Nyheter teknologi og personvern – august 2025
Vi gir deg her en kort oversikt over utvalgte nyheter innen IT og personvern, blant annet forslag til lov om kunstig intelligens, skjerpede krav til digital sikkerhet, samt utvalgte saker fra domstolene og Personvernnemnda. For nærmere informasjon over kommende regelverk fra EU og nasjonalt, kan du besøke vår tidslinje Tech Insight.
Den 30. juni 2025 sendte Digitaliserings- og forvaltningsdepartementet på høring et forslag til ny lov om kunstig intelligens. Høringsfristen er 30. september og lovforslaget kan leses her.
I høringen foreslås blant annet:
KI-forordningen gjennomføres som norsk lov og suppleres med enkelte nasjonale bestemmelser.
Nasjonal kommunikasjonsmyndighet blir koordinerende markedstilsynsmyndighet etter KI-forordningen og nasjonalt kontaktpunkt for de nasjonale myndighetene.
Norsk akkreditering er nasjonalt akkrediteringsorgan.
- Overtredelse av loven og forordningen kan innebære sanksjoner, inkludert overtredelsesgebyr og tvangsmulkt. Størrelsen på overtredelsesgebyr er utførlig regulert i forordningen og avhenger av overtredelsens art. Ved brudd på forbudte KI-praksiser er maksimalsatsen satt til EUR 35 000 000 eller 7 % av samlet global omsetning det foregående regnskapsåret, avhengig av hvilket beløp som er høyest. Det er ikke foreslått noen beløpsgrense for tvangsmulkt i høringen.
KI-forordningen trer i kraft i EU fra 2. august 2026. I Norge må den imidlertid først implementeres med en egen lov. Forordningen er bygget på en risikobasert tilnærming der kravene til KI-systemer avhenger av risikoen forbundet med systemet. Visse KI-praksiser er forbudt. Det er verdt å merke seg at forordningens krav til KI-modeller for allmenne formål («general-purpose AI models») trådte i kraft i EU allerede 2. august i år. Kort forklart er dette store KI-modeller som kan anvendes for å utføre en lang rekke oppgaver, eksempelvis språkmodeller og modeller som genererer output i form av bilder og lyd. Et kjennetegn ved disse modellene er at de ofte integreres i andre KI-systemer.
Reglene for KI-modeller for allmenne formål gjelder for tilbydere som tilgjengeliggjør modellene til brukere i EU, uavhengig av hvor tilbyderen er etablert. Forordningens fortale og EU-kommisjonen uttrykker imidlertid at virksomheter som videreutvikler eksisterende modeller, kan være tilbydere av den modifiserte modellen. Hva som skal til for at dette inntreffer er langt fra klart og Kommisjonen er selv åpen på at dette er et komplisert spørsmål, særlig ettersom det er mange virksomheter som videreutvikler eksisterende KI-modeller. Fortalen og kommisjonen gir videre uttrykk for at kravene som vil komme til anvendelse overfor slike videreutviklere, bør begrenses til å gjelde for den videreutviklede bestanddelen av KI-modellen.
Sett bort fra visse KI-praksiser som har vært forbudt siden 2. februar i år, vil overgangsordningene i forordningen art. 111 gjelde for KI-systemer og KI-modeller som allerede er på markedet eller tatt i bruk når loven trer i kraft. Dette innebærer i korte trekk at leverandører får noe tid til å tilpasse seg kravene. Eldre KI-systemer og KI-modeller får frister til å tilpasse seg de nye reglene, avhengig av type system og om de får større endringer. For eksempel må KI-systemer som er en del av store IT-systemer (nevnt i Annex X) og som allerede er tatt i bruk før 2. august 2027, tilpasses den nye KI-loven innen 31. desember 2030. Målet er å sikre at selv eksisterende KI-systemer etter hvert overholder EUs KI-forordning.
Den mye omtalte digitalsikkerhetsloven trer i kraft 1. oktober i år. Med loven innføres det første sektorovergripende regelverket for digital sikkerhet i Norge. Virksomheter som tilbyr samfunnsviktige tjenester og visse digitale tjenester må fra ikrafttredelsestidspunktet etterleve lovens krav til sikkerhet for nettverks- og informasjonssystemer som brukes i tjenesteleveransene.
