USA instruerer diplomater om å motarbeide datasuverenitet og karakteriserer GDPR som unødvendig byrdefull
USAs utenriksminister Marco Rubio har instruert amerikanske diplomater om å aktivt motarbeide andre lands initiativer for å begrense dataflyt og forsøk på å sikre at data (og da personopplysninger) behandles innenfor visse områder (som egen nasjon eller EØS). Rubio beskriver slike tiltak som forstyrrende for globale datastrømmer, kostnadsdrivende og begrensende for AI- og skytjenester. GDPR nevnes eksplisitt som et eksempel på regelverk som pålegger «unnecessarily burdensome data processing restrictions and cross-border data flow requirements».
Diplomatene er pålagt å overvåke utviklingen av forslag som begrenser data over landegrensene og er utstyrt med samtalepunkter som fremmer Global Cross-Border Privacy Rules Forum som alternativ modell. Instruksjonene er en del av en bredere strategi for den amerikanske regjeringen ved at Rubio instruerte diplomater om å mobilisere motstand mot EUs Digital Services Act også i fjor.
Utspillet har betydning for EU-US Data Privacy Framework (DPF). Når den amerikanske administrasjonen omtaler GDPR som unødvendig byrdefull og aktivt motarbeider europeisk personvernregulering, styrkes argumentet for at det politiske grunnlaget for DPF er ustabilt. Dette grunnlaget vakler nå mer og mer, og det er spørsmål om hvor lenge det vil holde.
EU-rådet vedtar forhandlingsmandat for Digital Omnibus
EU-rådet vedtok 13. mars 2026 sitt forhandlingsmandat for den delen av Digital Omnibus-pakken som gjelder AI Act (se omtale av pakken i nyhetsbrevet for januar 2026). Det betyr at forhandlinger med Europaparlamentet starter.
Rådet fjerner Kommisjonens forslag om å endre definisjonen av personopplysninger i GDPR artikkel 4(1). Kommisjonen ville presisere at pseudonymiserte opplysninger ikke nødvendigvis er personopplysninger for en mottaker som ikke kan reidentifisere den registrerte. EDPB (EUs personvernråd) og EDPS (EUs datatilsyn) frarådet endringen i sin fellesuttalelse fra januar og mente den ville skape mer rettslig usikkerhet (se nyhetsbrevet for februar 2026). Rådet har fulgt denne anbefalingen.
Kommisjonens opprinnelige forslag fra november 2025 foreslo å utsette reglene for høyrisiko-KI med inntil 16 måneder, utvide unntak for SMB-er til også å gjelde «small mid-caps», og gi utvidet adgang til å behandle særlige kategorier personopplysninger for å oppdage og korrigere bias i KI-systemer.
Rådet har gjort flere endringer, som at registreringsplikten for KI-systemer i EU-databasen gjeninnføres, og at også der tilbyder selv mener systemet ikke er høyrisiko. Dette er i tråd med EDPB og EDPS’ anbefaling fra januar (se nyhetsbrevet for februar 2026). Standarden «streng nødvendighet» beholdes for behandling av særlige kategorier personopplysninger til bias-deteksjon, i motsetning til Kommisjonens forslag om å lempe på dette. Rådet har også lagt til et nytt forbud mot KI-generert ikke-samtykket seksuelt innhold og overgrepsmateriale (CSAM), som ikke var i Kommisjonens forslag.
Samtidig bekrefter Rådet utsettelse av sentrale regler. Reglene for frittstående høyrisiko-KI skal gjelde fra 2. desember 2027 og for høyrisiko-KI integrert i produkter fra 2. august 2028. Fristen for å etablere nasjonale regulatoriske sandkasser utsettes tilsvarende til desember 2027.
Dette skaper usikkerhet for Norge, siden vi skal vedta KI-loven i 2026, men det er uklart hvilken versjon av forordningen som til slutt skal gjennomføres. Endelig utfall avhenger av forhandlingene med Parlamentet.
Risikovurdering for behandling av personopplysninger - nå som digital løsning
I flere år har jeg hatt en risikovurdering for behandling av personopplysninger tilgjengelig som regneark på sandtro.no. Nå har jeg laget en nettbasert versjon som er forbedret – både i innhold og funksjonalitet.
Løsningen lar deg gjennomføre en strukturert risikovurdering direkte i nettleseren, uten at data lagres på noen server. Du kan eksportere til PDF eller Word, lagre underveis og importere igjen senere. Da kan du lage maler, dele vurderingen eller ta en pause for å fortsette senere.
