Oversikt over EU-regelverk om deling og bruk av data
På denne siden finner du en kort oversikt over EU-regelverk på digitaliseringsfeltet som er i kraft eller på trappene og som også gjelder eller vil gjelde i Norge.
I hovedsak vil fire lover/lovforslag sammen regulere deling, bruk og gjenbruk av data:
- personvernforordningen som regulerer behandling av personopplysninger,
- åpne data-direktivet om åpne data fra offentlig sektor,
- dataforvaltningsforordningen om deling og viderebruk av beskyttede data, altså data som for eksempel er underlagt taushetsplikt, fra offentlig sektor og i tillegg frivillig fra firmaer eller privatpersoner, og
- dataforordningen som vil regulere deling av data fra privat sektor.
I tillegg til disse fire, vil vi også gi korte introduksjoner til andre tilgrensende regelverk.
Bemerk: Denne siden er ment til å gi en overordnet oversikt over utvalgte rettsakter. Det anbefales imidlertid å oppsøke Europalov for status på de enkelte rettsaktene.
Ulike typer EU-regelverk
En forordning (på engelsk: regulation) betyr kort fortalt at lovteksten i hovedsak må inntas direkte (ordrett) i norsk rett.
Et direktiv (på engelsk: directive) gir gjerne minimumsregler, som betyr at det kan gjøres nasjonale tilpasninger i hvordan regelverket gjennomføres i hvert enkelt land.
Du kan lese mer om ulike typer EU-regelverk på Europalov.
Personvernforordningen/General Data Protection Regulation (GDPR)
Nøkkelinformasjon:
Forordning (EU) 2016/679. Finnes også i en norsk oversettelse. Forordningen ble vedtatt i 2016, og er gjeldende for hele EØS-området. I Norge er GDPR implementert gjennom personopplysningsloven.
Innhold:
Personvernforordningen skal sikre et godt og likt personvern i hele EØS-området. Harmoniserte regler skal gjøre det lettere for næringslivet å operere på tvers av landegrenser, og alle borgere i EØS har de samme rettighetene til et sterkt vern av egne personopplysninger. Det sterke personvernet understøtte fri flyt av personopplysninger innenfor EØS-området.
Forordningen regulerer blant annet innsamling, bruk, lagring og deling av personopplysninger i både offentlig og privat sektor. Samtidig som alle som behandler personopplysninger tillegges plikter for å håndtere dataene på en trygg måte, gis EØS-borgere utvidede rettigheter til for eksempel innsyn i opplysninger om seg selv, til å få data rettet og til å få data om seg slettet. For noen særlige kategorier av personopplysninger, som informasjon om helse, gjelder særlig strenge regler.
EU ønsker å være verdensledende på personvern, og et mål er derfor at GDPR skal inspirere andre land til å løfte sitt personvernregelverk til samme nivå som i EU. Personopplysninger om EØS-borgere kan som hovedregel kun deles med aktører i land som anses å ha et like sterkt personvern som EU.
Åpne data-direktivet/Open Data Directive (ODD)
Nøkkelinformasjon:
Direktivet (EU) 2019/1024 trådte i kraft fra 16. juli 2019 i EU, med frist for å implementere 16. juli 2021. Direktivet erstatter viderebruksdirektivet (PSI-direktivet) 2003/98/EC, oppdatert i 2013.
Norge og EU-landene oppfordres til å gå lenger nasjonalt enn det man er nødt til etter minimumsreglene i direktivet.
ODD ble innlemmet i EØS-avtalen 10.6.22, men både Norge, Island og Liechtenstein la ned forbehold om parlamentarisk støtte. Høsten 2021 ble det oppnevnt et lovutvalg som vil se på helhetlig regulering av viderebruk av data, hvor ODD også er relevant.
Innhold:
Hensikten med direktivet er å hente ut verdien av data fra offentlig sektor. Direktivet regulerer «åpne data», altså data som ikke er underlagt juridiske begrensninger (som for eksempel data underlagt taushetsplikt eller personopplysninger).
