sandtro.no
22. feb 2026

Oppdatering personvern, GDPR og teknologirett mv. februar 2026

Innhold

Pasienter har rett til å få vite hvem som skrev journalnotatet – initialer er ikke nok

Høyesterett avsa 13. februar 2026 en dom (HR-2026-372-A) om innsyn i pasientjournal og spørsmålet om pasienten også har rett til å få opplyst navnet på helsepersonellet som har ført journalnotatet, når journalen bare er signert med initialer.

Saken gjaldt foreldre som ba kommunen opplyse hvem som hadde skrevet et journalnotat fra en konsultasjon ved legevakten. En sykepleier hadde i forbindelse med konsultasjonen sendt en bekymringsmelding til barnevernet, som etter undersøkelse henla saken. Foreldrene ønsket deretter å vite hvem som sto bak notatet og meldingen, for å kunne vurdere forsvarligheten av helsehjelpen, herunder habilitet og faglig kompetanse. Kommunen nektet å gi ut navnet og viste blant annet til hensynet til arbeidstakerens vern og personopplysningsloven § 16(1)(f) som grunnlag for unntak fra innsyn.

Høyesterett slår fast at helsepersonelloven § 40(2) krever at pasientjournalen skal inneholde informasjon som gjør det mulig å identifisere hvem som har ført opplysningene. Utgangspunktet er at fullt navn skal fremgå, men bruk av initialer kan aksepteres av praktiske grunner, forutsatt at pasienten ved behov kan få opplyst hvem initialene viser til.

Retten legger videre til grunn at pasientens innsynsrett etter pasient- og brukerrettighetsloven § 5-1 ikke kan avgrenses av hvordan journalen faktisk er ført. Innsynsretten omfatter også opplysninger som etter helsepersonelloven skal være del av journalen, herunder identiteten til den som har skrevet notatet. Pasienten har dermed krav på å få navnet opplyst direkte, uten å måtte gå veien om retting av journalen etter helsepersonelloven § 42. Dette bygger på at identiteten etter loven skal inngå i journalen, og da omfattes den også av innsynet.

Kommunen gjorde gjeldende at innsyn kunne nektes etter personopplysningsloven § 16(1)(f), som gir adgang til å begrense innsyn dersom det vil være i strid med «åpenbare og grunnleggende private eller offentlige interesser» å informere om opplysningen. Høyesterett understreker at terskelen for unntak er høy, og at belastninger for den ansatte i saken ikke var tilstrekkelig til å nekte innsyn, særlig når formålet var å kunne etterprøve forsvarligheten av helsehjelpen og det ikke forelå holdepunkter for at opplysningene ville bli misbrukt.

Høyesterett viser i denne sammenheng til EU-domstolens avgjørelse i Pankki S (C-579/21) som eksempel på at det ved innsyn må være en avveining mellom den registrertes innsynsrett og tredjepersoners personvern.

KS Advokatene, som prosederte saken for kommunen, har varslet at de vil arbeide for lovendring. De peker blant annet på at andre offentlig ansatte kan påberope seg kildevern etter forvaltningsloven § 19, mens helsepersonell mangler et tilsvarende vern i denne konteksten.

Dommen er ikke et uttrykk for at særlovgivning går foran GDPR. Tvert imot bygger Høyesterett på at innsynsretten i pasient- og brukerrettighetsloven § 5-1 er knyttet til artikkel 15, og at personopplysningsloven § 16(1)(f) gir et unntak. Poenget er derfor ikke at helselovgivningen erstatter GDPR, men at den konkretiserer hva innsynsretten omfatter i helsesektoren. Altså: GDPR setter rammen, mens helselovgivningen i dette tilfelle fyller den med innhold.

Datatilsynet varsler tilsyn med alle landets kommuners håndtering av informasjonssikkerhet

Som del av Totalforsvarsåret 2026 har Datatilsynet satt i gang et omfattende tilsyn med hvordan norske kommuner sikrer personopplysninger. Alle landets 357 kommuner er pålagt å svare på spørsmål om personopplysningssikkerhet innen 20. februar 2026.

Bakgrunnen er at tidligere tilsyn og avviksmeldinger viser stor variasjon i modenheten hos norske kommuner. Datatilsynet peker særlig på to risikoområder: svake autentiseringsløsninger som ofte er årsaken til sikkerhetsbrudd, og mangelfulle rutiner for sikkerhetskopiering og gjenoppretting som gjør konsekvensene av digitale angrep unødvendig store.

