Oversikt over EU-regelverk om deling og bruk av data

Mye av regelverket om behandling, deling, bruk og gjenbruk av data kommer fra EU. Gjennom EØS-avtalen, som lar Norge ta del i EUs indre marked, blir dette regelverket også del av norsk lov. Vi har laget en kort oversikt over EU-regelverk på digitaliseringsfeltet som er i kraft eller på trappene og som også gjelder eller vil gjelde i Norge.

På denne siden

    Illustrasjon. En person står med en rød koffert i høyre hånd og et gult ark under venstre arm.

    I hovedsak vil fire lover/lovforslag sammen regulere deling, bruk og gjenbruk av data:

    • personvernforordningen som regulerer behandling av personopplysninger,
    • åpne data-direktivet om åpne data fra offentlig sektor,
    • datastyringsforordningen om deling og viderebruk av beskyttede data, altså data som for eksempel er underlagt taushetsplikt, fra offentlig sektor og i tillegg frivillig fra firmaer eller privatpersoner, og
    • den kommende Data Act, som ikke er fremlagt enda, som vil regulere deling av data fra privat sektor.

    I tillegg til disse fire, vil vi også gi korte introduksjoner til andre tilgrensende regelverk.

    Ulike typer EU-regelverk

    En forordning (på engelsk: regulation) betyr kort fortalt at lovteksten i hovedsak må inntas direkte (ordrett) i norsk rett.

    Et direktiv (på engelsk: directive) gir gjerne minimumsregler, som betyr at det kan gjøres nasjonale tilpasninger i hvordan regelverket gjennomføres i hvert enkelt land.

    Du kan lese mer om ulike typer EU-regelverk på Europalov.

    Personvernforordningen/General Data Protection Regulation (GDPR)

    Nøkkelinformasjon:

    Forordning (EU) 2016/679. Finnes også i en norsk oversettelse.

    Innhold:

    Personvernforordningen skal sikre et godt og likt personvern i hele EØS-området. Harmoniserte regler skal gjøre det lettere for næringslivet å operere på tvers av landegrenser, og alle borgere i EØS har de samme rettighetene til et sterkt vern av egne personopplysninger. Det sterke personvernet understøtte fri flyt av personopplysninger innenfor EØS-området.

    Forordningen regulerer blant annet innsamling, bruk, lagring og deling av personopplysninger i både offentlig og privat sektor. Samtidig som alle som behandler personopplysninger tillegges plikter for å håndtere dataene på en trygg måte, gis EØS-borgere utvidede rettigheter til for eksempel innsyn i opplysninger om seg selv, til å få data rettet og til å få data om seg slettet. For noen særlige kategorier av personopplysninger, som informasjon om helse, gjelder særlig strenge regler.

    EU ønsker å være verdensledende på personvern, og et mål er derfor at GDPR skal inspirere andre land til å løfte sitt personvernregelverk til samme nivå som i EU. Personopplysninger om EØS-borgere kan som hovedregel kun deles med aktører i land som anses å ha et like sterkt personvern som EU.

    Status:

    Forordningen ble vedtatt i 2016 og er trådt i kraft i hele EØS-området. I Norge er GDPR implementert gjennom personopplysningsloven.

    Åpne data-direktivet/Open Data Directive (ODD)

    Nøkkelinformasjon:

    Direktiv (EU) 2019/1024. Erstattet viderebruksdirektivet (PSI-direktivet) 2003/98/EC, oppdatert i 2013.

    Norge og EU-landene oppfordres til å gå lenger nasjonalt enn det man er nødt til etter minimumsreglene i direktivet.

    Innhold:

    Hensikten med direktivet er å hente ut verdien av data fra offentlig sektor. Direktivet regulerer «åpne data», altså data som ikke er underlagt juridiske begrensninger (som for eksempel data underlagt taushetsplikt eller personopplysninger).

    To hovedprinsipp i direktivet er for det første at data fra offentlig sektor skal være åpent tilgjengelige for viderebruk for alle som ønsker å bruke dem. For det andre, at data fra offentlig sektor som hovedregel skal gjøres tilgjengelige gratis, men med visse unntaksregler. Direktivet dekker skriftlig tekst, databaser, lydfiler og film.