To hovedprinsipp i direktivet er for det første at data fra offentlig sektor skal være åpent tilgjengelige for viderebruk for alle som ønsker å bruke dem. For det andre, at data fra offentlig sektor som hovedregel skal gjøres tilgjengelige gratis, men med visse unntaksregler. Direktivet dekker skriftlig tekst, databaser, lydfiler og film.
Noe av hensikten er å legge til rette for rettferdige konkurransevilkår, slik at ikke bare store etablerte selskaper skal ha mulighet til å kjøpe data fra offentlig sektor. Dataene skal kunne gjenbrukes både for kommersielle og ikke-kommersielle formål.
Virkeområdet utvides fra tidligere, blant annet vil direktivet gjelde for offentligeide selskaper og for forskningsdata fra offentlig finansiert forskning.
Dataforvaltningsforordningen /Data Governance Act (DGA)
Nøkkelinformasjon:
Forordning (EU) 2022/868 om europeisk dataforvaltning. Flere språkversjoner er tilgjengelige på denne siden. Dataforvaltningsforordningen ble formelt vedtatt i EU 30. mai 2022, og ble gjort gjeldende i det indre marked fra 24. september 2023.
Innhold:
Forordningen gir et rammeverk for hvordan offentlig sektor på en trygg måte kan dele beskyttede data som personopplysninger, taushetsbelagte opplysninger eller data underlagt opphavsrett til viderebruk.
Et overordnet mål er å skape tillit til datadeling, som gjør det enklere og tryggere for det offentlige, foretak og enkeltpersoner å frivillig gjøre data tilgjengelige. Dette skal bidra til mer tilgjengelige data for verdiskaping og innovasjon, muliggjøre tjenester på tvers av landegrenser og gi bedre grunnlag for politikkutvikling. Forordningen består av fire hovedelementer:
- Kap. II om gjenbruk av beskyttede data fra offentlige virksomheter gir prosess, system og vilkår for gjenbruk. Hvert land skal utnevne minst én «competent body» som får et overordnet ansvaret for veiledning og teknisk støtte på tvers av offentlig sektor. Videre skal det utnevnes et «single information point» (SIP) hvor man kan henvende seg for informasjon om datasett og be om tilgang. SIP skal også publisere en elektronisk liste over alle tilgjengelige dataressurser med informasjon om format, størrelse og vilkår for viderebruk.
- Kap. III om dataformidlere (datameglere) som skal tilby trygge måter for firmaer og personer å dele beskyttede data på, og være mellomledd mellom dem som har data og dem som ønsker å bruke dataene. Landene må utnevne en eller flere «competent authorities» for registrering av og tilsyn med dataformidlere.
- Kap. IV om dataaltruisme. Landene kan etablere ordninger for at privatpersoner kan dele data til f.eks. forskning. De må utnevne «competent authorities» for registrering av og tilsyn med dem som bruker dataene. Dette kan være den samme CA som for dataformidlerne (kap. III), og funksjonen kan legges til en eksisterende eller ny myndighet.
- Kap. VI om «European Data Innovation Board» som skal rådgi EU-kommisjonen om helhetlig praktisering av regelverket og interoperabilitet mellom dataformidlere.
DGA introduserer også en forvaltning av regelverk og datastyring som innebærer at en rekke oppgaver legges til det som er beskrevet som henholdsvis «Compentent Bodies» og «Competent Authorities». Gjennom et Nordisk-Baltisk prosjekt har Digdir sett på mulighetene for å koordinere og legge til rette for en felles inngang, forståelse og utforming av de forskjellige rollene som DGA introduserer.
Dataforordningen/Data Act (DA)
Nøkkelinformasjon:
Forordningen (EU) 2023/2854 regulerer datadeling fra privat sektor. Flere språkversjoner er tilgjengelige på denne siden.
Dataforordningen ble publisert i Official Journal (OJ) desember 2023.