Du finner løsningen her: https://sandtro.no/risikovurdering.php sammen med flere verktøy her: https://sandtro.no/verktoy.php.
Og ikke nok med det: Vurdering for berettiget interesse
Jeg har også hatt et Word-skjema for vurdering av berettiget interesse etter GDPR artikkel 6(1)(f) tidligere på nettsidene.
Nå er dette skjemaet konvertert til nettversjon samt gjort mer omfattende og praktisk. Det er bl.a. mulig å gjøre en kort og strukturert vurdering for ordinær «lavrisikobehandling» samt en mer omfattende vurdering for behandling med høyere risiko, mange registrerte eller uventet viderebruk mv.
Verktøyet finnes her: https://sandtro.no/lia.php.
Personvernnemda
Nav og personvern igjen: Datatilsynet måtte behandle individuell klage om oppslag
Personvernnemnda opphevet tidligere Datatilsynets gebyr mot Nav (se omtale av saken i tidligere nyhetsbrev). Nå har nemnda behandlet en annen sak (PVN-2024-31) med samme bakteppe, hvor konklusjonen er at Datatilsynet ikke kunne avslutte en individuell klage ved å vise til at de generelle spørsmålene i saken allerede var håndtert.
Klagen gjaldt en person som hadde dokumentert minst 295 oppslag om seg selv i Navs fagsystemer over flere år, uten å ha hatt aktive saker hos Nav i perioden. Datatilsynet la saken bort, blant annet fordi Nav selv hadde vurdert oppslagene som tjenstlig begrunnet, og fordi tematikken allerede var behandlet i den tidligere tilsynssaken.
Nemnda var ikke enig med tilsynet i dette. En sak om Navs generelle personopplysningssikkerhet er ikke det samme som en individuell klage over konkrete oppslag på én bestemt person. Og Datatilsynet kan ikke overlate til Nav selv å vurdere om egne oppslag hadde rettslig grunnlag ved klage – dette er Datatilsynets jobb.
Det er verdt å merke seg at Datatilsynet selv beskrev oppslagene som «uforholdsmessig omfattende og svakt begrunnet» i oversendelsesbrevet til nemnda og likevel la saken bort.
Saken ble derfor sendt tilbake av Personvernnemnda til Datatilsynet for ny behandling.
Og igjen, Nav og personvern: Nav vant, men ikke på Datatilsynets premisser
Samme dag avgjorde nemnda en annen Nav-sak (PVN-2025-06), men denne gangen med motsatt utfall for klageren.
Saken gjaldt her to Nav-ansatte som hadde gjort oppslag i en brukers journal høsten 2022. Den ene hadde hatt en bisitterrolle på et dialogmøte; den andre var psykolog involvert i å vurdere en søknad om tiltaket «jobbmestring». Klageren mente oppslagene var unødvendige og fremsto som overvåkning og gjengjeldelse.
Nav fikk medhold, men ikke på Datatilsynets begrunnelse. Datatilsynet hadde vist til at Navs virksomhet er «gjennomgående lovregulert» og at supplerende rettsgrunnlag etter GDPR artikkel 6(3) derfor i praksis alltid vil være oppfylt, men nemnda avviste det. Det må vises til konkrete hjemmelsbestemmelser, som her sosialtjenesteloven § 43a og Nav-loven § 4a, og nødvendigheten må vurderes opp mot den faktiske behandlingen. Nemnda fant at oppslagene hadde tilstrekkelig saklig og tidsmessig sammenheng med brukerens pågående sak.
Forarbeidene til personopplysningsloven presiserer at kravet til rettsgrunnlag ikke er statisk. Jo mer inngripende behandlingen er, desto mer spesifikt må hjemmelen være (med referanse til Grunnloven § 102 og EMK artikkel 8). I denne saken holdt sosialtjenesteloven § 43a og Nav-loven § 4a. Men nemnda åpner for at mer omfattende eller systematiske oppslag kan kreve et mer presist grunnlag enn det disse bestemmelsene gir.
Kredittopplysningsselskaper kan ikke avvise rettekrav på grunn av dokumentasjonsform
Personvernnemnda har slått fast at Experian og Dun & Bradstreet har brutt personvernforordningen artikkel 16, samt prinsippet om riktighet i artikkel 5(1)(d), og kredittopplysningsloven § 20 ved å avvise et krav om retting av inntektsopplysninger (PVN-2024-48).
