Enighet om forenkling av AI Act
EU-rådets formannskap og Europaparlamentets forhandlere ble 7. mai 2026 enige om Digital Omnibus-pakke VII som forenkler AI Act (se omtale av Rådets forhandlingsmandat i nyhetsbrevet for mars 2026). Forhandlingene brøt sammen i slutten av april etter uenighet om forholdet mellom AI Act og sektorregelverk, men ble gjenopptatt og det er altså enighet nå.
Enigheten bekrefter utsettelse av reglene for høyrisiko-KI. Frittstående høyrisiko-systemer får frist til 2. desember 2027, og høyrisiko-KI integrert i produkter til 2. august 2028. Fristen for nasjonale regulatoriske sandkasser utsettes til 2. august 2027. Fristen for å innføre vannmerking og andre åpenhetsløsninger for KI-generert innhold settes til 2. desember 2026, og overgangsperioden reduseres fra seks til tre måneder.
Registreringsplikten for KI-systemer i EU-databasen gjeninnføres. Tilbydere som selv mener at systemet ikke utgjør høyrisiko, må likevel registrere det siden Kommisjonens forslag om å fjerne denne plikten ikke gikk gjennom. De lettelser som tidligere bare gjaldt små og mellomstore bedrifter (SMB), utvides også til «small mid-caps» (SMC).
Kommisjonens opprinnelige forslag om å utvide adgangen til å behandle særlige kategorier personopplysninger for å avdekke og korrigere skjevhet («bias detection» og «bias correction») ble strammet inn. Avtalen gjeninnfører kravet om at slik behandling må være «strengt nødvendig», som er en viktig innstramning personvernmessig.
Det nye forbudet mot KI-generert seksuelt innhold, herunder såkalte «nudifier-apper», og overgrepsmateriale (CSAM) er med i avtalen. Forbudet var Parlamentets ufravikelige krav etter Grok-saken i januar 2026, der Elon Musks KI-verktøy ble brukt til å generere seksuelt innhold av kvinner og mindreårige.
For samspillet mellom AI Act og sektorregelverk ble løsningen smalere enn enkelte medlemsland ønsket. Det innføres en mekanisme som gjør det mulig å begrense AI Acts anvendelse der sektorregelverk har tilsvarende KI-spesifikke krav. Maskinforordningen unntas fra direkte anvendelse av AI Act, men Kommisjonen får myndighet til å vedta delegerte rettsakter under maskinforordningen om helse- og sikkerhetskrav for høyrisiko-KI. Medisinsk utstyr, in-vitro diagnostikk og leker forblir under AI Acts horisontale virkeområde.
Det er ikke offentlig hva som ble utfallet for kravet til KI-kompetanse (AI literacy), der Kommisjonen og Rådet opprinnelig ønsket å fjerne eller svekke kravet, mens Parlamentet var uenig.
Avtalen må formelt vedtas av Rådet og Parlamentet før 2. august 2026, og det blir nå spennende når Norge vil vedta KI-loven.
Ny bok: GDPR, taushetsplikt og markedsføring i forsikring
Roy Johansen, advokat i Frende forsikring, har kommet med en ny bok om GDPR, taushetsplikt og markedsføring i forsikring. Boken bygger videre på boken «Behandling av kundeopplysninger i forsikring» fra 2019, men er betydelig utvidet og er på rundt 650 sider.
Boken er delt i tre faglige deler: Del A om personvern dekker de sentrale bestemmelsene i personvernforordningen, herunder behandlingsgrunnlag etter artikkel 6 og 9, behandling av helseopplysninger og opplysninger om straffedommer og lovovertredelser, profilering etter artikkel 21, automatiserte avgjørelser etter artikkel 22, samt innsynsrett og sletting. Del B er en grundig gjennomgang av taushetsplikten etter finansforetaksloven, med egne kapitler om utlevering ved samtykke, ved tjenstlig behov, til andre finansforetak, i finanskonsern og i samarbeidende finansgrupper, og dessuten et omfattende kapittel om internadvokaters taushetsplikt. Del C dekker sentrale regler i markedsføringsloven knyttet til telefon- og e-postmarkedsføring og forholdet til personvernforordningen.
Krysshenvisninger mellom regelverket for personvern og taushetsplikt er et nyttig verktøy for praktikere, og det er trolig ikke annen litteratur som gir en tilsvarende samlet fremstilling av begge regelsettene. Boken er primært skrevet for forsikringsbransjen, men dekker regelverket for hele finanssektoren og er også relevant for banker og andre finansforetak, samt for jurister og advokater utenfor finansnæringen som arbeider med personvern og taushetsplikt.
Boken kan kjøpes her. (Full åpenhet: Jeg har sponset boken med et mindre beløp og har dessuten lest og kommentert kapittel 9 og 10 i del A før utgivelse, men får ingen inntekter eller andre fordeler av å gi omtale her).
EMD: GDPR-brudd i Nav ga ikke krenkelse av EMK artikkel 8
Den europeiske menneskerettsdomstol (EMD) har avvist som åpenbart grunnløs en klage mot Norge fra en tidligere Nav-ansatt som mente at Nav ikke hadde sikret hennes personopplysninger, herunder helseopplysninger knyttet til Nav-ytelser, godt nok mot innsyn fra kolleger (Thorenfeldt v. Norway, sak nr. 35473/23).
Klageren var både ansatt i og bruker av Nav, og mistenkte at kolleger hadde snoket i saksmappen hennes. Datatilsynet konkluderte i 2019 med at Navs rutiner ikke oppfylte kravene til informasjonssikkerhet etter GDPR artikkel 32 sammenholdt med GDPR artikkel 5(1)(f). Nav erkjente at de tekniske løsningene hadde vært mangelfulle for ansattes personopplysninger, innførte nye tiltak fra 1. januar 2020, og Datatilsynet lukket deretter saken.