Innhold:
Lovforslaget skal legge til rette for tilgjengeliggjøring og bruk av data, inkludert deling av data mellom næringslivsaktører og fra næringslivet til offentlig sektor, og skal regulere databaser.
Målet er bedre tilgang til data og insentiver for å investere i data, uten å endre de gjeldene reglene for personvern. Lovforslaget skal gjøre det mulig å dele data på en måte som er rettferdig, praktisk og klar, og som bidrar til at vi får et europeisk indre marked for data på tvers av land og sektorer.
Små og mellomstore bedrifter skal få bedre tilgang til data for å kunne utvikle nye tjenester. Innbyggere skal få bedre kontroll over data de selv generer når de bruker produkter som samler inn data. Data skal ikke kunne "låses inne" hos de som samler dem inn, og offentlige myndigheter skal få enklere tilgang til data fra privat sektor i krisesituasjoner.
Reguleringen pålegger medlemslandene å etablere en eller flere «Competent Authorities» som skal ha ansvar for gjennomføring og etterlevelse av regelverket. Visse ansvarsområder og roller er også tildelt «tilsynsmyndighetene» som er etablert under GDPR. Reguleringen sier eksplisitt at «kompetente myndigheter» «skal ha erfaring innen data- og elektroniske kommunikasjonstjenester».
Kunstig intelligens-forordningen/ Artificial Intelligence Act (AIA)
Nøkkelinformasjon:
Forordningen skal legge til rette for innovasjon og bruk av kunstig intelligens samtidig som man møter risikoer som kan følge av denne typen teknologi. Reglene vil gjelde for de som utvikler, tilbyr og bruker kunstig intelligens. Les mer om rettsakten her.
Innhold:
Europakommisjonen foreslår en risikobasert tilnærming. Hvor strenge regler som skal gjelde kommer an på hvor stor risiko bruken av den aktuelle typen kunstig intelligens kan ha på grunnleggende rettigheter.
Når det gjelder forvaltningen av regelverket viser reguleringen til forskjellige organer:
- Et “European Artificial Intelligence Board”
- Nasjonalt “Supervisory Authority”
- Ex ante: EU-database forvaltet av Europakommisjonen
- Ex post: Nasjonalt markedsovervåkningsorgan
Digdir har omfattende veiledningsmateriell om KI her.
eIDAS-forordningen
Nøkkelinformasjon:
eIDAS-forordningen skal sikre et velfungerende indre marked og et tilfredsstillende sikkerhetsnivå for elektronisk identifikasjon (eID) og tillitstjenester på tvers av EU/EØS-land.
Les mer om om forslag til endringsbestemmelsene til eIDAS-forordningen her.
Innhold:
Målet med forordningen er å etablere digitale, sikre og felles aksepterte løsninger som kan brukes grensekryssende til offentlige og private tjenester. Forordningen skal også bidra til at medlemstatene har tillit til hverandres eID-løsninger.
Det er nå foreslått en konkretisering av hvordan en harmonisert felles ID-løsning skal se ut. Blant annet foreslås rammeverk for en digital «ID-lommebok» kalt European Digital Identity Wallet. Fysiske og juridiske personer skal få tilgang til pålitelige og sikre digitale identitetsløsninger som kan brukes innenfor EU og møter brukernes forventninger til personvern. De foreslåtte tjenestene vil muliggjøre en tilpasset utveksling av data som ikke gir flere personopplysninger enn det som er nødvendig (dataminimering). Brukerne gis full kontroll over egne personopplysninger og en garanti for datasikkerhet ved bruk av digitale identitetsløsninger.
Digdir har publisert en veileder for identifikasjon og sporbarhet i elektronisk kommunikasjon med og i offentlig sektor.
Digital portal/Single Digital Gateway (SDG)
Nøkkelinformasjon:
Forordningens mål er legge til rette for at private aktører lettere skal få tilgang til informasjon om sine rettigheter på tvers av landegrenser.
Les mer om SDG her.
