i hvordan Kommisjonens forslag kan bli vedtatt:
- Før årsskiftet: Kommisjonen oversender Digital Omnibus-forslaget til Europaparlamentet, som fordeler innholdet til Komiteen for det indre marked og forbrukervern (IMCO), Komiteen for industri, forskning og energi (ITRE) samt Komiteen for borgerlige friheter, rettferdighet og indre anliggender (LIBE). Politiske grupper utpeker ordfører og skyggeordførere som skal utarbeide Parlamentets innstillinger.
- Parlamentet: Europaparlamentet (MEP-er) drøfter og fremmer endringsforslag. Målet er endelig innstilling innen første kvartal 2026.
- Rådsdiskusjoner: Representanter fra 27 medlemsland i Rådet diskuterer og forbereder sin posisjon («generell tilnærming»), også forventet i første kvartal 2026.
- Q2/Q3 2026: Trilog-forhandlinger mellom Kommisjonen, Parlamentet og Rådet for å komme frem til en kompromissløsning.
- Fremskyndet prosedyre: Parlamentet kan anvende en hasteprosedyre (regel 170). Det har skjedd med tidligere omnibus-pakker. Da utgår komitéfasen og det blir direkte avstemning i plenum. I teorien kan vedtak komme allerede i Q1 2026. Ryktet sier at mange jobber for dette.
- Konkrete endringer i GDPR: Ønsker du en tabellarisk oversikt over hvilke artikler som foreslås endret og til hva, finner du den her.
Hva er personopplysninger?
Definisjonen av personopplysninger foreslås endret. Det som utgjør personopplysninger hos én behandlingsansvarlig, utgjør ikke nødvendigvis personopplysninger hos en annen mottaker.
Her får den mye omtalte SRB-dommen gjennomslag. Forslaget ser også ut til å kunne gjelde for databehandlere, noe som ikke er avklart i SRB-dommen.
Ny foreslått tekst i definisjonen av personopplysninger er (utdrag):
«personal data» means any information relating to an identified or identifiable natural person (‘data subject’); … information relating to a natural person is not necessarily personal data for every other person or entity, merely because another entity can identify that natural person. Information shall not be personal for a given entity where that entity cannot identify the natural person to whom the information relates, taking into account the means reasonably likely to be used by that entity. Such information does not become personal for that entity merely because a potential subsequent recipient has means reasonably likely to be used to identify the natural person to whom the information relates.
Kommisjonen skal «adopt implementing acts to specify means and criteria to determine whether data resulting from pseudonymisation no longer constitutes personal data for certain entities».
NOYB kommenterer dette slik:
They stick with the «double subjective» definition, which will be impossible to manage in reality … It’s like defining a gun based on the intention to shoot, not the objective characteristics of a gun.
NOYBs synspunkt er ikke overraskende. Men jeg tror faktisk man kan ha et godt personvern til tross for denne endringen. Jeg synes heller ikke analogien med en pistol treffer helt. Hele poenget med definisjonen er jo manglende evne og intensjon til å bruke opplysningene til å identifisere.
Ut fra endringsforslaget virker det sannsynlig at vurderingen også kan gjøres for databehandlere. De er jo «recipients» i GDPRs definisjon. Det betyr i så fall at man kanskje ikke trenger databehandleravtaler dersom databehandleren ikke kan reidentifisere hvilke individer opplysningene gjelder. Det kan effektivisere mye – man kan for eksempel legge inn alminnelige taushetsformuleringer i en SaaS-avtale i stedet. Dette blir spennende å følge fremover.
Forskning
Viderebehandling til forskningsformål foreslås alltid å være forenelig med det opprinnelige formålet. Man vil også kunne unnlate å opplyse om slik (videre)behandling når dette er umulig eller vil kreve en uforholdsmessig innsats.
Ny definisjon av forskning i artikkel 4 lyder:
«scientific research» means any research which can also support innovation, such as technological development and demonstration. … This does not exclude that the research may also aim to further a commercial interest.