Tilsynet gjennomføres i tre faser i løpet av 2026 som er kartlegging, dokumentasjonsfremleggelse og stedlige tilsyn.

Spørreskjemaet er offentlig tilgjengelig og gir et godt bilde av hva Datatilsynet forventer. Det dekker fire områder som er relevante for alle virksomheter, ikke bare kommuner:

  • Styringssystem: Er det etablert system for informasjonssikkerhet og personvern?
  • Autentisering og tilgangsstyring: Brukes det multifaktor-autentisering, og er det rutiner for tildeling og avslutning av tilganger?
  • Gjenoppretting: Foreligger det retningslinjer og øvelser for gjenoppretting av data og systemer etter angrep?
  • Beredskap: Foreligger det en beredskapsplan med klare ansvarsforhold, aktiviteter og varslingsrutiner?

Datatilsynet skal ha tilsyn med skoler

I tillegg til tilsynet ovenfor, skal Datatilsynet ha stedlige tilsyn med fem kommuner om personvern i grunnskolen. I fjor kartla de status gjennom brevtilsyn med 50 kommuner og stedlig tilsyn med fire. Denne gangen er det altså ikke bare kartlegging, men alså stedlig tilsyn som innebærer dokumentgjennomgang og intervjuer.

Tilsynet dekker digitale læringsverktøy og samhandlingsplattformer (typisk Teams og Google Workspace), og Datatilsynet har utvidet scopet etter å ha mottatt flere klagesaker og et økende antall avviksmeldinger knyttet til digitale verktøy i skolen. Kommunene som får besøk (i denne runde) er Hustadvika, Bardu, Målselv, Stavanger og Sola.

Tilsynsvarselet viser hva Datatilsynet er opptatt av, som det kan være greit å notere seg for alle kommuner, ikke bare de fem utvalgte:

  • Rutiner for innkjøp, risikovurdering, DPIA og databehandleravtaler
  • Hvordan en lærer faktisk skal gå frem for å ta i bruk et nytt digitalt verktøy
  • Oversikt over alle læringsverktøy i bruk
  • Tilgangsstyring, som at elever ikke ser andre elevers eller ansattes opplysninger
  • Om leverandører og tredjeparter bruker opplysninger om elever til egne formål
  • Informasjon til elever og foresatte om behandling av personopplysninger

Kommunene har to ukers frist til å levere dokumentasjon. Finner Datatilsynet avvik, vil det kunne komme forhåndsvarsel om pålegg.

Nye sandkasserapporter om datadeling i finanssektoren

Datatilsynet og Finanstilsynet har publisert fire sluttrapporter fra felles sandkasseprosjekter om datadeling i arbeidet mot økonomisk kriminalitet. Prosjektene ble gjennomført høsten 2024 med deltakelse fra store aktører i finansnæringen, blant annet DNB, SpareBank 1, Nordea og Finans Norge.

Et gjennomgående funn er at dagens regelverk setter klare grenser, men at det samtidig finnes et handlingsrom som ikke alltid utnyttes fullt ut. Et sentralt formål med prosjektene var nettopp å skille mellom opplevde hindringer og reelle juridiske begrensninger, noe som har vært en kilde til usikkerhet i bransjen.

De fire rapportene dekker informasjonsdeling mellom banker for å bekjempe betalingsbedrageri, utvidet bruk av BankID-data, etablering av tipskanal for forsikringssvindel og sentralisering av antihvitvaskingsarbeid i Eika-gruppen. Rapportene inneholder også de juridiske vurderingene deltakerne har gjort, og er dermed nyttige ikke bare for finanssektoren, men for alle som jobber med datadeling og personvern i regulerte bransjer.

Prosjektene er særlig interessante sett i sammenheng med Datatilsynets høringssvar om informasjonsdeling i finanssektoren, omtalt i forrige nyhetsbrev, der tilsynet støttet økt deling, men ba om tydeligere hjemler og snevrere formål. Sandkasserapportene viser i praksis hvordan slike vurderinger gjøres konkret.