Digitalsikkerhetsforskriften trer i kraft på samme tid som digitalsikkerhetsloven. Forskriften konkretiserer sikkerhetskravene som må overholdes, herunder krav til sikkerhets- og risikostyring, dokumentasjonskrav, minstekrav til sikkerhetstiltak, varslingskrav, samt krav til oppfølging av leverandører. I tillegg defineres samfunnsviktige tjenestesektorer som klargjør hvem som underlegges loven. Disse er illustrert i oversikten under.
For finanssektoren gjelder det fra 1. juli også skjerpede krav til sikkerhetsarbeidet i virksomheter som omfattes av lov om digital operasjonell motstandsdyktighet i finanssektoren. Loven gjennomfører DORA-forordningen og DORA-direktivet fra EU.
Mesteparten av bestemmelsene i EUs dataforordning trer i kraft i EU fra 12. september i år. Forordningen er vurdert som EØS-relevant, men tidshorisonten for gjennomføring i EØS og Norge er fremdeles uklar. På tross av at forordningen ikke er gjennomført i norsk rett, må norske virksomheter som leverer tjenester til kunder i EU opptre i samsvar med regelverket fra 12. september 2025.
Forordningen innfører for det første regler som skal legge til rette for økt tilgjengeliggjøring av data for brukere (både forbrukere og virksomheter) av tilkoblede produkter (IoT-produkter) og tilhørende tjenester, og for at dette skjer på rettferdige og rimelige vilkår. IoT-produkter er i korte trekk produkter tilkoblet Internett, eksempelvis smarte høyttalere eller termostater. Tilhørende tjenester er tjenester som er nødvendige for å oppfylle enkelte av IoT-produktets funksjoner, eksempelvis apper tilhørende høyttaleren eller termostaten. Virksomheter underlagt datadelingsforpliktelsene, såkalte datainnehavere, vil typisk være produsenten/leverandøren av IoT-produktene og de tilhørende tjenestene. Forordningen inneholder også bestemmelser som skal sikre myndigheter datatilgang dersom det foreligger ekstraordinære behov. Les mer om dataforordningen i vår artikkel her.
Der reglene om tilgjengeliggjøring av data har fått mye omtale, har det vært noe mindre fokus på reglene om switching mellom skytjenesteleverandører. Formålet med sistnevnte regelsett er å gjøre det enklere både juridisk og teknisk for kunder å bytte mellom skytjenesteleverandører eller over på on-prem infrastruktur.
Reglene om switching innebærer blant annet at skyleverandører må overholde en rekke bistandsforpliktelser vedrørende overføring av data til alternativ tilbyder. Forordningen stiller forhåndsdefinerte krav til innholdet i avtalen mellom kunde og skyleverandør, herunder to måneders oppsigelsesrett for kunden, og strammer inn skyleverandørens adgang til å kreve dekning av byttekostnader. Det innføres et totalforbud mot slike kostnader fra 12. januar 2027. Blant kravene på det tekniske plan er at PaaS- og SaaS-tilbydere må sørge for å ha på plass grensesnitt for å legge til rette for switching.
Reglene vil medføre behov for oppdatering av avtalevilkår for levering av skytjenester, og forordningen vil gjelde for norske skyleverandører som leverer sine tjenester til kunder i EU fra 12. september 2025.
Den 2. juli 2025 sendte Digitaliserings- og forvaltningsdepartementet på høring et forslag til lov om digitale tjenester som skal gjennomføre den såkalte Digital Services Act fra EU. Forordningens formål er å skape et tryggere internett der brukernes grunnleggende rettigheter, herunder personvern, forbrukerrettigheter og mindreåriges rettigheter, er ivaretatt. Forslaget fra departementet innebærer at forordningen gjennomføres i sin helhet med enkelte nasjonale tilleggsbestemmelser, samt at enkelte bestemmelser i den eksisterende e-handelsloven oppheves. Høringsfristen er 1. oktober i år.
Regelverket omfatter tilbydere av såkalte formidlingstjenester. Dette er eksempelvis internettilbydere, skytjenester som tilbyr lagring, sosiale medier, nettbaserte markedsplasser og søkemotorer. Omfanget av forpliktelser avhenger av hvilken type formidlingstjeneste en tjeneste kategoriseres som etter regelverket.