Saken gjaldt en mann som ble ufør i 2021. Kredittopplysningsselskapene la kun til grunn den alminnelige inntekten fra skatteoppgjøret, som var ca. kr 72 000, selv om hans faktiske bruttoinntekt inkludert uføretrygd var kr 364 000. Mannen fremla dokumentasjon fra Nav og skatteoppgjør, men begge selskapene avviste dette med begrunnelsen at opplysningene ikke kunne «verifiseres» gjennom deres ordinære kanaler.
Nemnda fastslo at selskapene opererte med et strengere dokumentasjonskrav enn loven tillater. Verken personvernforordningen eller kredittopplysningsloven stiller krav om at dokumentasjon må komme i bestemte former eller gjennom bestemte kanaler. Det er tilstrekkelig at den registrerte sannsynliggjør at opplysningene er uriktige eller mangelfulle.
Nemnda understreker også at kredittopplysningsselskaper har en aktivitetsplikt når registrerte fremmer innsigelser. De må foreta en grundig vurdering av om innsigelsene er holdbare og kan ikke uten videre avvise dokumentasjon fordi den ikke kommer fra kilder selskapene normalt benytter. Nemnda viser til EU-domstolens dom i sak C-247/23 Deldits (se omtale i tidligere nyhetsbrev), som bekrefter at GDPR artikkel 16 ikke oppstiller bestemte krav til dokumentasjon ved rettekrav.
Saken er derfor sendt tilbake til Datatilsynet for videre oppfølgning.
Du kan ikke dra på fisketur for å kreve erstatning
EU-domstolen har avgjort (C-526/24) at man ikke kan bruke innsynskrav strategisk for å forberede et erstatningskrav etter GDPR. Selv ett enkelt innsynskrav etter GDPR artikkel 15 kan avvises dersom hensikten ikke er å få innsyn i egne opplysninger, men å kreve erstatning basert på manglende innsyn.
En person (TC) meldte seg på en brilleforhandlers nyhetsbrev, krevde innsyn 13 dager senere, og da selskapet avslo, krevde han EUR 1.000 i erstatning. Selskapet avviste kravet om innsyn etter GDPR artikkel 12(5) – ved at kravet er «åpenbart grunnløse eller overdrevne» - og viste blant annet til blogginnlegg og nyhetsbrev (!) fra advokater som dokumenterte at TC drev samme opplegg mot en rekke andre virksomheter.
Behandlingsansvarlige kan bruke slik offentlig tilgjengelig informasjon om systematisk adferd som ett av flere momenter for å avvise innsynskrav. Bevisbyrden ligger hos behandlingsansvarlige og terskelen er høy. Ved vurderingen ses det på alle relevante forhold som om opplysningene ble avgitt frivillig, hva formålet var (kreve erstatning…), tidsrommet mellom avgivelse og innsynskrav (som her med 13 dager), og adferden ellers. Det er den nasjonale domstolen som til slutt avgjør om terskelen er nådd i det konkrete tilfellet.
Når det gjelder erstatning, bekrefter domstolen – som tidligere fastslått i praksis fra EU-domstolen – at man må påvise at skaden faktisk er lidt. Domstolen presiserer også at brudd på innsynsretten i seg selv kan gi grunnlag for erstatning etter artikkel 82, selv uten at skaden skyldes ulovlig databehandling i snever forstand. Tap av kontroll over egne data kan være ikke-materiell skade, men det er ikke nok å si at man er redd for hva som kan skje. Det nye i denne dommen knyttet til erstatning er at erstatningskravet faller bort der den registrerte selv er den avgjørende årsaken til situasjonen, som i denne saken hvor den registrerte selv skapte forutsetningene (som er tilsvarende i norsk erstatningsrett og ikke så overraskende).
Dommen viser at rettigheter etter GDPR er for å sikre personvernet og ikke lommeboka. Merk også at artikkel 12(5) gjelder samtlige rettigheter som den registrerte har etter GDPR, og ikke bare innsyn. Opplegget TC brukte vil derfor ikke fungere for andre GDPR-rettigheter heller.
Endring i bestemmelsene om rettigheter til data i SSA
Statens standardavtaler er endret av DFØ (Direktoratet for forvaltning og økonomistyring) for å gjøre det klarere hvilke data kunden eier, hvordan leverandører kan bruke kundedata og hvordan data skal håndteres ved avtalens slutt. Dette har også betydning for leverandørens eget bruk av personopplysninger, som er en problemstilling som ofte kommer opp i databehandlerforhold, og endringene i avtalene harmonerer godt med kravene etter personopplysningsregelverket.