Dette kan få stor praktisk betydning for både akademisk og kommersiell forskning. Jeg har hatt mange saker hvor vi har finvurdert om en viss type analyse kan anses som forskning. Fremover kan dette bli langt enklere.
Meldefrist utsettes
Fristen på 72 timer for å melde avvik foreslås utvidet til 96 timer. Og innberetningsplikten skal alene gjelde for høyrisikobrudd på persondatasikkerheten.
Det skal komme ett sted der man kan melde alle hendelser for GDPR, NIS2 og DORA, samt Critical Entities Resilience (CER)-direktivet. Dette fremstår som en praktisk endring.
EDPB skal lage en «list of the circumstances in which a personal data breach is likely to result in a high risk to the rights and freedoms of a natural person». Det kan bli nyttig – særlig om veiledningen blir mer konkret enn i dag.
Ytterligere harmonisering
EDPB skal også lage en liste over aktiviteter som henholdsvis trenger og ikke trenger DPIA. I tillegg skal de lage felles DPIA-maler og metodikk, samt mal for melding av avvik (som del av endringene knyttet til artikkel 70).
Automatiske individuelle avgjørelser
Artikkel 22 foreslås presisert slik at automatiske individuelle avgjørelser blir tillatt for inngåelse av kontrakter (også der avgjørelsen kunne vært truffet manuelt), samt på bakgrunn av rettslige forpliktelser og samtykke. Dette er antakelig en konsekvens av at slike systemer blir vanligere og at man ønsker enklere regulering.
Avvisning av anmodninger fra de registrerte
Behandlingsansvarlige kan avvise forespørsler der den registrerte «abuses the rights conferred by (the GDPR) for purposes other than the protection of their data». Det er ikke klart hva «abuse» betyr i praksis, men behandlingsansvarlig får bevisbyrden.
Innskrenking av informasjonsplikt
Informasjonsplikten innskrenkes. Ny ordlyd i artikkel 13 (utdrag):
Paragraphs 1, 2 and 3 shall not apply where the personal data have been collected in the context of a clear and circumscribed relationship … unless the controller transmits the data to other recipients … transfers the data to a third country, carries out automated decision-making … or the processing is likely to result in a high risk …
Selv om informasjonsplikten innsnevres, er det positivt at den beholdes når opplysningene skal videregis til andre, overføres til tredjeland eller brukes for profilering.
Også informasjonsplikten for forskning innsnevres (utdrag):
When the processing takes place for scientific research purposes and the provision of information … proves impossible or would involve a disproportionate effort … the controller does not need to provide the information … In such cases the controller shall take appropriate measures … including making the information publicly available.
Det er lov å anta at mange vil forsøke å unngå informasjonsplikten fordi den tar tid. Det finnes liknende formuleringer i dag, men de har vært ment å tolkes restriktivt. Nå blir det viktig med tydelige føringer for hvor restriktivt dette skal forstås.
Hjemmel for særlige kategorier ved utvikling av AI
En ny artikkel 9(2)(k) foreslår å tillate bruk av særlige kategorier personopplysninger i KI-utvikling og drift – med krav om organisatoriske og tekniske tiltak for å unngå innsamling og behandling, og plikt til å fjerne slike data dersom de identifiseres.
Dersom fjerning krever «disproportionate effort», kan data likevel bli værende – men må «effektivt beskyttes uten ugrunnet opphold» mot å bli brukt til å produsere output eller deles med tredjeparter (utdrag):
(k) processing in the context of the development and operation of an AI system … subject to the conditions referred to in paragraph 5. … Where … the controller identifies special categories of personal data … the controller shall remove such data. If removal … requires disproportionate effort, the controller shall in any event effectively protect … such data from being used to produce outputs, from being disclosed or otherwise made available to third parties.