Klageren reiste i 2021 sivilt søksmål mot staten. Oslo tingrett forkastet kravet om fastsettelsesdom i januar 2022, og Borgarting lagmannsrett kom i mars 2023 til samme resultat. Lagmannsretten sluttet seg til Datatilsynets vurdering og fant at Navs tilgangsstyring før 2020 ikke oppfylte kravene i GDPR, men la til grunn at det ikke var påvist konkret uautorisert innsyn eller årsakssammenheng mellom regelbruddet og skaden. Høyesterett nektet anken fremmet i mai 2023. Saken ble dekket i flere nyhetsbrev i forbindelse med saksgangen.
Spørsmålet for EMD var om staten hadde oppfylt sin positive forpliktelse etter EMK artikkel 8 til å sikre respekt for klagerens privatliv – altså ikke bare å avstå fra inngrep, men aktivt å sørge for vern. Domstolen uttalte at helseopplysninger er et kjerneelement i privatlivet, og at tilsvarende hensyn gjelder når medisinske opplysninger er knyttet til mottak av velferdsytelser.
EMD la likevel avgjørende vekt på at klagerens anførsler var grundig undersøkt nasjonalt. Etter endringene i 2020 gjorde aktivitetslogger og tekniske tilgangskontroller det mulig å undersøke hvem som hadde hatt tilgang til saksdokumenter, hvilket system oppslaget gjaldt, og om tilgangen hadde sammenheng med arbeidsoppgaver. Dette gjaldt også historiske tilganger fra perioden før 2020, og undersøkelser viste at de som hadde hatt tilgang til klagerens sak hadde vært involvert i behandlingen av ytelsene hennes. Det var ikke påvist uautorisert innsyn i enkelttilfeller.
Avgjørelsen viser at manglende informasjonssikkerhet og brudd på GDPR ikke uten videre innebærer krenkelse av EMK artikkel 8. Hvis svakhetene rettes, tilgangene er kan kontrolleres, og det ikke påvises uautorisert innsyn, kan staten ha oppfylt sine menneskerettslige forpliktelser, og det selv om GDPR tidligere har vært brutt.
Avgjørelsen har også en prosessuell side. EMD uttrykte alvorlig tvil om klageren hadde uttømt nasjonale rettsmidler, fordi artikkel 8-anførselen bare var fremmet svært overflatisk nasjonalt. Domstolen avviste også uttrykkelig at en anførsel under GDPR uten videre kan anses å omfatte en EMK artikkel 8-anførsel «in substance». Saken viser derfor at menneskerettslige anførsler må fremmes tydelig allerede for norske domstoler dersom de senere skal kunne prøves av EMD.
Kurs i GDPR: Overholdelse av GDPR og personvern med dokumentasjon
Jeg holder igjen kurs i GDPR og personvern torsdag 28. mai 2026 kl 0900 – 1200.
Det vil bli gjennomgått og gitt dokumentasjon i kurset vil være dekkende for det som normalt kreves av en liten/mellomstor virksomhet. Det har vært gode tilbakemeldinger på kursene, og dette er en rask og effektiv måte for å få grunnleggende kunnskap og nødvendige dokumenter.
Se mer og meld på her: https://sandtro.no/kurs.php.
PS! Lesere av nyhetsbrevet får kurset for kr 3.500 (legg inn «Nyhetsbrev» i kommentar på påmeldingsskjemaet).
Datatilsynets årsrapport for 2025 – økt press med færre ressurser
Datatilsynet har fremlagt sin årsrapport for 2025, og ifølge denne mottok tilsynet 5.532 nye saker i 2025, opp fra 3.519 i 2022. Antall klager fra enkeltpersoner er mer enn tredoblet siden 2022 fra 597 til 1.848, men samtidig har antall ansatte gått ned fra 68 til 65.
Tilsynet peker på at en betydelig andel av klagene nå utformes helt eller delvis ved hjelp av kunstig intelligens. I mai 2024 mottok tilsynet fire slike klager, mot 54 samme måned i 2025. KI-genererte klager er ofte omfattende, viser til mange rettsgrunnlag og krav, og kan være vanskelige å behandle fordi det er uklart hvilken behandling det faktisk klages på. En tilsvarende utvikling er beskrevet av det danske datatilsynet (se nyhetsbrevet for oktober 2025 og nedenfor om ICOs veileder for AI-genererte innsynskrav).
Antall vedtak og pålegg har mer enn doblet seg siden 2022 fra 301 til 667, hvor vedtak om korrigerende tiltak og sanksjoner gikk likevel ned fra 44 i 2024 til 36 i 2025. Datatilsynet forklarer nedgangen med presset ressurssituasjon og behovet for raskere saksavvikling. Bruk av korrigerende tiltak og sanksjoner krever mer omfattende prosesser, og tilsynet skriver at de bevisst har forsøkt å unngå dette der det er mulig. Det ble gitt to overtredelsesgebyr: kr 250.000 til Kristiansand kommune for sporingsverktøy på Alarmtelefonen for barn og unge, og kr 4 millioner til Telenor for mangler ved personvernombudets rolle. Telenor-vedtaket er påklaget.
Datatilsynet gjennomførte 55 tilsyn i 2025. Det klart største tilsynsarbeidet var tilsynet med 50 kommuner om digitale læringsverktøy i grunnskolen. Funnene viste at mange digitale verktøy ikke vurderes godt nok sentralt før de tas i bruk, og tilsynet etterlyser sterkere nasjonal koordinering.
I rapportens fremtidsutsikter uttrykker Datatilsynet bekymring for at effektiviseringstiltak alene ikke vil være tilstrekkelig til å møte den sterke økningen i klager og kompleksitet. Tilsynet skriver at det allerede i dag må nedprioritere oppgaver som tilsyn og målrettet veiledning, og som er oppgaver pålagt etter personvernforordningen. (Kanskje bruk av AI vil gjøre det effektivt å svare på klager laget med AI? 🤔)
Presset forsterkes av at tilsynet har begrenset adgang til å nedprioritere klagesaker som følge av praksis i Personvernnemda (omtalt i flere tidligere utgaver, sist i mars 2026). Datatilsynet skriver at obligatorisk behandling av mindre prinsipielle klager går på bekostning av andre oppgaver, og at tilsynet er i dialog med Personvernnemnda og departementet om problemstillingen. Personvernet er ifølge rapporten under press fra flere hold, herunder store teknologiselskaper, økt regulatorisk kompleksitet og geopolitisk uro.