Oppdatering av sandtro.no

Mine nettsider har fått en etterlengtet oppdatering (takk til alle som har «oppfordret» meg til å gjøre dette over lang tid). Siste større oppdatering var for ca. 1,5 år siden, og med ny funksjonalitet og mer informasjon er målet å ha et oppslagsverk for generelt personvernarbeid. Nettsidene mine er oppdatert med ny funksjonalitet og mer innhold. Målet er å gjøre dem til et oppslagsverk for dem som jobber jevnlig med personvern.

For hver artikkel i GDPR er det tatt inn:

  • Sammendrag av innholdet i artikkelen
  • Kobling mot relevant paragraf i personopplysningsloven, mot andre aktuelle bestemmelser i GDPR og mot annen aktuell lovgivning eller regelverk
  • Relevante fortalepunkter for den enkelte artikkel fordelt på primære og øvrige fortalepunkter
  • Engelsk tekst knyttet til den norske teksten

Og personopplysningsloven er også tatt inn for å sørge for koblinger mot GDPR. Jeg håper dette blir et nyttig verktøy for personvernpraktikerne og andre som er borte i personvern.

Det vil også komme flere verktøy, dokumenter og maler på sidene.

EDPB og EDPS støtter delvis Digital Omnibus

EDPB og EDPS (EUs personvernråd og EUs datatilsyn) har avgitt felles uttalelse om Digital Omnibus-forslaget som ble omtalt i forrige nyhetsbrev. De støtter forenkling og konkurransekraft, men ønsker ikke at definisjonen av personopplysninger endres.

Kommisjonen vil snevre inn personopplysningsbegrepet og gi seg selv myndighet til å bestemme gjennom gjennomføringsrettsakter hva som ikke lenger er personopplysninger etter pseudonymisering. EDPB og EDPS mener dette går langt utover EU-domstolens praksis og anbefaler sterkt at endringen droppes. Datatilsynet deler denne bekymringen.

Men det er andre ting som støttes i Omnibus-forslaget som:

  • Høyere terskel og lengre frist (96 timer) for avviksmeldinger – med felles maler og DPIA-maler på kjøpet (se også om EDPBs arbeidsprogram nedenfor)
  • Nytt unntak for biometrisk autentisering der verifiseringsmiddelet er under den enkeltes kontroll
  • Harmonisert definisjon av «vitenskapelig forskning»
  • Nye cookie-regler som skal redusere samtykketretthet, med tilsynsansvar til datatilsynsmyndighetene (Datatilsynet har i dag bare delvis tilsynsmyndighet over cookies i Norge)

Når det gjelder AI, mener EDPB at det ikke trengs en egen bestemmelse om berettiget interesse – det er allerede dekket. Unntaket for tilfeldig behandling av sensitive data i AI-systemer støttes i prinsippet, men trenger tydeligere avgrensning. Endringene i artikkel 22 om automatiserte beslutninger må også klargjøres.

Uttalelsen er stort sett i tråd med det vi har ventet, men den klare advarselen mot å endre personopplysningsbegrepet er viktig å merke seg. Nå kan det vise seg at Rådet har fjernet dette forslaget.

EDPB og EDPS avga allerede 21. januar en egen uttalelse om den AI-spesifikke delen av Omnibus-forslaget. Der fraråder de å fjerne registreringsplikten for AI-systemer som leverandøren selv klassifiserer som «ikke høyrisiko» siden de mener det undergraver ansvarliggjøring. De aksepterer utvidet bruk av sensitive data for bias-deteksjon, men vil begrense adgangen til situasjoner der risikoen er tilstrekkelig alvorlig. De krever også at datatilsynsmyndighetene involveres direkte i regulatoriske sandkasser for AI.

EDPB har kommet med sitt arbeidsprogram 2026–2027 - flere veiledere

EDPB vedtok 12. februar sitt arbeidsprogram for 2026–2027. EDPB bekrefter at det kommer retningslinjer om:

  • Samtykke eller betal (consent or pay)
  • Anonymisering og pseudonymisering
  • Barns personopplysninger
  • Generativ AI og dataskraping
  • Samspillet mellom AI-forordningen og GDPR
  • Politisk reklame

I tillegg skal EDPB utvikle maler, sjekklister og praktiske veiledere rettet mot et bredere publikum.

De nye prosedyrereglene for GDPR (vedtatt som egen EU-forordning) skal tas i bruk, og EDPB varsler evaluering og forbedring av IT-verktøyene som støtter samarbeidet mellom datatilsynsmyndighetene.