I juni avsa Borgarting lagmannsrett dom (LB-2024-49213) i en tvist mellom Sparebank 1 Utvikling DA og Tietoevry Norway AS knyttet til partenes avtale om levering av betalingsformidlingstjenester og andre IT-tjenester. Avtalen ble opprinnelig inngått i 2007 og sist forlenget i 2016.
For lagmannsretten gjaldt saken to hovedspørsmål: 1) om Sparebank 1 hadde krav på forlengelse av avtalen, og 2) om Tietoevry hadde krav på revisjon av fastprisen. Lagmannsretten konkluderte med at Sparebank 1 hadde rett til å forlenge avtalen, samt at Tietoevrys revisjonskrav, med grunnlag i avtaleloven § 36, førte frem.
Om revisjonskravet pekte Tietoevry på at Sparebank 1 og deres kunders bruk hadde endret seg på en måte som ikke kunne forutses ved avtaleforlengelsen i 2016, både i form av økt datatrafikk og endringer i bruksmåte. Sparebank 1 mente på sin side at risikoen for kostnadsøkningene var noe Tietoevry selv måtte bære. Ved sin vurdering la retten til grunn en senket terskel for urimelighetsvurderingen, ettersom avtalen inneholdt en såkalt hardship-klausul vedrørende fastprisen og på grunn av avtalens langsiktighet. Retten fant deretter at urimelighetsterskelen var overskredet og ga Tietoevry medhold. Som resultat fastsatte retten en skjønnsmessig økning i den årlige fastprisen og tilleggsvederlag for foregående år.
Dommen er grundig og inneholder flere læringspunkter. Ett nøkkelpunkt er at det i langsiktige avtaleforhold kan være rom for avtalerevisjon der partene har kontraktsfestet forutsetninger for reforhandling og det foreligger etterfølgende ekstraordinære forhold.
Oslo tingrett avsa i mai dom (TOSL-2024-139613) i en IT-tvist mellom SparkPark AS og Bouvet Norge AS. SparkPark er en startup som står bak «Happy City», en løsning for sporing av el-sparkesykler. Ettersom SparkPark ikke hadde kompetanse innen programvareutvikling, inngikk selskapet fra 2020 til 2022 flere avtaler med Bouvet om prosjektledelse og utvikling av back-end-systemet til Happy City, alle basert på statens standardavtale for konsulenttjenester, SSA-B enkel.
Det oppsto etter hvert komplikasjoner med løsningen, og SparkPark nektet derfor å betale utestående fakturaer. Samtidig krevde SparkPark heving, tilbakebetaling og utlevering av kildekoden til back-end-systemet. Bouvet motsatte seg dette og krevde betaling for utførte tjenester.
Tingretten kom til at SparkPark ikke hadde reklamert rettidig, og at det ikke forelå noe kontraktsbrudd fra Bouvet sin side. Ved vurderingen av kontraktsbruddet var det avgjørende at Bouvet kun hadde påtatt seg en innsatsforpliktelse til å lede prosjektet og utvikle systemet etter beste evne uten å ha noe ansvar for funksjonaliteten i løsningen.
Dommen er et eksempel på viktigheten av å være bevisst på skillet mellom innsats- og resultatforpliktelse ved valget av kontrakt.
Sak PVN-2024-25 gjaldt en klage fra administrator av Facebook-gruppen «Advokater som ikke anbefales» over Datatilsynet pålegg om å gi en advokat innsyn i innlegg postet om ham i facebook-gruppen.
Det faktum at Facebook-gruppen var lukket, var etter Nemndas syn ikke tilstrekkelig til at unntaket for personlige eller familiemessige aktiviteter var anvendelig overfor Facebook-gruppen. Nemnda viste her til rettspraksis der det fastslås at unntaket skal fortolkes strengt, samt at innlegg på gruppen var tilgjengelig for et ubestemt antall personer. Behandlingen av personopplysninger i Facebook-gruppen var derfor underlagt personopplysningsloven og GDPR. Det var også på det rene at administrator av gruppen var behandlingsansvarlig. Administratorens anførsler om at ytringsfriheten forhindrer innsyn førte ikke frem. Nemnda viste til at innsyn riktignok kunne redusere sjikanøse ytringer i gruppen, men at slike ytringer uansett har et beskjedent vern.
Pålegget om innsyn ble derfor opprettholdt, men det ble presisert at advokaten ikke hadde krav på innsyn i personopplysninger om personer som kan knyttes til de aktuelle innleggene.