Dette er svært omdebatterte endringer. Det er antatt at unntaket i femte ledd kan bli brukt for behandling av særlige kategorier for å avdekke bias. Uansett ser det ut til at mer sensitive personopplysninger i større grad kan bli lagt inn i KI – ikke nødvendigvis bare negativt, men det endrer risikobildet.
Cookies inkorporeres i GDPR
Bestemmelser om cookies fra ePrivacy-direktivet foreslås tatt inn i GDPR (artikkel 88a). Fordelen er at tolkningstvil kan reduseres ved at reglene samles.
Det foreslås flere tydelige unntak fra samtykkekravet, blant annet for:
- ren kommunikasjon
- å levere en tjeneste brukeren etterspør
- aggregert statistikk for behandlingsansvarliges egen bruk
- sikkerhetsformål
Der samtykke er nødvendig, skal det kunne avslås med ett enkelt klikk. Dersom samtykke avslås, skal man ikke kunne spørre igjen før det har gått 6 måneder. Artikkel 88b åpner også for samtykke/avslag i nettlesere.
Det foreslås en særregel for «media service providers» som kan be om samtykke selv om operativsystemets innstillinger tilsier noe annet.
Endringer i AI Act
Som beskrevet over flyttes flere sentrale grep for KI-utvikling inn i GDPR. Men også KI-forordningen foreslås endret.
Tabellarisk oversikt over foreslåtte endringer finner du her:
László Pók – tabellarisk oversikt over foreslåtte endringer i AI Act
Tidsfrister forskyves
Høyrisikoreglene foreslås utsatt i opptil 16 måneder for å gi mer tid til å ferdigstille standarder. Interessant – særlig fordi representanter for Kommisjonen tidligere har sagt at dette var uaktuelt.
AI Literacy Obligation
Plikten til å sikre «AI literacy» foreslås flyttet fra virksomhetene til Kommisjonen og medlemsstatene. Det kan høres lite ut, men er et stort skritt bort fra hva KI-forordningen opprinnelig la opp til.
Færre må registrere AI-systemer
I dag må selskaper som vurderer at deres system ikke er høyrisiko, registrere systemene i EU-databasen. Forslaget søker å fjerne denne plikten. Virksomhetene må likevel opprettholde dokumentasjon som viser beslutningene deres og kunne fremlegge dette ved eventuell regulatorisk kontroll.
Endringer i Data Act
Beskyttelse av forretningshemmeligheter
Forslaget innfører nye tiltak for bedrifter som er bekymret for at konfidensiell informasjon havner i feil hender. Datainnehavere kan nekte å utlevere informasjon dersom det er betydelig risiko for at forretningshemmeligheter kan bli ulovlig brukt eller delt med enheter i tredjeland, særlig der beskyttelsen er svakere enn i EU. Et avslag må baseres på en konkret vurdering.
Innsnevring av datadeling mellom bedrifter og myndigheter
Mulighetene for at offentlige myndigheter kan kreve data innsnevres. Utløseren endres fra bredt definerte «eksepsjonelle behov» til mer presise «offentlige nødsituasjoner». Mikro- og småbedrifter får rett til kompensasjon når de må levere data under nødsituasjoner. Større selskaper må fortsatt levere data uten kompensasjon.
Tre regelverk slås sammen til ett
Kommisjonen foreslår å slå sammen tre instrumenter: forordningen om fri flyt av ikke-personopplysninger, dataforvaltningsloven og direktivet om åpne data. Målet er et enhetlig regelverk for gjenbruk av data som offentlige myndigheter besitter, og å fjerne overlapp og motstrid.
Andre saker
Er vi klare til å betale for nettjenester uten målrettet reklame?
Mye av innholdet på nettet tilbys «gratis» – altså uten at du betaler penger, men i stedet gir fra deg personopplysningene dine. Nå ser vi nye forretningsmodeller dukke opp, som «samtykk eller betal»-løsninger der du får velge mellom å akseptere sporing eller betale for å slippe.