EDPB årsrapport for 2025
EUs personvernråd (EDPB) har også kommet med årsrapport for 2025 som gir en oversikt over arbeidet som ble utført i 2025, preget av Helsinki-uttalelsen om økt klarhet, støtte og dialog med virksomheter (se omtale i nyhetsbrevet for oktober 2025).
Datatilsynene i EØS utstedte til sammen 1,15 milliarder euro i bøter i løpet av året. Det ble opprettet 414 nye grenseoverskridende saker og truffet 572 endelige avgjørelser i One-Stop-Shop-systemet.
EDPB vedtok tre nye sett med retningslinjer i 2025, om pseudonymisering, blokkjedeteknologi og samspillet mellom DSA og GDPR. I tillegg vedtok EDPB anbefalinger om rettslig grunnlag for å kreve brukerkontoer på e-handelsnettsteder og anbefalinger om WADA-antidopingkoden 2027.
EDPB vedtok også sammen med Kommisjonen de første fellesretningslinjene om samspillet mellom Digital Markets Act og GDPR, og arbeidet med tilsvarende retningslinjer for AI Act og personvernregelverket som skal vedtas i 2026.
EDPB har publisert felles mal for DPIA
EDPB publiserte 14. april 2026 en felles mal for vurdering av personvernkonsekvenser (DPIA) som ledd i Helsinki-erklæringen om enklere GDPR-etterlevelse (omtalt i nyhetsbrevet i oktober 2025) og det varslede arbeidet med felles DPIA-maler i Digital Omnibus-pakken (se nyhetsbrevene for januar og februar 2026). Det er også publisert et forklaringsdokument med kortfattede gjennomganger av sentrale begreper og typiske spørsmål den behandlingsansvarlige kan ha ved bruk av malen.
Det er ikke noe krav om å bruke malen, og behandlingsansvarlige kan fortsatt bruke sin egen metode, men de forhåndsdefinerte feltene skal gjøre det enklere å få med alt som trengs. Etter høringen skal de nasjonale datatilsynene ta stilling til om malen skal vedtas som en standard, eller som en «meta-mal» som nasjonale maler skal bygge på. Norge står oppført uten lenke i Annex 1 over nasjonale DPIA-veiledninger. Datatilsynet har riktignok generell DPIA-veiledning på nettsidene sine, men det kan være at den norske veiledningen skal oppdateres eller meldes inn til EDPB i forbindelse med den endelige versjonen.
Malen er bygd opp i sju deler med en innledende oversikt over behandlingen, systematisk beskrivelse, analyse av lovlighet og tiltak, vurdering av nødvendighet og proporsjonalitet, risikovurdering og risikohåndtering, involvering av personvernombud og registrerte, og en avsluttende del om beslutning.
Det er verdt å merke seg at malen skiller tydelig mellom risiko som følger av at behandlingen gjennomføres som forutsatt, dvs. risiko som finnes selv om alt fungerer som det skal, og risiko som oppstår når noe går galt, enten ved feil, avvik eller angrep. Dette skillet er ofte uklart i praksis, og malen gjør det noe klarere. Malen krever også at man oppgir status for hvert tiltak som er planlagt, delvis innført eller innført, hvor det skilles mellom tiltak som finnes i planen, og tiltak som faktisk er gjennomført (noe som blir rart, siden tiltakene bør gjennomføres før behandlingen tar til).
Malen har også noen svakheter ved at den har ingen klar risikometodikk. Den behandlingsansvarlige må selv velge metode, lage skalaer for sannsynlighet og alvorlighet, og bestemme når en risiko er akseptabel. Det gir fleksibilitet, men kan også gjøre at to virksomheter med ganske like behandlinger ender opp med helt ulike risikovurderinger. Spesielt kan dette være krevende for virksomheter som gjennomfører DPIA eller risikovurderinger mer sjeldent. Risikoanalysen må derfor uansett suppleres med en konkret metodikk, enten fra etablerte rammeverk eller mer praktiske verktøy (som risikovurderingsverktøyet på sandtro.no, som bruker konkrete sårbarhetskategorier, skalaer for sannsynlighet og konsekvens, og en akseptmatrise for tiltak og godkjenning).
Schibsted innfører «pay or okay» – Datatilsynet og Forbrukerrådet reagerer
Schibsted har nylig informert sine abonnenter om at de fra 27. mai må velge mellom å samtykke til at personopplysningene deres brukes til persontilpasset reklame, eller betale kr 39 ekstra i måneden (kr 49 for ikke-abonnenter) for at opplysningene ikke skal brukes til slik reklame.
Ordningen, kalt «Schibsted annonsevalg», gjelder blant annet VG, Aftenposten, Bergens Tidende og Stavanger Aftenblad, samt de svenske avisene Aftonbladet og Svenska Dagbladet. Tilsvarende modeller er allerede tatt i bruk av flere europeiske medier, blant annet Der Spiegel, Le Monde og The Guardian.
Schibsted har selv opplyst at datainnsamlingen i hovedsak blir som før, med de samme typene data knyttet til bruk av tjenestene, som hvilke saker som leses, lesetid og navigasjon. Det som endres er hvordan samtykket innhentes og synliggjøres for brukerne.
Datatilsynet er kritisk til ordningen og setter spørsmålstegn ved om at samtykke for å unngå en månedlig kostnad oppfyller kravet til frivillighet etter GDPR artikkel 4 nr. 11 og artikkel 7. Datatilsynet har også uttalt at personvern ikke skal være noe man må betale for. Datatilsynet har tidligere vært i dialog med Schibsted og bedt selskapet vente på kommende europeiske avklaringer, men Schibsted har valgt å gå videre med lanseringen. Forbrukerrådet, ved fagdirektør Finn Myrstad, mener løsningen strider mot kravene til gyldig samtykke, og viser til at Forbrukerrådet tidligere har klaget inn Metas «Pay or OK»-løsning til det irske datatilsynet i en sak som fortsatt er til behandling.