Innhold:
Målet med å etablere en Single Digital Gateway er å gjøre det enklere for borgere og bedrifter å få tilgang til relevant informasjon når de ønsker å benytte sine rettigheter i det indre marked på tvers av landegrensene. Utvalgte administrative prosedyrer skal digitaliseres og gjøres tilgjengelig for brukere fra andre EØS-land.
En digital portal skal opprettes for å veilede brukeren til relevant informasjon om rettigheter, plikter og regler som angår EUs indre marked. Dette inkluderer blant annet informasjon om arbeid, reise, utdannelse, flytting, helsetjenester og forbrukerrettigheter. Portalen skal også informere og assistere brukeren i å forstå relevante prosedyrer i ulike medlemsland.
Forordningen pålegger medlemslandene å opprette full digital tilgjengelighet for noen offentlige tjenester. Dette gjelder blant annet det å søke om studiestipend, melde flytting eller registrere en bedrift. Forordningen er et steg i å gjennomføre «the Once Only principle», eller «kun en gang-prinsippet», som skal gjøre at man kun trenger å forholde seg til ett kontaktpunkt som bruker av offentlige tjenester.
Digitale markeder-forordningen/Digital Markets Act (DMA)
Nøkkelinformasjon:
Forordning (EU) 2022/1925.
Det ble oppnådd enighet mellom forhandlerne fra Rådet og Parlamentet 24. mars 2022. Europaparlamentet i plenum og EU-rådet bekreftet enigheten i juli. Forordningen ble publisert i EUs «Official Journal» 12. oktober 2022 og trådte i kraft 1. november 2022.
Innhold:
Forordningen skal fremme innovasjon, vekst og konkurranse ved å regulere EUs digitale indre marked.
EU anser at en del større plattformer opptrer som portvoktere (gatekeepers) i digitale markeder. DMA stiller krav til disse plattformene for å sikre rettferdig og lik markedsadgang og skal gjøre det lettere for små og mellomstore bedrifter og nyetablerte virksomheter å ta del i markedet. For forbrukere skal dette bety et større utvalg, enklere mulighet til å bytte mellom leverandører og lavere priser.
De store plattformene skal fortsatt ha muligheten til å innovere og tilby nye tjenester. Men de vil ikke ha mulighet til å holde på urettferdige praksiser som gir dem selv fordeler på bekostning av mindre virksomheter som er avhengige av portvokternes tjenester for eksempel for å nå ut til kunder.
Digitale tjenester-forordningen/Digital Services Act (DSA)
Nøkkelinformasjon:
Forordning (EU) 2022/2065.
Lovteksten ble vedtatt 19.10.2022, publisert 27.10.2022 og trådte i kraft 16.11.2022.
Innhold:
Der DMA skal sikre like konkurransevilkår i EUs digitale indre marked, skal DSA ivareta rettighetene til brukere av digitale tjenester i det indre markedet. Det gjør den ved å regulere hvilket ansvar og forpliktelser tilbydere av digitale tjenester, som internettbaserte plattformer, har for ulovlig innhold.
Tilbydere av digitale tjenester som omfattes av regelverket er blant annet internettbaserte plattformer som markedsplasser på nett og sosiale medier. DSA definerer ikke hva som er ulovlig innhold, det gjøres i nasjonal rett eller annet EU-regelverk, men regulerer hvordan tilbyderne av digitale tjenester skal håndtere ulovlig innhold. DSA skal blant annet bidra til å forhindre kjøp og salg av ulovlige varer og deling av ulovlig innhold.
Samhandlingsforordningen/Interoperable Europe Act
Nøkkelinformasjon:
Forordningen er ment å skape et mer sammenhengende og brukervennlig tjenestetilbud til innbyggere og næringsliv. Les mer om status her.
Innhold:
Samhandlende digitale offentlige tjenester er avgjørende for vellykket digitalisering av EUs indre marked. Det er mye å hente for industrien og samfunnet på å sørge for at den digitale transformasjonen av Europas offentlige sektor er inkluderende, rettferdig og åpen, bærekraftig, verdidrevet og interoperabel.