Det franske datatilsynet CNIL har gjennomført en undersøkelse blant over 2000 franskmenn for å finne ut hva folk mener om å betale for tjenester som alternativ til målrettet reklame. Resultatene er interessante:
- Over halvparten betaler allerede for strømmetjenester for video, med et gjennomsnitt på €20 i måneden.
- For sosiale medier, helse og trening, nyheter og generativ AI ligger andelen som betaler under 10%.
- Mellom 24% og 33% sier de er villige til å betale for disse tjenestene som i dag er «gratis».
- Mellom 25% og 48% av brukerne sier de ville vært villige til å bytte til et betalt abonnement uten målrettet reklame.
- De betalingsvillige oppgir en betalingsvilje på €5,50–€9 per måned (avhengig av tjenesten).
- 51% mener personvern er ett av de tre viktigste kriteriene når de velger en digital tjeneste, og 21% rangerer det som viktigst.
- 64% sier de aktivt overvåker nettleserdataene sine (for eksempel endrer innstillinger eller bruker privat surfing).
Fremveksten av nye økonomiske modeller tydeliggjør at tjenester som fremstilles som «gratis» ofte er basert på en annen type betaling – utvinning av brukernes personopplysninger, noen ganger på svært inngripende måter. Det kan se ut som flere har innsett at ingenting egentlig er gratis. Spørsmålet er bare om vi vil betale med penger eller med data.
Les mer her: Are we ready to pay for online services without targeted advertising? | CNIL
Drømmen om ett enkelt EU-teknologitilsyn – realisme eller ønsketenkning?
Noen av de mest innflytelsesrike tenketankene i Brussel presser på for å få etablert én enkelt digital regulator. I oktober møttes digitale ministre fra EUs «digitale frontløperland» (D9+-gruppen) i Lisboa for å diskutere ideen om et felles EU-teknologitilsyn.
Noen mener Europa trenger et dedikert organ for å håndheve teknologilover og unngå interessekonflikter. Andre peker på at alt henger sammen med alt – også forenkling av regelverk. Om dette blir en realitet er usikkert. Det sitter langt inne for Kommisjonen å gi fra seg makt.
Les mer her: The two-fold case for a new EU tech enforcement agency | Euractiv
Når bankene skal dele mer for å forhindre svindel
Økonomisk kriminalitet er et økende problem. Nå vil Finansdepartementet gi banker og finansforetak utvidet adgang til å dele informasjon for å bekjempe dette. Datatilsynet støtter forslaget, men peker samtidig på behovet for å avgrense formålene og sette tydeligere rammer.
Tilsynet mener personvernreglene ikke er til hinder for økt deling når målet er å forebygge og avdekke økonomisk kriminalitet – men det krever klare hjemler og garantier som sikrer tillit.
Datatilsynet er særlig opptatt av at formålet i forslaget virker bredere enn nødvendig, og at utenlandske foretak som mottar opplysninger må være underlagt tilsvarende rammer som norske.
Les mer her: Høringssvar om informasjonsdeling for å bekjempe økonomisk kriminalitet | Datatilsynet
Om å klage på Datatilsynets valg av reaksjon
Saken startet med en arbeidstaker som klaget arbeidsgiveren inn til Datatilsynet. Tilsynet valgte korrigerende tiltak, men arbeidstakeren var ikke fornøyd med reaksjonen og klaget til Personvernnemnda. Nemnda sa nei – arbeidstakeren hadde ikke klagerett på dette.
Sivilombudet mente likevel at arbeidstakeren hadde klagerett etter GDPR artikkel 78(1). Personvernnemnda vurderte saken på nytt, men kom til samme konklusjon: fortsatt ingen klagerett – fordi arbeidstakeren ikke er part i saken mot arbeidsgiveren.