EUs personvernråd (EDPB) ga 17. april 2024 sin uttalelse om «consent or pay»-modeller hos store nettplattformer, etter en felles forespørsel fra datatilsynsmyndighetene i Norge, Nederland og Hamburg (omtalt i nyhetsbrev 1.2025 og 04.2025). Konklusjonen var at en binær løsning, dvs. samtykke eller betaling, i de fleste tilfeller ikke vil gi gyldig samtykke etter GDPR. Personvernrådet pekte på at brukerne normalt bør tilbys et reelt tredje alternativ, for eksempel et kostnadsfritt alternativ med mindre inngripende, personvernvennlig markedsføring uten sporing og profilering. Det er den behandlingsansvarlige som må kunne dokumentere at samtykket er fritt, informert og rettferdig innhentet. EDPB har varslet ytterligere retningslinjer om «consent or pay» som vil gjelde alle typer tjenester, ikke bare store plattformer (jf. arbeidsprogrammet 2026–2027 omtalt i nyhetsbrevet for februar 2026).
Den rettslige bakgrunnen er blant annet EU-domstolens dom i C-252/21 (Bundeskartellamt mot Meta) fra juli 2023, hvor domstolen slo fast at Meta ikke uten videre kunne basere omfattende behandling av personopplysninger til persontilpasset reklame på berettiget interesse. EU-kommisjonen har også funnet at Metas «pay or consent»-modell brøt Digital Markets Act og ila Meta en bot på 200 millioner euro i april 2025. Den avgjørelsen gjaldt imidlertid Meta som portvokter etter DMA og er ikke direkte relevant for Schibsteds nye løsning, men viser regulatorisk skepsis til binære betalings- og samtykkemodeller.
Saken vil ha betydning utover Schibsted ved at den prøver grensen for samtykke som behandlingsgrunnlag når det mest personvernvennlige alternativet gjøres betinget av en månedlig kostnad. Frivillighetskravet forutsetter reelle valgmuligheter, og en betalingsmur foran det mest personvernvennlige valget reiser spørsmål om samtykket er fritt, uavhengig av om Schibsted omfattes av den kategorien «store nettplattformer» som EDPB-uttalelsen primært gjelder.
Schibsted skriver på sine sider at «trust and transparency is our currency”. Eller mente de kanskje «your privacy is our currency”?
Datatilsynet varsler nytt tilsyn med Nav
Datatilsynet har avsluttet behandlingen av tilsynssaken mot Nav fra 2023, og varsler samtidig at det vil gjennomføre et nytt tilsyn med etaten i løpet av høsten 2026. Tema vil i stor grad være de samme som sist, dvs. tilgangsstyring, logging og loggkontroll. Bakgrunnen er at vedtaket fra mars 2024 med pålegg og overtredelsesgebyr på kr 20 millioner ble delvis opphevet av Personvernnemnda i desember 2024 (omtalt i nyhetsbrev 12.2024), og at Nav i etterkant har gjennomført flere tiltak, både i rutiner og tekniske løsninger, innenfor de områdene tilsynet kontrollerte. Datatilsynet beslutter derfor å avslutte den tidligere tilsynssaken og vil i stedet gjøre nye undersøkelser basert på dagens situasjon.
Saken må også ses i sammenheng med flere andre forhold som det nye personvernbruddet der 17.200 Nav-medarbeidere hadde tilgang til sensitive notater om 1.377 leger (omtalt i nyhetsbrev 12.2024), Personvernnemndas avgjørelse PVN-2025-14059 om at Nav hadde rettslig grunnlag for interne oppslag når det forelå tilstrekkelig supplerende hjemmel og reelt tjenstlig formål (se nyhetsbrev januar 2026), og saken som Personvernnemnda i mars 2026 sendte tilbake til Datatilsynet for ny behandling (omtalt i nyhetsbrevet mars 2026). Mens den siste saken viser at Datatilsynet ikke kan overlate vurderingen av enkeltoppslag til Nav selv, vil det varslede tilsynet på systemnivå se bredere på hvordan tilgangsstyring, logging og loggkontroll faktisk fungerer i praksis, og om de tiltakene Nav har iverksatt etter Personvernnemndas oppheving holder mål.
Yango-selskap får bot på 100 millioner euro for overføring av personopplysninger til Russland
Det nederlandske datatilsynet (Autoriteit Persoonsgegevens) har ilagt MLU B.V. en bot på 100 millioner euro for ulovlig overføring av personopplysninger til Russland. MLU har overtatt rettighetene og forpliktelsene etter Ridetech International B.V., som tilbød taxi-appen Yango i Norge og Finland. Vedtaket ble truffet etter en felles undersøkelse mellom det nederlandske, det norske og det finske datatilsynet, hvor Norge og Finland innledet hasteprosedyrer mot selskapet i 2023.
Saken gjelder overføring av personopplysninger om norske og finske brukere til Yandex.Taxi LLC i Russland. Appen samlet inn omfattende opplysninger om både kunder og sjåfører, herunder telefonnummer, e-postadresse, geolokasjon, reisedata, chatinnhold, bankopplysninger, bilder, førerkortopplysninger og nasjonale identifikasjonsnumre.
MLU/Ridetech hadde inngått standard kontraktsbestemmelser (SCC) for overføringen av personopplysningene til Russland, men det nederlandske datatilsynet mente at feil type SCC var brukt. Selskapet hadde valgt klausuler for overføring fra behandlingsansvarlig til databehandler, mens Yandex.Taxi LLC etter tilsynets vurdering var felles behandlingsansvarlig.