Det kommer ytterligere veiledning om praktisk bruk av overføringsmekanismene under GDPR og Law Enforcement Directive (LED), som er EU-direktiv 2016/680 om behandling av personopplysninger i forbindelse med straffesaker og kriminalitetsforebygging. Det ble vedtatt samtidig med GDPR og regulerer politiets og påtalemyndighetens behandling av personopplysninger. I Norge er LED gjennomført gjennom politiregisterloven.

EDPB-rapport viser syv sentrale utfordringer med plikten til å slette

Som en del av arbeidsprogrammet omtalt ovenfor, publiserte EDPB 18. februar også en rapport fra den koordinerte tilsynsaksjonen (CEF) om retten til sletting etter GDPR artikkel 17. Gjennom 2025 deltok 32 datatilsyn, og 764 behandlingsansvarlige ble undersøkt.

Flere av funnene passer med aksjonen om innsynsretten i 2024 ved manglende interne rutiner for håndtering av slettekrav og utilstrekkelig informasjon til de registrerte.

Det mest interessante er funnene knyttet til anonymisering som alternativ til sletting ved at det brukes teknikker for anonymisering som ikke holder mål. Her kan det være verdt å merke seg at anonymisering og pseudonymisering nettopp er ett av temaene EDPB har varslet nye retningslinjer om i arbeidsprogrammet, se nyheten over. Rapporten peker også på vanskeligheter med å fastsette lagringstider og med sletting i sikkerhetskopier, samt mangelfulle balansevurderinger der sletting må avveies mot andre rettigheter.

Neste CEF-aksjon i 2026 retter seg mot åpenhets- og informasjonsforpliktelsene (artiklene 12, 13 og 14).

EU-domstolen: EDPBs bindende avgjørelser kan bringes inn direkte for EU-domstolen

I tidligere nyhetsbrev er det omtalt at EU-domstolen slo fast at Personvernrådet (EDPB) kan instruere nasjonale tilsynsmyndigheter til å utvide sine undersøkelser gjennom bindende avgjørelser etter GDPR artikkel 65. Nå har EU-domstolen avklart at virksomheter som rammes av slike avgjørelser, kan bringe dem direkte inn for EU-domstolen.

Saken (C-97/23 P) gjaldt WhatsApp, som i 2021 ble ilagt en bot på 225 millioner euro av det irske datatilsynet (DPC). Boten var langt høyere enn DPCs eget forslag på ca. 30 millioner, fordi EDPB gjennom en bindende avgjørelse etter artikkel 65 instruerte tilsynet om å skjerpe sanksjonen betydelig. WhatsApp saksøkte EDPBs avgjørelse direkte for EU-domstolen (se tidligere nyhetsbrev), som avviste søksmålet. EU-domstolen (i første instans) mente avgjørelsen bare var et forberedende skritt, og at WhatsApp i stedet måtte angripe DPCs endelige vedtak i irske domstoler.

EU-domstolen (i øverste instans) opphever denne kjennelsen. Domstolen slår fast at EDPBs bindende avgjørelser etter artikkel 65 produserer bindende rettsvirkninger overfor tredjeparter og uttrykker EDPBs endelige standpunkt og kan derfor prøves direkte etter TEUV artikkel 263. Begrunnelsen er at det nasjonale tilsynet ikke har noe reelt skjønn: Det kan verken endre konstateringen av brudd, fravike instruksen om korrigerende tiltak eller justere boten. Når EDPB reelt bestemmer utfallet, må den avgjørelsen kunne prøves rettslig.

“76. It follows from all those considerations that the decision at issue constitutes an act of an EU body intended to produce legal effects vis-à-vis third parties and expressing the definitive position of that body … Thus, that decision constitutes … an act open to challenge.”

Det følger av dommen at fristen for å angripe en EDPB-avgjørelse direkte løper fra publiseringsdatoen på EDPBs nettsider og ikke fra det tidspunktet virksomheten faktisk ble kjent med innholdet. Virksomheter som er involvert i grenseoverskridende håndhevelsessaker bør derfor følge med på EDPBs publiseringer og raskt vurdere med prosessuell rådgiver om det er grunnlag for direkte søksmål siden fristen kan løpe uten at virksomheten selv er varslet.

