logo
AktueltTeknologi og digitalisering: Hva skjedde i første kvartal 2025?

Teknologi og digitalisering: Hva skjedde i første kvartal 2025?

Årets første kvartal er over. Det har vært et begivenhetsrikt kvartal med høy aktivitet på flere fronter. Nye regelverk har trådt i kraft, blant annet deler av KI-forordningen og endringer i kringkastingsloven. Regjeringen har også vært aktiv, blant annet med en stortingsmelding om fremtidig bruk av droner. Samtidig har EU-kommisjonen trukket tilbake forslag til regelverk innen ePrivacy og KI-ansvar. På personvernfronten har Datatilsynet markert seg ved å ilegge Telenor et overtredelsesgebyr. For spillentusiaster har EU-kommisjonen lansert en veileder for virtuelle valutaer i spill, med mål om å styrke forbrukerbeskyttelsen. Her følger en oppsummering av de mest sentrale nyhetene, med praktiske takeaways for både små og store virksomheter.

KI-forordningen (AI Act): Høring varslet innen sommeren

KI-forordningen (AI Act) har trådt i kraft i EU, men gjelder foreløpig ikke i Norge. I første omgang er det reglene om forbudte AI-systemer som har trådt i kraft. Virksomheter som opererer på tvers av landegrenser i EU/EØS bør allerede nå vurdere sin bruk av AI og sikre at de ikke benytter forbudte systemer. For Norge, så har regjeringen endelig bekreftet at implementeringsarbeidet er påbegynt, og at forordningen skal sendes på høring innen sommeren. Det er ingen overraskelse for de som har fulgt med, for forordningen har allerede blitt vurdert som EØS-relevant. Spørsmålet har snarere vært _når_ det forventes at den vil bli en del av norsk lov. Regelverket er omfattende (460 sider) og teknisk komplisert, noe som skaper bekymring for kvaliteten på forarbeidene. Under årets IKT-rettskurs ble det påpekt at selv erfarne akademikere finner regelverket krevende.

Kort oppsummert: Gjør du vurderinger av om IT-systemet ditt bruker AI-løsninger, og om disse kan vurderes som forbudt?

Datatilsynet ilegger Telenor ASA overtredelsesgebyr

Datatilsynet har ilagt Telenor ASA et overtredelsesgebyr på 4 millioner kroner for mangler ved personvernombudsordningen og internkontroll. Telenor hadde ikke dokumentert personvernombudets uavhengighet eller etablert en direkte rapporteringslinje til høyeste ledelsesnivå, samt at det var påvist mangler ved internkontrollen. Etter varsel om vedtak avviklet selskapet personvernombudsordningen, men Datatilsynet pålegger Telenor å utrede om de fortsatt er forpliktet til å ha et personvernombud, samt å sørge for en oppdatert behandlingsprotokoll. Gebyret ble redusert på grunn av lang saksbehandlingstid og fravær av spesifikke skader på de registrertes personvern.

Hva kan vi lære av dette? Sørg alltid for å ha en oppdatert behandlingsprotokoll, og vurder om du trenger et personvernombud. F Hvis du har utpekt et ombud, følger det plikter som ved brudd kan medføre overtredelsesgebyr. Da hadde det vært bedre uten et personvernombud. Sjekk derfor om du er pliktig til å ha et personvernombud etter GDPR.

Oslo tingrett: Dom om bruk av personbilde i markedsføring

Det er ikke uvanlig å bruke bilder av egne ansatte i markedsføring. Men hva skjer når de slutter og virksomheten har brukt tid og ressurser på fotografering? Oslo tingrett avsa 3. februar 2025 dom (24-191907TVI-TOSL/04) i en sak mellom et omsorgsselskap og en tidligere ansatt. Saken gjaldt ulovlig bruk av personbilder i markedsføring uten tilstrekkelig samtykke. Dette berører både personvernet og retten til eget bilde. Retten konkluderte med at samtykket var trukket tilbake i forbindelse med oppsigelsen, og tilkjente den tidligere ansatte 20 000 kroner i erstatning. Dommen understreker viktigheten av klare avtaler om bruk av personbilder når du er ansatt. Et alternativ kan være å basere seg på samtykke eller berettiget interesse. Og benyttes samtykke, så følger retten til å kunne trekke tilbake samtykke. Resultatet ved brudd kan fort lede til erstatning.