Forordningen introduserer et rammeverk for samarbeid i offentlige administrasjoner over hele EU. Rammeverket skal bidra til å bygge en sikker grenseoverskridende utveksling av data og enighet om delte digitale løsninger, som for eksempel programvare med åpen kildekode, retningslinjer, rammeverk og IT-verktøy. Forordningen skal videre gjøre offentlige virksomheter bedre i stand til å samarbeide mer effektivt, utveksle informasjon og sikre sømløs levering av offentlige tjenester på tvers av både landegrenser, sektorer og organisasjonsgrenser. Forordningen har også som målsetting å stimulere til offentlig innovasjon og offentlig-private "GovTech"-prosjekter.
Regelverket samler verdifulle ressurser til støtte for offentlig sektor over hele EU og baner vei for bedre gjenbruk av eksisterende løsninger til offentlig nytte. Dermed bidrar forordningen til å fjerne administrative byrder, inkludert juridiske, organisatoriske, semantiske og tekniske hindringer. Et resultat til være reduserte kostnader og bruk av tid for bedrifter, innbyggere og for det offentlige selv.
Reguleringen introduserer:
- Et strukturert EU-samarbeid der offentlige forvaltninger, støttet av offentlige og private aktører, samles innenfor rammen av prosjekter som er medeid av medlemslandene, samt regioner og byer.
- Obligatoriske vurderinger for å evaluere virkningen av endringer i IT-systemer på grenseoverskridende interoperabilitet i EU.
- Deling og gjenbruk av løsninger, ofte åpen kildekode, drevet av en «Interoperable Europe Portal» – en one-stop-shop for løsninger og fellesskapssamarbeid.
- Innovasjons- og støttetiltak, inkludert regulatoriske sandkasser for politikkeksperimentering, GovTech-prosjekter for å utvikle og oppskalere løsninger for gjenbruk, og opplæringsstøtte.
Det fremtidige interoperabilitetssamarbeidsrammeverket vil bli styrt av Interoperable Europe Board. Styret vil være sammensatt av representanter fra EUs medlemsland, Kommisjonen, Regionkomiteen og Den europeiske økonomiske og sosiale komité.
Ord og uttrykk fra EU
Trilog-forhandlinger er uformelle forhandlinger mellom representanter for Europaparlamentet, Rådet og Europakommisjonen med formål å komme hurtigst mulig til enighet om nye EU-regler. Kompromisser som inngås ved trilogforhandlinger må godkjennes i etterkant av Rådet og Europaparlamentets plenumsforsamling.
Europakommisjonen er det EU-organet som har forslagsrett, altså kan legge frem forslag til nytt regelverk. Det er også de som har ansvaret for gjennomføringen av EUs politikk og regelverk.
Rådet for den Europeiske Union, ofte bare kalt Rådet, er et av EUs to lovgivende organer, som har myndighet til å vedta ny EU-lovgivning. Rådet består av representanter fra myndighetene i alle EUs medlemsland.
Europaparlamentet er EUs folkevalgte organ, og det andre organet med myndighet til å vedta EU-lovgivning.
Du kan finne forklaringen på flere nyttige ord og uttrykk knyttet til EU i ordlisten til Europalov.
Vil du vite mer om EUs digitaliseringspolitikk?
Regelverkene om digitalisering og deling og bruk av data skal bidra til å gjennomføre EUs digitaliseringspolitikk. Du kan lese mer om EUs digitaliseringspolitikk for eksempel på EU-kommisjonens nettsider om datastrategien.
Norge har en utsendt IKT-råd ved Norges delegasjon til EU, som følger EUs politikk på digitaliseringsfeltet tett. Kontaktinformasjon til IKT-råd Camilla Ongre finnes på EU-delegasjonens nettside.
Du kan også se opptak av en presentasjon fra Nokios-konferansen i oktober 2022 om flere av de kommende EU-regelverkene om deling og bruk av data.
Spørsmål?
Nasjonalt ressurssenter for deling og bruk av data hjelper deg gjerne.