Dommen åpner for direkte domstolsprøving av en rekke allerede verserende saker. Meta har flere parallelle søksmål mot EDPB som gjelder en bindende avgjørelse som førte til en bot på 390 millioner euro knyttet til Facebook og Instagram, og disse vil nå kunne fremmes til realitetsbehandling.

Prinsipielt er dommen en naturlig forlengelse av den tidligere avgjørelsen om EDPBs instruksjonsmyndighet. Når EDPB har fått makt til å bestemme utfallet i en sak, må dette også kunne overprøves rettslig. Dette gir de teknologigigantene (blant annet) et nytt prosessuelt verktøy, og viser at EDPB nå må behandles som et EU-organ med domstolskontroll, og ikke bare et koordineringsråd. Det styrker rettssikkerheten, men kan samtidig forsinke den endelige avklaringen i store håndhevelsessaker, som kan gjøre at kampen mot de store amerikanske teknologiselskapenes (mis)bruk av personopplysninger blir vanskeligere. Saken sendes nå tilbake til førsteinstans (General Court) for ny behandling.

Klargjøring om overføring til tredjeland i databehandleravtaler

Det danske datatilsynet har svart på en konkret forespørsel om hvordan klausuler i databehandleravtaler skal vurderes når databehandleren forbeholder seg retten til å overføre personopplysninger til tredjeland i særlige tilfeller, som er en problemstilling mange kjenner fra avtaler med cloudleverandører.

Spørsmålet er om slike klausuler utgjør en «tilsiktet» overføring som krever overføringsgrunnlag etter GDPR kapittel V, eller om de faller utenfor. Det danske datatilsynet hadde tidligere lagt til grunn at en slik klausul i seg selv var tilstrekkelig til at overføringen måtte anses som tilsiktet. Etter EDPBs uttalelse 22/2024 er bildet mer nyansert: En behandlingsansvarlig som ikke aktivt har instruert databehandleren om hvilke overføringer som er akseptert, eller eksplisitt instruert om ikke å overføre til tredjeland, kan ikke uten videre påberope seg at overføringen er «utilsiktet».

I praksis betyr dette at behandlingsansvarlige bør gjennomgå sine databehandleravtaler og vurdere om instruksene er tilstrekkelig presise. Vage eller åpne formuleringer gir ikke nødvendigvis den beskyttelsen man tror.

Uttalelsen bygger på EDPBs felles retningslinjer og er dermed prinsipielt relevant også i Norge, selv om Datatilsynet her hjemme ikke har uttalt seg eksplisitt om det samme spørsmålet.

ESA henlegger klagen – tar ikke stilling til om norske domstoler tolker GDPR riktig

I tidligere nyhetsbrev er en avgjørelse fra Gulating lagmannsrett omtalt, hvor lagmannsretten kom til at en internett-blogg var ikke omfattet av GDPR siden innholdet på bloggen ble lagt inn manuelt (og var ikke «automatisert behandling» etter GDPR artikkel 2(1) (som er vanskelig å forene med etablert EU-rett og praksis fra EU-domstolen).

Saken ble ikke sluppet inn for behandling i Høyesterett, og den registrerte klaget Norge inn for EFTAs overvåkningsorgan (ESA) i august 2025. Påstanden var at Sør-Rogaland tingrett og lagmannsretten har feiltolket GDPR artikkel 2(1) og artikkel 17.

ESA henla derimot saken 4. februar 2026 begrunnet av kapasitetshensyn pga. begrensede ressurser og økt arbeidsmengde, og saken kan ikke prioriteres. Avgjørelsen fra ESA er veldig kortfattet, men den tar verken norske domstoler i forsvar eller kritiserer dem, men avstår fra å gi tolkningen noen form for legitimering.

Dette gir en interessant situasjon, for om det nå påstås at GDPR ikke gjelder for internettblogger, kan det vises til klar presedens som domstolene må følge. Vi har en lagmannsrettsavgjørelse som i praksis innebærer at den som publiserer personopplysninger på en nettside kan unngå slettekrav etter GDPR artikkel 17, så lenge innholdet er skrevet «for hånd» av en enkeltperson. Men det kan være at EU-domstolens avgjørelse (som i Lindqvist (C-101/01)) overkjører lagmannsrettens avgjørelse. I denne saken ble publisering av personopplysninger på en nettside ansett som behandling i direktivets forstand – uavhengig av om inntastingen var manuell. Blir dette tema i en senere sak, så får vi håpe at Høyesterett tar saken inn for behandling, så denne forstyrrende avgjørelsen fra lagmannsretten nulles.