Konklusjonen i praksis: Du har klagerett dersom Datatilsynet avviser saken din eller mener det ikke foreligger brudd, og i enkelte tilfeller dersom tiltakene direkte påvirker din egen personvernsituasjon. Men du kan som regel ikke klage kun fordi du mener Datatilsynet burde reagert strengere.
Les mer her:
Når et forlag glemte «blindkopi» – og avslørte en forfatters identitet
Et gresk forlag fikk bot for å ha avslørt det virkelige navnet og kjønn til en forfatter som publiserte under pseudonym. Forlaget sendte en e-post til forfatterens private adresse, men gjorde den synlig for rundt 55 andre mottakere – og identiteten var dermed avslørt.
Det greske datatilsynet slo fast at behandlingsansvarlig delte særskilte kategorier personopplysninger med tredjeparter og kunne ha unngått hele situasjonen med enkle tiltak som blindkopi eller individuelle meldinger. Resultatet ble bot på 9 000 euro.
Lærdom: Sjekk mottakerlisten en ekstra gang før du trykker send.
Les mer her: GDPRhub – HDPA (Greece) 33/2025
Når ICC bytter ut Microsoft med tysk programvare
Den internasjonale straffedomstolen (ICC) i Haag bytter ut Microsofts kontorpakke med OpenDesk, en åpen kildekode-løsning fra det tyske senteret for digital suverenitet (ZenDiS). Bakgrunnen er at ICC-sjefanklager Karim Khan mistet tilgangen til sin Microsoft-e-post i mai, etter at president Trump signerte en ordre om sanksjoner mot ICC-tjenestemenn.
Hendelsen har gitt ny fart til debatten om Europas digitale suverenitet: Kan vi stole på amerikanske teknologiselskaper med våre data? Flere europeiske regioner vurderer å gjøre det samme, og EU-kommisjonen forhandler også om å flytte skytjenester bort fra Microsoft.
Les mer her: ICC replacing Microsoft workplace software with OpenDesk
Når IT-leverandøren svikter: 1,5 millioner svensker rammet av datalekkasje
I august ble svenske Miljödata rammet av et massivt ransomware-angrep, som påvirket rundt 200 kommuner og regioner. Angriperne fikk tak i sensitive personopplysninger, og en betydelig mengde ble senere publisert på dark web. Over 1,5 millioner mennesker ble berørt.
Flere virksomheter granskes nå av det svenske datatilsynet, inkludert Miljödata, Göteborg by, Älmhult kommune og Region Västmanland. Risikoen fremover er blant annet at angripere kontakter privatpersoner og forsøker å hente ut mer informasjon ved hjelp av de lekkede dataene.
Les mer her:
- Vastaamo data breach – Wikipedia
- Swedish DPA launches investigation into massive data breach affecting 1.5M people
- Massiv cyberattack mot systemleverantör – används av över 200 svenska kommuner
- Experten: En miljon svenskars personuppgifter publicerade på darknet
Deler av chat control parkeres
Forslaget til ny regulering mot materiale som viser overgrep mot barn (CSAM) har vært omstridt siden 2022, særlig fordi det kunne ha tvunget meldingstjenester til å undergrave kryptering og skanne private meldinger – derav kallenavnet «chat control».
Nå har det danske formannskapet varslet at de dropper obligatoriske skanningspålegg for å få støtte fra medlemslandene. Samtidig foreslås dagens midlertidige adgang til frivillig CSAM-skanning gjort permanent. Leverandører av høyrisikotjenester kan fortsatt bli pålagt å utvikle «relevante teknologier» for å redusere risiko. Hva dette innebærer i praksis er uklart, og kritikere frykter at det kan bli «chat control» i ny form.
Les mer her:
- Council document – ST-14032-2025-INIT (PDF)
- New Danish proposal for chat control: Three fat problems remain | Euronews
Nyhetsbrevet er skrevet av Eva Jarbekk i samarbeid med Maja Helene Christiansen Steien. Du kan abonnere på PrivacyTech slik at det kommer rett i innboksen din. Se lenger ned på siden for mer.