Vedtaket går likevel lenger enn spørsmålet om feil SCC. Tilsynet vurderte også om de tekniske og organisatoriske tilleggstiltakene som kreves som følge av Schrems II-dommen, som kryptering og pseudonymisering, ga et beskyttelsesnivå som i det vesentlige tilsvarte nivået i GDPR, og konkluderte med at dette ikke var tilstrekkelig. Tilsynet la blant annet vekt på at samme person hadde ledelsesstillinger hos både eksportøren av data og den russiske importøren, og at selskapene var en del av samme konsern. Dette gjorde at den russiske mottakeren reelt sett kunne få tilgang til midler for å identifisere brukerne, selv om dataene var kryptert og nøklene formelt lå i EØS.
Tilsynet la videre til grunn at de registrerte ikke hadde tilstrekkelige håndhevbare rettigheter og effektive rettsmidler i Russland. Roskomnadzor ble ikke ansett som et uavhengig tilsynsorgan i GDPR-forstand, blant annet fordi organet er underlagt russiske myndigheter og samtidig har oppgaver knyttet til regelverk som kan gi myndighetene tilgang til opplysninger.
MLU er pålagt å stanse alle overføringer av personopplysninger om norske og finske Yango-brukere til Russland med umiddelbar virkning. Boten er beregnet på grunnlag av den globale omsetningen til konsernet, som tilsynet anslo til om lag 12 milliarder euro i 2024. Datatilsynet fremhever at gebyrer i EØS gjennomgående beregnes med utgangspunkt i morselskapets omsetning, og at det er konserntilknytningen til Yandex som gir grunnlag for et gebyr av denne størrelsen.
MLU har varslet at vedtaket vil bli bestridt. Selskapet anfører blant annet at personopplysningene til EU-baserte sjåfører og passasjerer ble lagret pseudonymisert og kryptert innenfor EU og dermed teknisk utilgjengelig for tredjeparter, og opplyser at appen ikke har vært i drift i Norge siden 2025.
Kommunetilsynet 2026: 104 kommuner skal sende inn dokumentasjon
Datatilsynet er nå i fase to av det omfattende kommunetilsynet som ble varslet i januar 2026 (se tidligere nyhet). Det er valgt ut 104 kommuner som må sende inn utfyllende dokumentasjon om sine systemer og rutiner, basert på besvarelsene fra kartleggingsfasen hvor alle landets 357 kommuner svarte på et spørreskjema om personopplysningssikkerhet og sikkerhetshendelser. At tilsynet er forankret i Totalforsvarsåret 2026 markerer at personvern og personopplysningssikkerhet inngår i et bredere beredskapsarbeid, og ikke utelukkende vurderes som et tradisjonelt personvernrettslig tilsyn.
Påleggene retter seg mot fem temaer: Kommunens generelle organisering og samarbeid om informasjonssikkerhet og personvern, det overordnede styringssystemet (internkontrollsystemet), autentisering (herunder styrende retningslinjer, ROS-vurdering og evaluering av primær autentiseringsløsning), tilgangsstyring (styrende retningslinjer og operative rutiner for administrasjon av tilganger), samt gjenoppretting av data og systemer (oversikt over leverandører og programvare og styrende retningslinjer for gjenoppretting). Se de konkrete kravene til dokumentasjon her.
Etter dokumentasjonsgjennomgangen vil Datatilsynet velge ut et mindre antall kommuner for stedlige tilsyn senere i 2026. Dette er en betydelig opptrapping fra det tilsvarende kommunetilsynet i 2023, hvor 93 kommuner og 5 fylkeskommuner ble brevkontrollert og 10 kommuner fikk stedlig tilsyn.
Aldersgrense for sosiale medier – uklart personvernmessig
Regjeringen bekreftet 24. april 2026 at den vil legge frem lovforslag om aldersgrense for barn i sosiale medier for Stortinget i år. Aldersgrensen skal gjelde fra 1. januar det året man fyller 16 år, slik at hele årskull får tilgang samtidig. Teknologiselskapene får ansvaret for å verifisere brukernes alder.
Datatilsynet støtter en lovfestet aldersgrense, som kan ha en normdannende effekt. Tilsynet er imidlertid kritisk til kravet om aldersverifisering, som i praksis kan innebære at også voksne brukere må dokumentere sin alder for å få tilgang. Enkelte aldersverifiseringsløsninger kan kreve omfattende opplysninger, som bilde av pass eller biometriske data, og det er risiko for at slike opplysninger kommer på avveier eller brukes til nye formål.
Datatilsynet mener loven bør angi hvordan aldersverifiseringen skal skje for å sikre godt personvern, i stedet for å overlate valget av løsning til teknologiplattformene. Tilsynet anbefalte i sitt høringssvar at aldersgrensen innføres først, slik at man kan se effekten av dette, før det eventuelt innføres krav om aldersverifisering.
En internasjonal kartlegging i regi av Global Privacy Enforcement Network (GPEN), publisert i mars 2026, gir støtte til denne bekymringen. Personvernmyndigheter fra 28 land undersøkte nesten 900 nettsteder og apper rettet mot barn, og fant at selv om det finnes flere aldersverifiseringsfunksjoner enn tidligere, kan tiltakene lett omgås, noe som er særlig bekymringsfullt i tilfeller der tjenestene har upassende innhold eller høyrisiko-design rettet mot barn.
Norge er blant de første landene i Europa som legger frem et slikt lovforslag. Australia har innført 16-årsgrense fra desember 2025 som ikke har vært helt vellykket. I EU pågår det pilotprosjekter med en felles aldersverifiseringsløsning som skal kunne brukes sammen med EUDI Wallet, der Frankrike, Danmark, Spania, Italia, Hellas, Kypros og Irland deltar som pilotland (selv om man ikke er helt enige om bruken av appen i EU). Denne appen er imidlertid kritisert for å ikke være sikker nok (se nyhet til slutt i nyhetsbrevet), og over 400 forskere har bedt om stans i obligatorisk aldersverifisering. Forskerne mener selve premisset med appen er feil ved at aldersverifisering potensielt kan avslutte online anonymitet – inkludert muligheten for myndigheter til å «avsløre folk som kritiserer dem anonymt».