Øvrige nyheter

Ny felles myndighetsportal for digital sikkerhet: sikkert.no. NSM, Digitaliseringsdirektoratet, politiet og Datatilsynet lanserte 20. januar portalen sikkert.no. Dette skal være en felles inngang til råd og veiledning om digital sikkerhet for virksomheter og privatpersoner. Portalen skal gjøre det tydeligere hvilke myndigheter som kan kontaktes ved sikkerhetshendelser og gi råd om forebygging. Første versjon gir grunnleggende informasjon og oversikt over ansvarsforhold mellom myndighetene. Portalen bygger på målene i Totalberedskapsmeldingen og Nasjonal sikkerhetsstrategi om styrket digital motstandskraft.

EU la i januar frem en cybersikkerhetspakke som blant annet foreslår å erstatte cybersikkerhetsforordningen fra 2019 og styrke ENISAs operative rolle. Et sentralt element er et nytt rammeverk som kan gi EU-myndigheter adgang til å begrense eller utestenge høyrisikoleverandører fra kritisk infrastruktur, som i praksis er rettet mot kinesiske leverandører innen tele, energi og transport. Pakken inkluderer også målrettede endringer i NIS2-direktivet, som fortsatt er under utredning for norsk gjennomføring. Rettsaktene skal nå behandles i Rådet og Europaparlamentet.

Som nevnt i tidligere nyhetsbrev er NIS2 fortsatt under utredning for norsk gjennomføring samtidig som direktivet nå endres, og et EU-rammeverk for høyrisikoleverandører vil påvirke norske virksomheter i sektorer som tele, energi og transport. Dette selv om Norge ikke er EU-medlem, fordi leverandørmarkedet er felles.

NIS2 kan treffe norske IT-driftsselskaper hardere enn ventet. Og noe som ikke så mange er klar over: Norske konsern som samler IT-drift i egne datterselskaper bør vurdere om de allerede er omfattet av NIS2 – ikke gjennom norsk lov, men gjennom kontrakter med svenske og europeiske kunder. Dette skriver Arne Byberg og Wegard Kyoo Bergli om. Sverige gjennomførte NIS2 15. januar, og norske leverandører møter kravene i kontraktsveien uansett. Managed services er eksplisitt omfattet av NIS2, og et internt IT-driftsselskap kan bli NIS2-virksomhet selv om konsernet ellers ikke opererer i klassiske NIS2-sektorer. Terskelverdiene som tilsynelatende unntar små selskaper gir heller ikke automatisk fritak – konsernstrukturen teller med, slik at terskelen kan være overskredet på gruppenivå.

I praksis står mange norske virksomheter derfor overfor et strategisk valg: intern IT-drift underlagt NIS2 med krav til styring, sikkerhet, rapportering og personlig lederansvar – eller outsourcing.

Nye EU-krav til avanserte elektroniske signaturer og «elektroniske segl». EU-kommisjonen har vedtatt en ny gjennomføringsrettsakt til eIDAS-forordningen (910/2014) som fastsetter felles tekniske krav til avanserte elektroniske signaturer og segl som offentlige virksomheter må støtte. Formålet er å sikre interoperabilitet på tvers av landegrensene, herunder gjensidig anerkjennelse og validering. Kravene trer i kraft i EU fra 23. februar 2027. For Norge må rettsakten først innlemmes i EØS-avtalen gjennom en EØS-komitébeslutning.

Ta forholdsregler ved lagring av data og bruk av USA-baserte tjenester når det utvikles programvare. Datatilsynets direktør Line Coll kan ikke bekrefte for utviklere at det er trygt å bruke amerikanske tjenester til å lagre data og kjøre tjenester i et intervju i Kode24. «Før var usikkerheten knyttet til avtaler og regelverkskrav til overføring av opplysninger mellom Europa og USA. Nå er risikobildet snudd helt på hodet. Det er blitt til noe vi ikke kan stole på i det hele tatt», sier Coll. Coll mener imidlertid ikke at man må gå helt vekk fra amerikanske leverandører, men man bør ha oversikt over risikoen man har knyttet til de ulike leverandørene. Akkurat nå framstår de amerikanske leverandørene som det kanskje største usikkerhetselementet, og da må man ha en plan B for de mest kritiske løsningene, råder Coll.

