Oversikt over EU-regelverk om deling og bruk av data

Mye av regelverket om behandling, deling, bruk og gjenbruk av data kommer fra EU. Gjennom EØS-avtalen, som lar Norge ta del i EUs indre marked, blir dette regelverket også del av norsk lov. Vi har laget en kort oversikt over EU-regelverk på digitaliseringsfeltet som er i kraft eller på trappene og som også gjelder eller vil gjelde i Norge.

På denne siden

    Illustrasjon. En person står med en rød koffert i høyre hånd og et gult ark under venstre arm.

    I hovedsak vil fire lover/lovforslag sammen regulere deling, bruk og gjenbruk av data:

    • personvernforordningen som regulerer behandling av personopplysninger,
    • åpne data-direktivet om åpne data fra offentlig sektor,
    • datastyringsforordningen om deling og viderebruk av beskyttede data, altså data som for eksempel er underlagt taushetsplikt, fra offentlig sektor og i tillegg frivillig fra firmaer eller privatpersoner, og
    • dataforordningen som vil regulere deling av data fra privat sektor.

    I tillegg til disse fire, vil vi også gi korte introduksjoner til andre tilgrensende regelverk.

    Vi oppdaterer denne siden fortløpende når vi fanger opp fremdrift og endringer i statusen til de ulike lovene og lovforslagene.

    Ulike typer EU-regelverk

    En forordning (på engelsk: regulation) betyr kort fortalt at lovteksten i hovedsak må inntas direkte (ordrett) i norsk rett.

    Et direktiv (på engelsk: directive) gir gjerne minimumsregler, som betyr at det kan gjøres nasjonale tilpasninger i hvordan regelverket gjennomføres i hvert enkelt land.

    Du kan lese mer om ulike typer EU-regelverk på Europalov.

    Personvernforordningen/General Data Protection Regulation (GDPR)

    Nøkkelinformasjon:

    Forordning (EU) 2016/679. Finnes også i en norsk oversettelse.

    Innhold:

    Personvernforordningen skal sikre et godt og likt personvern i hele EØS-området. Harmoniserte regler skal gjøre det lettere for næringslivet å operere på tvers av landegrenser, og alle borgere i EØS har de samme rettighetene til et sterkt vern av egne personopplysninger. Det sterke personvernet understøtte fri flyt av personopplysninger innenfor EØS-området.

    Forordningen regulerer blant annet innsamling, bruk, lagring og deling av personopplysninger i både offentlig og privat sektor. Samtidig som alle som behandler personopplysninger tillegges plikter for å håndtere dataene på en trygg måte, gis EØS-borgere utvidede rettigheter til for eksempel innsyn i opplysninger om seg selv, til å få data rettet og til å få data om seg slettet. For noen særlige kategorier av personopplysninger, som informasjon om helse, gjelder særlig strenge regler.

    EU ønsker å være verdensledende på personvern, og et mål er derfor at GDPR skal inspirere andre land til å løfte sitt personvernregelverk til samme nivå som i EU. Personopplysninger om EØS-borgere kan som hovedregel kun deles med aktører i land som anses å ha et like sterkt personvern som EU.

    Status:

    Forordningen ble vedtatt i 2016 og er trådt i kraft i hele EØS-området. I Norge er GDPR implementert gjennom personopplysningsloven.

    Åpne data-direktivet/Open Data Directive (ODD)

    Nøkkelinformasjon:

    Direktiv (EU) 2019/1024. Erstattet viderebruksdirektivet (PSI-direktivet) 2003/98/EC, oppdatert i 2013.

    Norge og EU-landene oppfordres til å gå lenger nasjonalt enn det man er nødt til etter minimumsreglene i direktivet.

    Innhold:

    Hensikten med direktivet er å hente ut verdien av data fra offentlig sektor. Direktivet regulerer «åpne data», altså data som ikke er underlagt juridiske begrensninger (som for eksempel data underlagt taushetsplikt eller personopplysninger).

    To hovedprinsipp i direktivet er for det første at data fra offentlig sektor skal være åpent tilgjengelige for viderebruk for alle som ønsker å bruke dem. For det andre, at data fra offentlig sektor som hovedregel skal gjøres tilgjengelige gratis, men med visse unntaksregler. Direktivet dekker skriftlig tekst, databaser, lydfiler og film.

    Noe av hensikten er å legge til rette for rettferdige konkurransevilkår, slik at ikke bare store etablerte selskaper skal ha mulighet til å kjøpe data fra offentlig sektor. Dataene skal kunne gjenbrukes både for kommersielle og ikke-kommersielle formål.