Hva betyr dette for deg? Tenk over hvilke avtaler har du med de ansatte når du tar bilder eller video. Har du sikret deg slik at den ansatte kan tvinge deg til å ta nye bilder og slutte å bruke kostbart markedsføringsmateriell?

European Health Data Space Regulation (EDHS) i kraft i EU

Den 26. mars 2025 trådte forordningen om det europeiske helsedataområdet (European Health Data Space, EHDS) i kraft i EU som en del av EUs omfattende regulering av data. Forordningen, som er vurdert som EØS-relevant, skal bidra til bedre flyt av helsebehandling på tvers av landegrenser innad i EU/EØS. Dermed er ikke spørsmålet om den vil bli implementert i Norge, men når. EHDS skiller mellom primærbruk (helsehjelpsformål) og sekundærbruk (forskning, folkehelse og andre formål) av helsedata. Forordningen gir innbyggere elektronisk tilgang til egne helseopplysninger og legger opp til bruk av felles europeiske standarder og infrastruktur. Samtidig etableres strenge krav til informasjonssikkerhet og personvern. På sekundærbrukssiden innebærer regelverket at kun anonymiserte og pseudonymiserte helsedata kan benyttes til forskning. Det er ventet at EDHS vil kreve lov- og forskriftsendringer i Norge.

Cybersolidaritetsforordningen /Cyber Solidarity Act foreløpig ikke relevant for Norge

Cyber Solidarity Act trådte i kraft 4. februar 2025 i EU, men er foreløpig ikke vurdert som EØS-relevant av EU. Forordningen har som mål å styrke EUs evne til å oppdage, forberede seg på og håndtere økende cybersikkerhetstrusler. Forordningen introduserer blant annet et europeisk cyberskjold – en plattform av nasjonale og grenseoverskridende sikkerhetsoperasjonssentre (SOCs) – for bedre oppdagelse og respons på cybertrusler. Selv om forordningen ikke er markert som EØS-relevant, vil relevansen vurderes av EØS-komiteen når den trer i kraft. Norges posisjon til forordningen er foreløpig ukjent, men den kan få betydning for nasjonale cybersikkerhetsstrategier og samarbeid med EU. Det kan derfor bli aktuelt med en direkteavtale for å sikre samarbeid om cybersikkerhet i Europa.

Hva betyr dette for deg? Med tanke på den spente internasjonale situasjonen, så bør vi ikke se bort fra at Norge kan ha nytte av et samarbeid med EU på dette området.

Stortingsmelding 15 (2024-2025) om droner og ny luftmobilitet

Regjeringen la nå i mars frem en stortingsmelding om bruk av droner og ny luftmobilitet, som skal sikre en bærekraftig, sikker og samfunnsnyttig utvikling av luftfarten. Bruk av droner kan bidra til både økonomiske, miljømessige og sikkerhetsmessige fordeler sammenlignet med helikoptre og fly. Regjeringen ønsker å videreføre Norges ledende posisjon innen droneteknologi og har pålagt Avinor å utvikle systemer for sanntidsdeling av informasjon mellom bemannet og ubemannet luftfart. Meldingen fremhever også behovet for økt dronekompetanse. Samtidig adresseres utfordringer knyttet til sikkerhet, personvern og uvettig dronebruk. Regjeringen vurderer tiltak som gir Luftfartstilsynet myndighet til å ilegge forenklede forelegg for regelbrudd og styrke bevisstheten rundt personvern for droneoperatører.