AWS lanserer European Sovereign Cloud. AWS har lansert en ny europeisk sky-løsning som skal gi europeiske virksomheter og myndigheter full datakontroll innenfor EU. Løsningen driftes utelukkende av EU-borgere, all data og metadata lagres i Europa, og det er etablert egne europeiske selskapsstrukturer uten operasjonell kontroll utenfor EU. Men om dette vil gi reelt vern mot amerikanske myndigheters innsyn er fremdeles usikkert, siden AWS er og forblir et amerikansk selskap (og hvor eieren Jeff Bezos har tette bånd til Trump). Den europeiske konstruksjonen er gjennomført gjennom tyske datterselskaper, men morselskapet er fortsatt Amazon Web Services Inc. Ingen domstol har til nå avklart om en slik strukturell separasjon faktisk blokkerer CLOUD Act-krav rettet mot Amazon som konsern. AWS European Sovereign Cloud er et interessant alternativ, men ikke nødvendigvis løsningen.

Delvis utfasing av de mest kritiske funksjonene, fremfor full skyexit. Tilsvarende som Coll, gir Silje Føyen og advokat Arve Føyen det råd at man må foreta en vurdering av hvilke data og prosesser som vil medføre høyest risiko hvis de faller bort pga. stans av amerikanske leveranser enten faktisk eller rettslig. Det er ikke realistisk med en stor migrering fra amerikanske leverandører – man må se på de enkelte tjenester og starte med de kritiske først. De gir det råd å lage en konkret utgangsstrategi per scenario, knyttet til tekniske og organisatoriske tiltak, og gjøre fortløpende vurderinger, kontrollere at tiltakene virker, øve på nødtilgang og gjenoppretting, og sørge for at dette fungerer i praksis. Dette er i tråd med Datatilsynets veiledning om overføringer til USA.

Dansk datatilsyn kritiserer 51 kommuner i Chromebook-sak. Det danske datatilsynet har avgitt alvorlig kritikk mot 51 kommuner for bruken av Googles produkter i grunnskolen og advart om at gjeldende oppsett sannsynligvis er i strid med GDPR. Kjernen i kritikken er at kommunene ikke har tilstrekkelig oversikt over og dokumentasjon for behandlingene som skjer hos Googles underdatabehandlere utenfor EU, og at dette ansvaret ligger hos kommunene, ikke hos Google.

Saken er interessant for norske kommuner og virksomheter som bruker Google eller andre skyplattformer med underdatabehandlere utenfor EU, og bør også kontrollere at de har tilsvarende dokumentasjon i orden.

Rekordmange personvernhendelser i Sverige i 2025, melder det svenske datatilsynet IMY i sin årsrapport. Det ble mottatt hele 12 276 varsler, som er det høyeste antallet siden GDPR trådte i kraft i 2018. Økningen skyldes i stor grad datainnbrudd hos leverandører med mange behandlingsansvarlige som kunder, noe som utløser varslingsplikten hos svært mange virksomheter samtidig. Hendelsene har medført at personopplysninger om en stor del av Sveriges befolkning, og i stor grad barn, er blitt publisert på Darknet, den lukkede og krypterte delen av internett, etter at utpresningsforsøkene mot de rammede virksomhetene ikke førte frem. IMY presiserer at datainnbrudd ikke nødvendigvis betyr at virksomheten har brutt GDPR, men at etterlevelse av regelverket reduserer risikoen for at slike lekkasjer skjer.

Trenden er den samme i Norge. Det understreker at både forebygging – gjennom sikring av systemer, rutiner og opplæring – og håndtering når hendelser likevel skjer, gjennom konsekvensreduserende tiltak og riktig varsling, er helt avgjørende.