Endringene gjelder alle standardavtalene, med unntak av Kjøpsavtalen (SSA-K) og Rammeavtalen (SSA-R), men det er ulike endringer i avtalene siden avtalene har ulike virkeområder.
Endringene er knyttet til:
- Klargjøring av hvilke typer data kunden eier
- Tydeliggjør omfanget av leverandørens bruksrett til kundens data
- Stiller krav om at kundens data skal tilbakeleveres ved avtalens opphør, og slettes hos leverandøren etterpå
- Sikrer at kunden til enhver tid har tilgang til egne data
DFØ har også laget en veiledning som forklarer hvordan de nye bestemmelsene om datarettigheter skal brukes. Du finner de oppdaterte avtalene her.
Andre nyheter
Felles varslingspunkt for personvernbrudd i EU. EDPB (EUs personvernråd) og EDPS (EUs datatilsyn) støtter i en felles uttalelse om EUs nye cybersikkerhetsregler at det etableres et felles varslingspunkt for melding av personvernbrudd. I dag må mange virksomheter varsle til flere tilsyn ved samme hendelse, noe som er unødvendig komplisert og tidkrevende. Et felles sted for å melde vil gjøre det langt enklere for den som melder. Forslaget er en del av EUs cybersikkerhetspakke som ble lagt frem i januar 2026 (se nyhetsbrevet for februar 2026). Et tilsvarende forslag om felles varslingspunkt for hendelser etter GDPR, NIS2 og DORA inngår også i Digital Omnibus-pakken (se nyhetsbrevet for januar 2026).
Cybersikkerhetssertifisering må ta hensyn til GDPR. EDPB og EDPS anbefaler i uttalelsen om EUs cybersikkerhetsregler at ENISA (EUs cybersikkerhetsbyrå) konsulterer EDPB før det vedtas sertifiseringsordninger som berører behandling av personopplysninger. Sertifiseringsordninger for produkter og tjenester som brukes ved behandling av personopplysninger bør dessuten i størst mulig grad ta hensyn til kravene i GDPR. Målet er å unngå at cybersikkerhetssertifisering og personvernsertifisering etter GDPR artikkel 42 drar i ulike retninger, noe som i dag kan skape unødvendig forvirring for virksomheter som ønsker å dokumentere etterlevelse på begge områdene.
CEF 2026 lansert. EDPB har nå formelt lansert årets koordinerte tilsynsaksjon. Som omtalt i nyhetsbrevet for februar, rettes aksjonen mot åpenhets- og informasjonsplikten etter GDPR artikkel 12, 13 og 14. Totalt deltar 25 datatilsyn på tilsynsaksjonen.
EU-parlamentet deaktiverer AI-funksjoner på arbeidsenheter. EU-parlamentet har deaktivert innebygde AI-funksjoner på nettbrett og telefoner som brukes av parlamentsmedlemmer og ansatte, etter at det er vurdert at datasikkerheten ikke kunne garanteres. Enkelte AI-funksjoner sendte data til skytjenester for oppgaver som kunne vært utført lokalt, og omfanget av data som ble delt med tjenesteleverandører var ikke fullt avklart. Parlamentsmedlemmene er også oppfordret til å utvise forsiktighet med AI-funksjoner på private enheter som brukes til arbeidsformål, herunder å unngå å eksponere e-post, dokumenter og intern informasjon for AI-verktøy som skanner eller analyserer innhold.
Man skal kun behandle personopplysninger som er nødvendige! Saken om datainnbruddet hos Telia har vært mye omtalt i media den siste tiden. Telia opplyser til Finansavisen at de nå vurderer hvilke personopplysninger de skal lagre fremover, herunder om de fortsatt skal lagre fødselsdato på alle kunder. Saken kan være en påminnelse til virksomheter som behandler fødselsnummer. Etter GDPR artikkel 5(1)(c) skal man kun behandle personopplysninger som er nødvendige for formålet. I tillegg krever personopplysningsloven § 12 at fødselsnummer bare kan behandles når det er saklig behov for sikker identifisering og fødselsnummer er nødvendig for å oppnå slik identifisering. Virksomheter som behandler fødselsnummer bør vurdere om dette virkelig er nødvendig. Hvis ikke, bør videre behandling revurderes og opplysningene slettes.
Behandling av personopplysninger innenfor helse. Det svenske datatilsynet, IMY, har laget en samlingsside for informasjon om behandling av personopplysninger knyttet til helse og omsorg. Denne siden kan også være av interesse for norske forhold. Sidene finnes her.