Hovedpoeng: Sikkerhet og personvern blir viktig i en stadig mer digital hverdag, men samtidig, gjort på en riktig måte så kan det vokse frem en ny næring.

ePrivacy-forordningen: som å «vente på Godot» – og det samme gjelder AI-ansvar

Vi har ventet på ePrivacy-forordningen. Men i februar 2025 kunngjorde EU-kommisjonen at arbeidet med ePrivacy-forordningen, som har vært under utvikling siden 2017, nå trekkes tilbake. Forordningen var ment å supplere GDPR ved å regulere elektronisk kommunikasjon og sikre konfidensialitet. Den har imidlertid møtt betydelige politiske og tekniske utfordringer underveis. Tilbaketrekkingen markerer slutten på en langvarig prosess. Selv om ePrivacy-forordningen ikke blir realisert, vil forhold som beskyttelse av metadata, informasjonskapsler og elektronisk kommunikasjon – fortsatt være relevante og blir fortsatt håndtert gjennom andre regelverk. For norske virksomheter betyr dette at eksisterende regler for elektronisk kommunikasjon fortsatt gjelder. Og i en bi-setning kan nevnes at forslaget til AI-ansvarsdirektiv også har blitt trukket tilbake. Direktivet ble opprinnelig lansert i 2022, men kommisjonen har ikke klart å oppnå enighet om direktivet.

Oppsummert: Det regulatoriske bildet er allerede komplisert innen IKT, så her har vi nok ikke hørt det siste. Følg med for nye regulatoriske tiltak.

Trenger du en exit-strategi for bruk av dine digitale tjenester?

I mars ble det slått opp i media at digitaliserings- og forvaltningsministeren hadde bedt alle virksomheter om å ha en exit-strategi for bruk av amerikanske tjenester i lys av den nye administrasjonen i Washington. Bekymringen er forståelig med den usikkerhet som er skapt. Men det er viktig å presisere at ministeren kun viste til Datatilsynets anbefalinger om å følge med og gjøre regelmessige vurderinger. Det sagt, så er det ikke en dårlig strategi å ha en exit-strategi for alle skytjenester med dagens politiske usikkerhet. Om det er realistisk å slutte å bruke AWS, Google og MS Azure er en helt annen sak.

Endringer i kringkastingsloven – videodelingsplattformer inkludert

Den 28. februar 2025 ble det vedtatt en lovendringer i kringkastingsloven, som gjennomfører EU-direktiv (2018/1808) om audiovisuelle medietjenester (AMT-direktivet) i norsk rett. Endringsloven utvider kringkastingslovens virkeområde til å omfatte videodelingsplattformtjenester og innfører skjerpede krav til beskyttelse mot skadelig og ulovlig innhold. Samtidig stilles det krav om universell utforming av innhold og økt uavhengighet for tilsynsorganer som Medietilsynet. AMT-direktivet har som mål å sikre fri bevegelse av audiovisuelle tjenester i EØS-området, beskytte forbrukere og fremme kulturelt mangfold. Ikrafttredelsen er ennå ikke fastsatt, og den vil kun gjelde for tilsyn og kontroll som gjennomføres etter dette tidspunktet.

Hva betyr det? Videodelingsplattfomer, slik som Youtube bør følge med, for her kommer det krav til plattformtjenesten som ikke har vært der til nå.

Ny veileder for virtuell valuta i spill: bedre beskyttelse for oss som spiller

Kjøp i spill som Fortnite, EA Sports FC 24, Minecraft eller Clash of Clans har sine utfordringer, men nå har EU-kommisjonen tatt grep for å gi bedre beskyttelse. Kommisjonen lanserte 21. mars 2025 en ny veileder for bruk av virtuell valuta i spill, som setter tydelige retningslinjer for spillselskaper og styrker forbrukervernet. Veilederen slår fast at kjøp av og med virtuell valuta skal behandles som vanlige kjøp og dermed omfattes av forbrukerlovgivningen. Dette innebærer blant annet krav om klar prisopplysning, rettferdige avtalevilkår og respekt for angreretten. Veilederen adresserer også problemstillinger som manipulerende design, ensidige endringer av innhold og uklare brukervilkår. Spillselskaper kan ikke lenger utestenge spillere uten klagemuligheter eller endre innhold som spillere har betalt for. I tillegg stilles det krav til beskyttelse av sårbare spillere, spesielt barn, og forbud mot direkte kjøpsoppfordringer til mindreårige.

Kort oppsummert: Har du utviklet spill eller applikasjoner med «kjøp i spillet», da må du følge og sikre dine brukeres rettigheter.