    Virkeområdet utvides fra tidligere, blant annet vil direktivet gjelde for offentligeide selskaper og for forskningsdata fra offentlig finansiert forskning.

    Status:

    Direktivet trådte i kraft fra 16. juli 2019 i EU, med frist for å implementere 16. juli 2021.

    ODD ble innlemmet i EØS-avtalen 10.6.22, men både Norge, Island og Liechtenstein la ned forbehold om parlamentarisk støtte. Disse forbeholdene må løftes innen seks måneder, og deretter vil ODD tre i kraft i Norge.

    Et lovforslag for å implementere ODD i norsk rett er på høring fra Kommunal- og distriktsdepartementet med høringsfrist 5.7.22. Høsten 2021 ble det oppnevnt et lovutvalg som vil se på helhetlig regulering av viderebruk av data, hvor ODD også er relevant.

    Forgjengeren PSI-direktivet er implementert gjennom offentleglova med forskrift, se Lov om endringar i offentleglova (gjennomføring av endringsdirektivet til vidarebruksdirektivet) - Lovdata.

    Datastyringsforordningen/Data Governance Act (DGA)

    Nøkkelinformasjon:

    Forordning (EU) 2022/868 om europeisk datastyring. Flere språkversjoner er tilgjengelige på denne siden.

    Innhold:

    Forordningen skal legge til rette for trygg viderebruk av beskyttede data fra offentlig sektor, for eksempel taushetsbelagte data, forretningsdata eller data underlagt opphavsrett. Hensikten er økt deling av data innad i EU og på tvers av sektorer for å bidra til økonomisk vekst, samtidig som man har god kontroll med og skaper tillit til at dataene deles på en forsvarlig måte.

    Forordningen åpner også for en ny forretningsmodell med «dataformidlere». Disse skal tilby trygge måter for firmaer og personer å dele beskyttede data på, som sikrer at dataene gjenbrukes i tråd med regelverket. Privatpersoner skal kunne velge å dele sine data (personopplysninger) for eksempel til forskning, men skal ha full kontroll over hvilke data som deles og med hvem gjennom dataformidleren.

    Det skal også opprettes et europeisk råd for datainnovasjon (European Data Innovation Board) som skal rådgi Kommisjonen om blant annet helhetlig praktisering av regelverket og hvordan man kan sikre interoperabilitet mellom dataformidlere.

    Status:

    Kommisjonen la frem lovforslaget i november 2020. Forordningen ble endelig vedtatt 16. mai 2022. Den vil tre i kraft 20 dager etter publisering i Official Journal, og få virkning 15 måneder etter ikrafttredelsen. Forordningen skal tas inn i EØS-avtalen og deretter gjennomføres i norsk rett.

    Dataforordningen/Data Act (DA)

    Nøkkelinformasjon:

    Forslag til forordning COM(2022) 68 final.

    Innhold:

    Lovforslaget skal legge til rette for tilgjengeliggjøring og bruk av data, inkludert deling av data mellom næringslivsaktører og fra næringslivet til offentlig sektor, og skal regulere databaser.

    Målet er bedre tilgang til data og insentiver for å investere i data, uten å endre de gjeldene reglene for personvern. Lovforslaget skal gjøre det mulig å dele data på en måte som er rettferdig, praktisk og klar, og som bidrar til at vi får et europeisk indre marked for data på tvers av land og sektorer.

    Små og mellomstore bedrifter skal få bedre tilgang til data for å kunne utvikle nye tjenester. Innbyggere skal få bedre kontroll over data de selv generer ved å bruke produkter som samler inn data. Data skal ikke kunne "låses inne" hos de som samler dem inn, og offentlige myndigheter skal få enklere tilgang til data fra privat sektor i krisesituasjoner.

    Status:

    Europakommisjonen la frem lovforslaget 23.2.2022. Det skal nå vurderes i EU-Rådet og Europaparlamentet før de to vil starte forhandlinger seg imellom. Det er forventet at forslaget vil skape mye diskusjon, og at forhandlingene dermed kan ta tid.

    Parlamentet har opprettet en egen side om Data Act som oppdateres etter hvert som arbeidet med lovforslaget går framover.

    Kunstig intelligens-forordningen/ Artificial Intelligence Act (AIA)

    Nøkkelinformasjon:

    Forslag til forordning COM(2021) 206 final.

    Innhold:

    Forordningen skal legge til rette for innovasjon og bruk av kunstig intelligens samtidig som man møter risikoer som kan følge av denne typen teknologi. Reglene vil gjelde for de som utvikler, tilbyr og bruker kunstig intelligens.