Det er også reist spørsmål om forholdet mellom det norske forslaget og Digital Services Act (DSA), som allerede stiller krav til risikovurdering og tiltak for å beskytte mindreårige.
Regjeringen tar sikte på å sende lovforslaget på EØS-høring før sommeren.
Datatilsynet med funn og anbefalinger om gratis nettjenester i skolen
Datatilsynet har publisert en oversikt over funnene fra den norske delen av den internasjonale GPEN-kartleggingen av hvordan gratis apper og nettsteder behandler personopplysninger om barn (se nyheten ovenfor om hovedrapporten). Datatilsynet valgte å se nærmere på gratistjenester som brukes av barn og unge i skolesammenheng, som oppfølging av tilsynet med 50 kommuner i 2025 (omtalt i nyhetsbrev 04.2025).
Tjenestene fra store internasjonale aktører krever ofte foreldreinvolvering, men flere av disse aktørene oppgir samtidig at de utleverer personopplysninger til markedsføringsformål. Tilsynet minner om at det er kommunene (skoleeier) som har det overordnede ansvaret for elevenes personopplysninger, også når det benyttes gratistjenester, og at dette ansvaret forutsetter rutiner for godkjenning av digitale læringsverktøy. Funnene må også ses i sammenheng med de stedlige tilsynene Datatilsynet skal gjennomføre i grunnskolen i 2026 (omtalt i nyhetsbrevet for februar 2026).
Personvernnemnda: Begrenset klagerett ved Datatilsynets pålegg om redegjørelse
Personvernnemnda har i sak PVN-2026-2352 stadfestet et pålegg fra Datatilsynet om at en arbeidsgiver måtte redegjøre for innsyn i en tidligere ansatts e-postkasse. Saken avklarer klageretten etter forvaltningsloven § 14 og om hvilke anførsler som ikke fører frem mot Datatilsynets undersøkelsesmyndighet etter GDPR artikkel 58(1)(a).
Bakgrunnen var at en arbeidstaker hadde kontaktet Datatilsynet med klage på at e-postkassen hans ikke var slettet etter endt arbeidsforhold, og at arbeidsgiver hadde gjennomført innsyn under sykefraværet. Etter at arbeidsgiver hadde gitt en første redegjørelse, og partene hadde gitt motstridende opplysninger på flere punkter, sendte Datatilsynet et nytt pålegg om utfyllende redegjørelse. Arbeidsgiver klaget på dette nye pålegget og mente blant annet at saken allerede var tilstrekkelig opplyst, at pålegget var uforholdsmessig tyngende, og at praktiske hindringer som leverandørbytte og at den tidligere avdelingssjefen hadde sluttet, gjorde det vanskelig å etterkomme pålegget.
Nemnda presiserer at klageretten etter forvaltningsloven § 14 er snevrere enn den alminnelige klageretten etter § 28. Man kan bare klage hvis man mener at man «ikke har plikt» eller «ikke har lovlig adgang» til å gi opplysningene, og ikke fordi man synes pålegget er upraktisk eller for omfattende.
Nemnda viser også til samarbeidsplikten etter GDPR artikkel 31, og til at den behandlingsansvarlige må innrette seg slik at selskapet faktisk kan dokumentere behandlingen og etterkomme pålegg — også når databehandler er byttet ut eller folk har sluttet. Påstand om at praktiske hindringer som følge av organisatoriske endringer eller leverandørbytte fritar fra pålegg førte heller ikke frem.
Avgjørelsen viser at den behandlingsansvarlige må over tid kunne dokumentere etterlevelse, uavhengig av hvilke endringer som har skjedd i leverandørkjeden eller i organisasjonen (ref. prinsippet om behandlingsansvarliges ansvar i GDPR artikkel 5(2)).
Personvernnemnda: Det irske datatilsynet er ledende tilsynsmyndighet for OpenAI
Personvernnemnda har i sak PVN-2025-14349 stadfestet Datatilsynets avvisning av en klage mot OpenAI. Etter nemndas avgjørelse er det irske datatilsynet (DPC) ledende tilsynsmyndighet for OpenAIs grenseoverskridende behandling av personopplysninger i EØS.
Klageren mente at OpenAI hadde gjenbrukt opplysninger fra hans konto til modelltrening, til tross for at han hadde deaktivert datadeling i innstillingene. Datatilsynet avviste saken dels fordi henvendelsen etter tilsynets syn ikke gjaldt et konkret brudd på personvernregelverket, og dels fordi saken allerede var sendt til DPC som ledende tilsynsmyndighet. Personvernnemnda behandlet bare det siste grunnlaget, siden det var tilstrekkelig for å avgjøre saken.
Nemnda var enig med Datatilsynet. OpenAI har selv opplyst i personvernerklæringen at OpenAI Ireland Ltd. i Dublin er behandlingsansvarlig for personopplysninger i EØS, og det er der formålet med og midlene for behandlingen avgjøres. Behandlingen er grenseoverskridende i forordningens forstand etter GDPR artikkel 4(23), siden den foregår i flere EØS-land og påvirker registrerte i hele EØS. DPC er dermed ledende tilsynsmyndighet etter GDPR artikkel 56(1).
Avgjørelsen er interessant siden den viser hvordan One-Stop-Shop-mekanismen fungerer i AI-saker, der internasjonale leverandører som OpenAI vil bli behandlet av ett tilsyn for hele EØS. Man kan derfor normalt ikke få realiteten avgjort av sitt nasjonale tilsyn (med mindre man er irsk, da).
Skyleverandør kan slette overgrepsmateriale uten å utlevere filene først
Asker og Bærum tingrett har frifunnet skyleverandøren Jotta Group i en sak hvor en kunde krevde å få utlevert nærmere 40.000 filer fra sin konto før selskapet slettet dem. Bakgrunnen var at en automatisert kontroll i april 2024 oppdaget en fil med metadata som indikerte overgrepsmateriale. Kontoen ble stengt umiddelbart i tråd med selskapets brukervilkår, og kunden fikk ikke tilgang til å hente ut innholdet før sletting.