Retningslinjer om samspill mellom DMA og GDPR. Kommisjonen og EDPB har mottatt over 100 høringssvar på utkastet til felles retningslinjer om samspillet mellom Digital Markets Act og GDPR. Endelige retningslinjer ventes i siste kvartal 2026.
Veiledning om politisk reklame før valget fra IMY. Det svenske datatilsynet IMY har publisert veiledning om EUs nye forordning om politisk reklame, som trådte i kraft 10. oktober 2025. Reglene krever samtykke dersom personopplysninger brukes til å rette politisk reklame mot bestemte mottakere på nett, såkalt «microtargeting». Veiledningen kommer i forkant av det svenske valget i september 2026.
Råd om smarte briller. IMY har også publisert råd om bruk av smarte briller med innebygd kamera. Teknologien gjør det enkelt å filme diskret, og usikkerheten om man blir filmet kan i seg selv oppleves ubehagelig. IMY påpeker at filming i enkelte situasjoner kan være straffbart, og at deling i sosiale medier ofte krever etterlevelse av GDPR. Tilsynet forventer at flere virksomheter vil innføre lokale regler som forbyr slike briller.
Dronebilder av nabohus er personopplysninger og må pikseleres. Det østerrikske datatilsynet har slått fast at en eiendomsmegler krenket en nabos rett til personvern ved å publisere usladdede dronebilder i et salgsinserat. Bildene viste naboens hus, og selv om adressen ikke var oppgitt direkte, kunne den utledes via offentlig tilgjengelige verktøy som Google Maps og grunnboken. Naboen var dermed identifiserbar, og bildene utgjorde personopplysninger etter GDPR artikkel 4 nr. 1.
Megleren hevdet at bildene ikke viste mer enn det som er synlig på Google Maps, men tilsynet la vekt på at formålet, dvs. å vise omgivelsene rundt eiendommen til salgs, kunne vært oppnådd med pikselerte bilder. Publisering av usladdede dronebilder var derfor ikke nødvendig, og det forelå ikke rettslig grunnlag etter GDPR artikkel 6(1)(f).
Sikkerhetsplikten gjelder uavhengig av om hackere kan identifisere personer. Det britiske datatilsynet ICO har vunnet frem i Court of Appeal i en sak mot DSG Retail. ICO ila i 2020 DSG et gebyr på £ 500.000 etter et datainnbrudd som berørte minst 14 millioner personer. DSG anket og argumenterte for at sikkerhetsplikten bare gjaldt dersom de som stjal dataene faktisk kunne identifisere de registrerte.
Court of Appeal avviser dette, og slår fast at plikten til å iverksette tilstrekkelige sikkerhetstiltak gjelder all behandling av personopplysninger, uavhengig av hvordan hackere kan bruke eller utnytte de stjålne dataene. ICO fremhever at datainnbrudd kan påføre skade selv om de registrerte ikke kan identifiseres direkte fra det som er stjålet.
Saken gjaldt den gamle Data Protection Act 1998 i Storbritannia, men ICO mener tolkingen er veiledende for sikkerhetskravene også etter dagens britiske personvernregelverk. Resonnementet er overførbart til GDPR artikkel 32.
California innfører varslervern og belønningsordning under CCPA. California vurderer å gi varslere en ny og sterk rolle i håndhevingen av personvernregelverket. Et lovforslag vil gi privatpersoner rett til å sende inn varslerklager til California Privacy Protection Agency (CPPA), og dersom saken fører til administrativ håndhevelse, så skal varsleren få rett til en andel av bøtene. Hele mellom 15 og 33 % av innkrevde bøter, fratrukket avsetningen til Consumer Privacy Grant Subfund, skal tilfalle varsleren. Varslerklager kan fremsettes anonymt, men krever advokatbistand og erklæring under straffansvar om at informasjonen er korrekt. Liten hensikt å fremsette varsel anonymt også om man ønsker å få belønning for varselet.
Forslaget inneholder også ansattvern, ved at arbeidstakere, konsulenter og agenter som utsettes for gjengjeldelse i forbindelse med en varslerklage, vil ha rett til å reise sivilt søksmål.
Ordningen ligner på SEC-varslerprogrammet under amerikansk verdipapirrett, som over tid har vist seg å være en effektiv håndhevingsmekanisme. Dette kan kanskje være noe for Europa, men er kanskje også litt for mye ville vesten for oss.