    Noe av hensikten er å legge til rette for rettferdige konkurransevilkår, slik at ikke bare store etablerte selskaper skal ha mulighet til å kjøpe data fra offentlig sektor. Dataene skal kunne gjenbrukes både for kommersielle og ikke-kommersielle formål.

    Virkeområdet utvides fra tidligere, blant annet vil direktivet gjelde for offentligeide selskaper og for forskningsdata fra offentlig finansiert forskning.

    Status:

    Direktivet trådte i kraft fra 16. juli 2019 i EU, med frist for å implementere 16. juli 2021.

    Et lovforslag for å implementere ODD i norsk rett er på vei men ikke fremlagt enda. Høsten 2021 ble det oppnevnt et lovutvalg som vil se på helhetlig regulering av viderebruk av data, hvor ODD også er relevant.

    Forgjengeren PSI-direktivet er implementert gjennom offentleglova med forskrift, se Lov om endringar i offentleglova (gjennomføring av endringsdirektivet til vidarebruksdirektivet) - Lovdata.

    Datastyringsforordningen/Data Governance Act (DGA)

    Nøkkelinformasjon:

    Forslag til forordning COM/2020/767 final. Det foreligger en oppdatert versjon det er oppnådd politisk enighet om, men som ikke er formelt vedtatt.

    Innhold:

    Forordningen skal legge til rette for trygg viderebruk av beskyttede data fra offentlig sektor, for eksempel taushetsbelagte data, forretningsdata eller data underlagt opphavsrett. Hensikten er økt deling av data innad i EU og på tvers av sektorer for å bidra til økonomisk vekst, samtidig som man har god kontroll med og skaper tillit til at dataene deles på en forsvarlig måte.

    Forordningen åpner også for en ny forretningsmodell med «dataformidlere». Disse skal tilby trygge måter for firmaer og personer å dele beskyttede data på, som sikrer at dataene gjenbrukes i tråd med regelverket. Privatpersoner skal kunne velge å dele sine data (personopplysninger) for eksempel til forskning, men skal ha full kontroll over hvilke data som deles og med hvem gjennom dataformidleren.

    Det skal også opprettes et europeisk råd for datainnovasjon (European Data Innovation Board) som skal rådgi Kommisjonen om blant annet helhetlig praktisering av regelverket og hvordan man kan sikre interoperabilitet mellom dataformidlere.

    Status:

    Kommisjonens la frem lovforslaget i november 2020. Det slovenske formannskapet i Rådet og EU-parlamentets forhandlere kom til enighet 30.11.2021, og det gjenstår nå formell vedtakelse i Rådet (Rådet for den europeiske union som består av medlemsstatene) og Europaparlamentet, som er forventet på nyåret i 2022. Forordningen må deretter tas inn i EØS-avtalen og gjennomføres i norsk rett.

    Data Act

    Nøkkelinformasjon:

    Lovforslaget er varslet fra Europakommisjonen, og skulle opprinnelig legges frem i siste kvartal 2021. Forslaget er imidlertid forsinket og er nå forventet presentert i februar 2022.

    Innhold:

    Lovforslaget skal legge til rette for tilgjengeliggjøring og bruk av data, inkludert deling av data mellom næringslivsaktører og fra næringslivet til offentlig sektor, og skal regulere databaser.

    Målet er bedre tilgang til data og insentiver for å investere i data, uten å endre de gjeldene reglene for personvern. Lovforslaget skal gjøre det mulig å dele data på en måte som er rettferdig, praktisk og klar og som bidrar til at vi får et europeisk indre marked for data på tvers av land og sektorer.

    Status:

    Europakommisjonen sendte en konsekvensutredning på høring i mai og juni 2021 og gjennomførte en høringsrunde med et spørreskjema om datadeling fra juni til september 2021.

    Parlamentet har opprettet en egen side om Data Act som oppdateres etter hvert som arbeidet med lovforslaget går framover.

    Kunstig intelligens-forordningen/ Artificial Intelligence Act (AIA)

    Nøkkelinformasjon:

    Forslag til forordning COM(2021) 206 final.