    Europakommisjonen foreslår en risikobasert tilnærming. Hvor strenge regler som skal gjelde kommer an på hvor stor risiko bruken av den aktuelle typen kunstig intelligens kan ha på grunnleggende rettigheter som personvern. Det settes også en grense for hva som er uakseptabel risiko, og teknologi som faller innenfor denne kategorien forbys.

    Her, som i GDPR, ønsker EU å sette en «gullstandard» som kan inspirere andre land til å lage tilsvarende regelverk.

    Status:

    Kommisjonen la frem forslaget til forordning i april 2021. Forslaget er nå til behandling i Rådet og EU-parlamentet.

    eIDAS-forordningen

    Nøkkelinformasjon:

    Forordning (EU) No 910/2014. Forordningen er under revidering.

    Innhold:

    eIDAS-forordningen skal sikre et velfungerende indre marked og et tilfredsstillende sikkerhetsnivå for elektronisk identifikasjon (eID) og tillitstjenester på tvers av EU/EØS-land. Målet er å etablere digitale, sikre og felles aksepterte løsninger som kan brukes grensekryssende til offentlige og private tjenester. Forordningen skal også bidra til at medlemstatene har tillit til hverandres eID-løsninger.

    Det er nå foreslått en konkretisering av hvordan en harmonisert felles ID-løsning skal se ut. Blant annet foreslås rammeverk for en digital «ID-lommebok» kalt European Digital Identity Wallet. Fysiske og juridiske personer skal få tilgang til pålitelige og sikre digitale identitetsløsninger som kan brukes innenfor EU og møter brukernes forventninger til personvern. De foreslåtte tjenestene vil muliggjøre en tilpasset utveksling av data som ikke gir flere personopplysninger enn det som er nødvendig (dataminimering). Brukerne gis full kontroll over egne personopplysninger og en garanti for datasikkerhet ved bruk av digitale identitetsløsninger.

    Status:

    eIDAS-forordningen ble vedtatt i 2014. Norge har implementert eIDAS-forordningen gjennom Lov om elektroniske tillitstjenester som trådte i kraft 15. juni 2018. I forskrift om selvdeklarasjon av ordninger for elektronisk identifikasjon (selvdeklarasjonsforskriften) gjenbrukes kravsettet for ulike sikkerhetsnivåer i identifikasjonsnivåforskriften (Kommisjonens gjennomføringsforordning (EU) 2015/1502) med enkelte nasjonale tilpasninger.

    Digdir har nylig publisert en veileder for identifikasjon og sporbarhet i elektronisk kommunikasjon med og i offentlig sektor.

    eIDAS-forordningen er nå under revisjon. Kommisjonen la i juni 2021 fram et forslag til forordning om europeisk eID hvor de foreslår en rekke endringer i eIDAS-forordningen. Forslaget er til behandling i Rådet og Parlamentet.

    Digital portal/Single Digital Gateway (SDG)

    Nøkkelinformasjon:

    Forordning (EU) 2018/1724.

    Innhold:

    Målet med å etablere en Single Digital Gateway er å gjøre det enklere for borgere og bedrifter å få tilgang til relevant informasjon når de ønsker å benytte sine rettigheter i det indre marked på tvers av landegrensene. Utvalgte administrative prosedyrer skal digitaliseres og gjøres tilgjengelig for brukere fra andre EØS-land.

    En digital portal skal opprettes for å veilede brukeren til relevant informasjon om rettigheter, plikter og regler som angår EUs indre marked. Dette inkluderer blant annet informasjon om arbeid, reise, utdannelse, flytting, helsetjenester og forbrukerrettigheter. Portalen skal også informere og assistere brukeren i å forstå relevante prosedyrer i ulike medlemsland.

    Forordningen pålegger medlemslandene å opprette full digital tilgjengelighet for noen offentlige tjenester. Dette gjelder blant annet det å søke om studiestipend, melde flytting eller registrere en bedrift. Forordningen er et steg i å gjennomføre «the Once Only principle», eller «kun en gang-prinsippet», som skal gjøre at man kun trenger å forholde seg til ett kontaktpunkt som bruker av offentlige tjenester.

    Status:

    Forordningen ble vedtatt i oktober 2018 og skal implementeres gradvis innen utgangen av 2023.

    Ditt Europa-portalen Your Europe (europa.eu) er relansert og første del av SDG-forordningen er gjennomført. Prosessen for å innta forordningen i EØS-avtalen er i gang, men ikke ferdig.

    Digitale markeder-forordningen/Digital Markets Act (DMA)

    Nøkkelinformasjon:

    Forslag til forordning COM (2020) 842 final.

    Innhold:

    Forordningen skal fremme innovasjon, vekst og konkurranse ved å regulere EUs digitale indre marked.