Svensk idrettsplattform bøtelagt etter massivt datainnbrudd. En illustrasjon av saken over er at IMY ila selskapet Sportadmin en bot på 6 millioner svenske kroner etter et datainnbrudd i januar 2025 der opplysninger om over 2,1 millioner personer ble publisert på Darknet. Opplysningene gjaldt i hovedsak barn og unge, som navn, kontaktopplysninger, personnummer og idrettstilknytning, men også helseopplysninger og andre sensitive personopplysninger. Sportadmin var over lang tid kjent med svakheter i egne systemer, men gjorde ikke tilstrekkelig for å lukke dem. Selskapet manglet også rutiner for å oppdage sikkerhetsbrudd og hadde ikke systemer for sanntidsovervåking av innbruddsforsøk. Dette var et brudd på GDPR artikkel 32 om informasjonssikkerhet. Saken er en påminnelse om at kjente risikoer må følges opp aktivt.

Datatilsynet mangler tilstrekkelig sikkerhet på e-post. Apropos datasikkerhet: Sikkerhetseksperten, Per Thorsheim, som har undersøkt sikkerheten for mange virksomheter den siste tiden, har kritisert Datatilsynet for ikke å ha tilstrekkelige sikkerhetstiltak på sin e-postserver. Kritikken gjelder særlig e-utdatert TLS-konfigurasjon og manglende DANE, som gjør det vanskeligere å sikre tvungen kryptering og korrekt mottakerserver. Se nærmere på den anerkjente tjenesten Internet.nl. Tilsynet overholder heller ikke kravene i forskriften om IT-standarder i offentlig forvaltning som pålegger å implementere moderne sikkerhetsstandarder innen 1. januar 2023. Datatilsynet har gjort noen grep (men mangler ennå enkelte sentrale endringer, se bilde nedenfor). Tilsynet mener imidlertid at de ikke sender mye sensitiv e-post og har sikre kommunikasjonsløsninger. (Men hva med e-post som mottas?).

Nederlands datatilsyn hacket – ansattopplysninger på avveie. Dette oppsummerer kanskje en del av nyhetene ovenfor: Det nederlandske datatilsynet ble tidligere i februar utsatt for et datainnbrudd der uvedkommende fikk tilgang til ansattes navn, jobbrelaterte e-postadresser og telefonnumre. Angriperne utnyttet en kjent og kritisk sårbarhet i Ivanti Endpoint Manager Mobile (EPMM), programvare for administrasjon av mobile enheter. Sårbarheten er rangert til 9,8 av 10 i alvorlighetsgrad og gjør det mulig å kjøre ekstern kode på upatchede servere uten autentisering. Det nederlandske nasjonale cybersikkerhetssenteret (NCSC) anbefaler alle organisasjoner som bruker EPMM å installere tilgjengelige oppdateringer umiddelbart. Også den nederlandske domstolsadministrasjonen ble rammet av det samme angrepet.

Saken illustrerer at ingen er immune og at patchhåndtering er helt grunnleggende, uansett hvilken organisasjon det gjelder. Og saken er absolutt relevant også for norske virksomheter – og myndigheter.

Meanwhile knuser amerikanerne ringeklokkene sine … av personvernhensyn

Bakgrunnen er en reklame på Super Bowl i år, hvor det Amazon-eide selskapet Ring viste hvordan deres dørklokker med video viste hvordan KI med gjenkjenningsteknologi kunne finne savnede hunder.

Men mange reagerte mer på at med slik teknologi var det ikke så langt til å gjenkjenne mennesker også. «KI-en er trent på titusenvis av hundevideoer, slik at den kan kjenne igjen ulike raser, størrelser, pelsmønstre, kroppsform, særtrekk, unike kjennetegn, fasong og farge», skrev Andy Jassy, daglig leder i Amazon, på LinkedIn. Tilsvarende er det ikke veldig komplisert å lage en tilsvarende løsning for å finne ut om samme person er filmet av to dørklokker.

Ring har også inngått et samarbeid med overvåkingsselskapet Flock Safety hvor sistnevntes teknologi skulle gi amerikanske myndigheter tilgang til videoopptak fra Rings dørklokker. Selskapet har hevdet at all deling skal være frivillig og kun gjøres med autorisert politi. Hva som er frivillig og autorisert er nok ikke like strengt i USA som det er under GDPR. At data er delt med bl.a. ICE hjelper ikke markedsføringsmessig.

Dermed har flere amerikanere knust kameraene sine i protest siden de frykter hva Ring kan bruke dataene til. Og Amazon har jo ikke en spesielt god historikk for personvern og ulovlig bruk av data

Dog Escapes Home and Then Uses Doorbell to Be Let Back Inside

 

← Tilbake til nyhetsbrev