    Innhold:

    Forordningen skal legge til rette for innovasjon og bruk av kunstig intelligens samtidig som man møter risikoer som kan følge av denne typen teknologi. Reglene vil gjelde for de som utvikler, tilbyr og bruker kunstig intelligens.

    Europakommisjonen foreslår en risikobasert tilnærming. Hvor strenge regler som skal gjelde kommer an på hvor stor risiko bruken av den aktuelle typen kunstig intelligens kan ha på grunnleggende rettigheter som personvern. Det settes også en grense for hva som er uakseptabel risiko, og teknologi som faller innenfor denne kategorien forbys.

    Her, som i GDPR, ønsker EU å sette en «gullstandard» som kan inspirere andre land til å lage tilsvarende regelverk.

    Status:

    Kommisjonen la frem forslaget til forordning i april 2021. Forslaget er nå til behandling i Rådet og EU-parlamentet.

    eIDAS-forordningen

    Nøkkelinformasjon:

    Forordning (EU) No 910/2014. Forordningen er under revidering.

    Innhold:

    eIDAS-forordningen skal sikre et velfungerende indre marked og et tilfredsstillende sikkerhetsnivå for elektronisk identifikasjon (eID) og tillitstjenester på tvers av EU/EØS-land. Målet er å etablere digitale, sikre og felles aksepterte løsninger som kan brukes grensekryssende til offentlige og private tjenester. Forordningen skal også bidra til at medlemstatene har tillit til hverandres eID-løsninger.

    Det er nå foreslått en konkretisering av hvordan en harmonisert felles ID-løsning skal se ut. Blant annet foreslås rammeverk for en digital «ID-lommebok» kalt European Digital Identity Wallet. Fysiske og juridiske personer skal få tilgang til pålitelige og sikre digitale identitetsløsninger som kan brukes innenfor EU og møter brukernes forventninger til personvern. De foreslåtte tjenestene vil muliggjøre en tilpasset utveksling av data som ikke gir flere personopplysninger enn det som er nødvendig (dataminimering). Brukerne gis full kontroll over egne personopplysninger og en garanti for datasikkerhet ved bruk av digitale identitetsløsninger.

    Status:

    eIDAS-forordningen ble vedtatt i 2014. Norge har implementert eIDAS-forordningen gjennom Lov om elektroniske tillitstjenester som trådte i kraft 15. juni 2018. I forskrift om selvdeklarasjon av ordninger for elektronisk identifikasjon (selvdeklarasjonsforskriften) gjenbrukes kravsettet for ulike sikkerhetsnivåer i identifikasjonsnivåforskriften (Kommisjonens gjennomføringsforordning (EU) 2015/1502) med enkelte nasjonale tilpasninger.

    Digdir har nylig publisert en veileder for identifikasjon og sporbarhet i elektronisk kommunikasjon med og i offentlig sektor.

    eIDAS-forordningen er nå under revisjon. Kommisjonen la i juni 2021 fram et forslag til forordning om europeisk eID hvor de foreslår en rekke endringer i eIDAS-forordningen. Forslaget er til behandling i Rådet og Parlamentet.

    Digital portal/Single Digital Gateway (SDG)

    Nøkkelinformasjon:

    Forordning (EU) 2018/1724.

    Innhold:

    Målet med å etablere en Single Digital Gateway er å gjøre det enklere for borgere og bedrifter å få tilgang til relevant informasjon når de ønsker å benytte sine rettigheter i det indre marked på tvers av landegrensene. Utvalgte administrative prosedyrer skal digitaliseres og gjøres tilgjengelig for brukere fra andre EØS-land.

    En digital portal skal opprettes for å veilede brukeren til relevant informasjon om rettigheter, plikter og regler som angår EUs indre marked. Dette inkluderer blant annet informasjon om arbeid, reise, utdannelse, flytting, helsetjenester og forbrukerrettigheter. Portalen skal også informere og assistere brukeren i å forstå relevante prosedyrer i ulike medlemsland.

    Forordningen pålegger medlemslandene å opprette full digital tilgjengelighet for noen offentlige tjenester. Dette gjelder blant annet det å søke om studiestipend, melde flytting eller registrere en bedrift. Forordningen er et steg i å gjennomføre «the Once Only principle», eller «kun en gang-prinsippet», som skal gjøre at man kun trenger å forholde seg til ett kontaktpunkt som bruker av offentlige tjenester.