Kripos har senere bekreftet at filen inneholdt overgrepsmateriale og ikke var en falsk positiv. Tingretten la også vekt på at det var gjort søk fra kundens mobiltelefon i skytjenesten som utvilsomt refererte til slikt materiale, og at totalt 32 filer var lastet opp og slettet over en periode på fem måneder. Retten avviste forklaringen om at noen kunne ha brukt en lekket konto, og fant det «teoretisk mer enn praktisk» at funnene skyldtes datainnbrudd.
Saken er også interessant personvernmessig ved at kunden mente at innsynsretten etter GDPR artikkel 15 ga krav på kopi av egne personopplysninger, herunder bilder og filmer. Tingretten avviste dette med at skyleverandørens formål for behandlingen er å lagre, sikkerhetskopiere og tilgjengeliggjøre kundens data, ikke å identifisere hvem som er avbildet i filene. Slik registrering ligger utenfor det formålet personopplysningene behandles for, og innsynsretten kan da ikke brukes til å tvinge frem en gjennomgang som faller utenfor behandlingens formål. En interessant begrunnelse, ikke minst fordi leverandøren her er behandlingsansvarlig, slik tilfellet ofte er for forbrukertjenester. (Forresten Jotta, personvernerklæringen deres er datert 25. mai 2018. Kanskje ta en oppdatering? Det er skjedd en del innenfor personvern de siste 8 årene).
Rettens begrunnelse viser at innsynsretten må forstås innenfor rammen av formålet for behandlingen og ikke som en generell rett til å få ut alle data en behandlingsansvarlig rent teknisk har tilgjengelig. Dette er noe som ikke er fastslått rettslig tidligere og det er også et spørsmål hva som er «kopi» etter GDPR artikkel 15(3) i denne sammenheng. Dommen er ikke rettskraftig, og lagmannsretten kan kanskje klargjøre dette om det kommer en anke.
Andre nyheter
GDPR fyller 10 år
EDPB markerte 27. april 2026 ti år siden GDPR ble vedtatt. EDPB peker på at forordningen førte til opprettelsen av rådet selv 25. mai 2018, til erstatning for artikkel 29-gruppen, og at den nå inngår i et bredere digitalt rammeverk sammen med DSA, DMA og AI Act. GDPR har dessuten inspirert tilsvarende personvernlovgivning andre steder i verden.
Nav-ansatte brukte Google Oversetter til søknader om ytelser
En påminnelse om farene ved bruk av gratistjenester og «skygge-IT» fra Nav kom ved at det ble avslørt at ansatte brukte Google Oversetter, som er en gratistjeneste som bl.a. lærer på brukeres data. Det er alltid en fare for bruk av slike tjenester for ansatte, og regelen er vel å ha tilstrekkelige tjenester tilgjengelig som er sikre for internt bruk. Dette er nok ikke siste gangen vi ser.
Regjeringen foreslår ny dataforvaltningslov
Regjeringen la 27. mars 2026 frem Prop. 54 LS (2025–2026) med forslag til ny lov om datadeling og dataforvaltning. Lovforslaget gjennomfører åpne data-direktivet, dataforvaltningsforordningen og forordningen om datasett med høy verdi (HVD-forordningen) i norsk rett. Formålet er å legge til rette for økt deling og viderebruk av data fra offentlig sektor, både for verdiskaping og økt åpenhet. Loven stiller blant annet krav til tilgjengeliggjøring av dynamiske data via API-er og sikrer gratis tilgang til datasett med høy verdi.
I tillegg til EU-kravene innfører loven et nytt nasjonalt krav om at offentlig sektor skal publisere metadata om dataene de forvalter i en nasjonal datakatalog. Dette skal synliggjøre hvilke data offentlig sektor besitter, slik at næringsliv, sivilsamfunn og presse enklere kan vite hvilke data de kan be om. Lovforslaget bygger på NOU 2024:14 «Med lov skal data deles».
Oversikt over samspillet mellom AI Act og GDPR
IAPP (International Association of Privacy Professionals), som er en internasjonal bransjeorganisasjon for personvernrådgivere, har publisert en infografikk (se nedenfor) som viser samspillet mellom AI Act og GDPR. Oversikten dekker blant annet behandling av særlige kategorier personopplysninger for bias-deteksjon, forholdet mellom konsekvensutredninger etter AI Act og DPIA etter GDPR, krav til menneskelig tilsyn og automatiserte avgjørelser, åpenhetskrav, sporbarhet og logging, sikkerhet og regulatoriske sandkasser.
Datatilsynets innspill i hovedsak fulgt opp i lovforslag om finansforetaks datadeling
Finansdepartementet har lagt frem lovforslag om utvidet adgang for banker og andre finansforetak til å dele personopplysninger for å forebygge og avdekke økonomisk kriminalitet. Datatilsynet melder at deres sentrale innspill i høringssvaret i hovedsak er fulgt opp.
Formålene er strammet inn og knyttet tydeligere til bedrageri og svindel, hjemmelsgrunnlaget er klarere, og det er innført ytterligere garantier ved deling av særlige kategorier personopplysninger og opplysninger om straffedommer og lovovertredelser. Tilsynets innspill om at deling med utenlandske finansforetak må forutsette tilsvarende rettslige rammer som for norske finansforetak, er også reflektert.
Se tidligere omtale av saken i nyhetsbrevet for januar 2026 og februar 2026. Det er prinsipielt interessant at lovforslaget nå viser at innspillene fra tilsynet er fulgt opp, og illustrerer verdien av tidlig involvering og konkrete høringssvar i lovgivningsprosesser.
EDPB med nye retningslinjer om behandling av personopplysninger til vitenskapelig forskning
EDPB vedtok 16. april 2026 nye retningslinjer (1/2026) om behandling av personopplysninger til vitenskapelige forskningsformål. Retningslinjene avklarer hva som regnes som «vitenskapelig forskning» etter GDPR ved hjelp av seks kriterier (metodisk og systematisk tilnærming, etiske standarder, etterprøvbarhet og åpenhet, autonomi og uavhengighet, forskningens målsetting, og potensial for å bidra til eksisterende vitenskapelig kunnskap).