    EU anser at en del større plattformer opptrer som portvoktere (gatekeepers) i digitale markeder. DMA stiller krav til disse plattformene for å sikre rettferdig og lik markedsadgang og skal gjøre det lettere for små og mellomstore bedrifter og nyetablerte virksomheter å ta del i markedet. For forbrukere skal dette bety et større utvalg, enklere mulighet til å bytte mellom leverandører og lavere priser.

    De store plattformene skal fortsatt ha muligheten til å innovere og tilby nye tjenester. Men de vil ikke ha mulighet til å holde på urettferdige praksiser som gir dem selv fordeler på bekostning av mindre virksomheter som er avhengige av portvokternes tjenester for eksempel for å nå ut til kunder.

    Status:

    Det ble oppnådd enighet mellom forhandlerne fra Rådet og Parlamentet 24. mars 2022. Europaparlamentet i plenum og EU-rådet bekreftet enigheten i juli. Det forventes at regelverket er klart for publisering i EUs «Official Journal» i oktober 2022. Loven trer i kraft 20 dager etter publisering, og får virkning seks måneder etter ikrafttredelse.

    Digitale tjenester-forordningen/Digital Services Act (DSA)

    Nøkkelinformasjon:

    Forslag til forordning COM (2020) 825 final.

    Innhold:

    Der DMA skal sikre like konkurransevilkår i EUs digitale indre marked, skal DSA ivareta rettighetene til brukere av digitale tjenester i det indre markedet. Det gjør den ved å regulere hvilket ansvar og forpliktelser tilbydere av digitale tjenester, som internettbaserte plattformer, har for ulovlig innhold.

    Tilbydere av digitale tjenester som omfattes av regelverket er blant annet internettbaserte plattformer som markedsplasser på nett og sosiale medier. DSA definerer ikke hva som er ulovlig innhold, det gjøres i nasjonal rett eller annet EU-regelverk, men regulerer hvordan tilbyderne av digitale tjenester skal håndtere ulovlig innhold. DSA skal blant annet bidra til å forhindre kjøp og salg av ulovlige varer og deling av ulovlig innhold.

    Status:

    Rådet og Europaparlamentet kom til enighet i forhandlinger om lovforslaget 23.4.22. Europaparlamentet stemte over lovforslaget under plenumsmøtet 5. juli 2022. Rådet må deretter gi sin formelle godkjenning, før forslaget blir formelt vedtatt. Det er forventet at dette vil skje tidlig høsten 2022. Etter publisering og ikrafttredelse må regelverket implementeres innen 15 måneder.

    Ord og uttrykk fra EU

    Trilog-forhandlinger er uformelle forhandlinger mellom representanter for Europaparlamentet, Rådet og Europakommisjonen med formål å komme hurtigst mulig til enighet om nye EU-regler. Kompromisser som inngås ved trilogforhandlinger må godkjennes i etterkant av Rådet og Europaparlamentets plenumsforsamling.

    Europakommisjonen er det EU-organet som har forslagsrett, altså kan legge frem forslag til nytt regelverk. Det er også de som har ansvaret for gjennomføringen av EUs politikk og regelverk.

    Rådet for den Europeiske Union, ofte bare kalt Rådet, er et av EUs to lovgivende organer, som har myndighet til å vedta ny EU-lovgivning. Rådet består av representanter fra myndighetene i alle EUs medlemsland.

    Europaparlamentet er EUs folkevalgte organ, og det andre organet med myndighet til å vedta EU-lovgivning.

    Du kan finne forklaringen på flere nyttige ord og uttrykk knyttet til EU i ordlisten til Europalov.

    Vil du vite mer om EUs digitaliseringspolitikk?

    Regelverkene om digitalisering og deling og bruk av data skal bidra til å gjennomføre EUs digitaliseringspolitikk. Du kan lese mer om EUs digitaliseringspolitikk for eksempel på EU-kommisjonens nettsider om datastrategien.

    Norge har en utsendt IKT-råd ved Norges delegasjon til EU, som følger EUs politikk på digitaliseringsfeltet tett. Kontaktinformasjon til IKT-råd Camilla Ongre finnes på EU-delegasjonens nettside.

    Du kan også se opptak av en presentasjon fra Faglig arena for informasjonsforvaltning og deling av data 2.3.22. I første del av dette møtet ga vi en litt mer detaljert oversikt over flere av regelverkene nevnt ovenfor.

    Spørsmål?

    Nasjonalt ressurssenter for deling og bruk av data hjelper deg gjerne.

    Illustrasjon. Person som sitter og skriver på pc.