    Status:

    Forordningen ble vedtatt i oktober 2018 og skal implementeres gradvis innen utgangen av 2023.

    Ditt Europa-portalen Your Europe (europa.eu) er relansert og første del av SDG-forordningen er gjennomført. Prosessen for å innta forordningen i EØS-avtalen er i gang, men ikke ferdig.

    Digitale markeder-forordningen/Digital Markets Act (DMA)

    Nøkkelinformasjon:

    Forslag til forordning COM (2020) 842 final.

    Innhold:

    Forordningen skal fremme innovasjon, vekst og konkurranse ved å regulere EUs digitale indre marked.

    EU anser at en del større plattformer opptrer som portvoktere (gatekeepers) i digitale markeder. DMA stiller krav til disse plattformene for å sikre rettferdig og lik markedsadgang og skal gjøre det lettere for små og mellomstore bedrifter og nyetablerte virksomheter å ta del i markedet. For forbrukere skal dette bety et større utvalg, enklere mulighet til å bytte mellom leverandører og lavere priser.

    De store plattformene skal fortsatt ha muligheten til å innovere og tilby nye tjenester. Men de vil ikke ha mulighet til å holde på urettferdige praksiser som gir dem selv fordeler på bekostning av mindre virksomheter som er avhengige av portvokternes tjenester for eksempel for å nå ut til kunder.

    Status:

    Rådet vedtok sin foreløpige posisjon i november, mens EU-parlamentet vedtok sin posisjon i desember 2021. Det betyr at trilogforhandlinger mellom Rådet, Parlamentet og Kommisjonen kan starte tidlig i 2022.

    Digitale tjenester-forordningen/Digital Services Act (DSA)

    Nøkkelinformasjon:

    Forslag til forordning COM (2020) 825 final.

    Innhold:

    Der DMA skal sikre like konkurransevilkår i EUs digitale indre marked, skal DSA ivareta rettighetene til brukere av digitale tjenester i det indre markedet. Det gjør den ved å regulere hvilket ansvar og forpliktelser tilbydere av digitale tjenester, som internettbaserte plattformer, har for ulovlig innhold.

    Tilbydere av digitale tjenester som omfattes av regelverket er blant annet internettbaserte plattformer som markedsplasser på nett og sosiale medier. DSA definerer ikke hva som er ulovlig innhold, det gjøres i nasjonal rett eller annet EU-regelverk, men regulerer hvordan tilbyderne av digitale tjenester skal håndtere ulovlig innhold. DSA skal blant annet bidra til å forhindre kjøp og salg av ulovlige varer og deling av ulovlig innhold.

    Status:

    Rådet vedtok sin foreløpige posisjon i november 2021, mens EU-parlamentet kom til enighet i en plenumsvotering 20. januar 2022. Dermed er det klart for å starte trilogforhandlinger mellom Rådet, Parlamentet og Kommisjonen.

    Ord og uttrykk fra EU

    Trilog-forhandlinger er uformelle forhandlinger mellom representanter for Europaparlamentet, Rådet og Europakommisjonen med formål å komme hurtigst mulig til enighet om nye EU-regler. Kompromisser som inngås ved trilogforhandlinger må godkjennes i etterkant av Rådet og Europaparlamentets plenumsforsamling.

    Europakommisjonen er det EU-organet som har forslagsrett, altså kan legge frem forslag til nytt regelverk. Det er også de som har ansvaret for gjennomføringen av EUs politikk og regelverk.

    Rådet for den Europeiske Union, ofte bare kalt Rådet, er et av EUs to lovgivende organer, som har myndighet til å vedta ny EU-lovgivning. Rådet består av representanter fra myndighetene i alle EUs medlemsland.

    Europaparlamentet er EUs folkevalgte organ, og det andre organet med myndighet til å vedta EU-lovgivning.

    Du kan finne forklaringen på flere nyttige ord og uttrykk knyttet til EU i ordlisten til Europalov.

    Spørsmål?

    Nasjonalt ressurssenter for deling og bruk av data hjelper deg gjerne.

    Illustrasjon. Person som sitter og skriver på pc.

    På denne siden