Viderebehandling til forskningsformål må antas å være forenlig med opprinnelig formål, slik at behandlingsansvarlige slipper kompatibilitetstesten i GDPR artikkel 6(4), men må fortsatt sikre at det opprinnelige behandlingsgrunnlaget også er egnet for viderebehandlingen. Klargjøringen om at det opprinnelige behandlingsgrunnlaget må være egnet også for viderebehandlingen, er ifølge Datatilsynet første gang Personvernrådet uttaler seg direkte om dette spørsmålet, som lenge har vært uavklart.
Retningslinjene aksepterer «broad consent» der formålene ikke er fullt kjent ved innsamling, samt «dynamic consent» der samtykke innhentes per delprosjekt, og kombinasjoner av de to. Brede samtykker ble også omtalt i nyhetsbrev 11.2024 i forbindelse med høringen om endret helseforskningslov. EDPB avklarer også når retten til sletting og innsigelse kan begrenses ved forskning, hvordan rolleansvar fordeles mellom flere aktører, og hvilke tekniske og organisatoriske tiltak som kan være aktuelle. Retningslinjene er på høring til 25. juni 2026.
EDPB setter inn «sprint team» for å ferdigstille anonymiseringsretningslinjene
For å fremskynde arbeidet med de varslede retningslinjene om anonymisering har EDPB opprettet et eget «sprint team» som skal ferdigstille arbeidet før sommeren. Anonymiseringsretningslinjene er ett av de prioriterte temaene i EDPBs arbeidsprogram 2026–2027 (omtalt i nyhetsbrevet for februar 2026). Retningslinjene er etterspurt fordi anonymisering ofte brukes som alternativ til sletting og som tiltak for å redusere personvernrisiko. Erfaringer fra tilsynspraksis, blant annet CEF-rapporten om retten til sletting, viser samtidig at anonymisering ikke alltid holder mål. Raskere ferdigstillelse er derfor velkomment.
Europrivacy-sertifiseringen godkjent som verktøy for tredjelandsoverføringer
EDPB har gitt to uttalelser om Europrivacy-sertifiseringen, som var den første godkjente europeiske personvernsertifiseringen («European Data Protection Seal») i 2022. Den ene uttalelsen utvider sertifiseringens virkeområde til også å omfatte behandlingsansvarlige og databehandlere etablert utenfor EØS som er omfattet av GDPR etter artikkel 3(2). Den andre uttalelsen anerkjenner Europrivacy-sertifiseringen som verktøy for overføring av personopplysninger til tredjeland etter GDPR artikkel 42 og 46. Dette er første gang en sertifiseringsmekanisme blir godkjent som overføringsverktøy, og gir importører av data utenfor EØS som ikke selv er omfattet av GDPR, en ny mulighet til å søke Europrivacy-sertifisering for overføringer de mottar, og kan dermed gjøre det enklere for eksportører i EØS å dokumentere passende garantier ved overføring til tredjeland.
ICO med veiledning om AI-genererte innsynskrav
Det britiske datatilsynet ICO har publisert veiledning om hvordan offentlige organer skal håndtere innsynsbegjæringer etter Freedom of Information Act (FOIA) som er utformet ved hjelp av kunstig intelligens (ref. sukket fra Datatilsynet i sin årsrapport, se ovenfor). Bakgrunnen er tilbakemeldinger fra FOI-praktikere om at AI-genererte krav øker i både omfang og kompleksitet, og at flere av dem feilsiterer eller misforstår regelverket.
Veiledningen presiserer at bruk av AI ikke i seg selv gjør en innsynsbegjæring ugyldig. Feil i lovsiteringer eller henvisninger til avgjørelser som ikke finnes (som i denne saken), gjør heller ikke kravet ugyldig, men offentlige organer kan påpeke feilene og be om avklaring dersom AI-bruken har gjort kravet uklart. Veiledningen åpner også for å avvise krav som er åpenbart belastende eller sjikanøse krav, hvor AI brukes til gjentatte, ressurskrevende eller koordinerte kampanjekrav.
Veiledningen viser også at AI-generert informasjon hos myndigheten selv kan være innsynspliktig. Hvis ansatte bruker AI-verktøy i arbeidet, kan både svarene og promptene være «recorded information» etter FOIA dersom de er lagret. ICO anbefaler derfor at offisiell informasjon som genereres på denne måten overføres til virksomhetens ordinære dokumentasjons- og arkivsystem.
Selv om veiledningen gjelder britisk rett, er problemstillingen overførbar til norsk offentlig sektor. Også norske kommuner og statlige etater vil oppleve økning i AI-genererte innsynskrav etter offentleglova, og må vurdere hvordan egen bruk av AI i saksbehandlingen dokumenteres. ICOs praktiske tilnærming kan være nyttig som inspirasjon ved utforming av interne rutiner.
Og til slutt: Personvernapp med personvernproblemer
Den 15. april lanserte Europakommisjonen sin aldersverifiseringsapp (se nyhet over om aldersgrense på sosiale medier), og kommisjonspresident Ursula von der Leyen forsikret at appen skulle være «fullstendig anonym».
Nå har en sikkerhetskonsulent vist at appen lagret biometri og bilder ukryptert på enheten. Det tok ham to minutter å komme forbi sikkerheten. Kommisjonen skal ha rullet ut en oppdatert versjon to dager senere. Konsulenten testet på nytt, og kom seg forbi den også.
Sies det ikke at «there are two ways to write error-free programs; only the third one works»?
For rettigheter og bruk av innholdet over, se her: https://sandtro.no/rettigheter/.
Litt legal stuff: Ovenfor er det kun nyheter og informasjon som ikke må forstås som juridiske råd. Overholdelse av lover og regler er en vurdering som den enkelte må gjøre basert på den konkrete behandlingen av personopplysninger, eventuelt gjennom å søke om ekspertise.