Dette er EUs Digital Omnibus-forslag

Hva er Digital Omnibus?

Kort forklart så er det EU-kommisjonens forslag (18.11.2025) på å forenkle og samordne sentrale tech‑regelverk:

• Forslaget samler og endrer deler av GDPR, Data Act, Åpne data‑direktivet (ODD), Dataforvaltningsforordningen (DGA) og Digital Markets Act (DMA).
• Endringer i AI Act publiseres i samme pakke.
• Formålet er enklere regler, mindre byråkrati og bedre konkurransekraft – uten å svekke personvernet.
• Forslaget er på høring til 11.03.2026. Det er ikke endelig vedtatt.

Sammenslåing og strukturell «rydding» i datadeling

• Én sammenslått forordning: Data Act foreslås slått sammen med ODD og DGA for å tydeliggjøre sammenhengene.
• Cookies fra ePD til GDPR: Regler om samtykke til informasjonskapsler flyttes inn i GDPR.
• P2B foreslås opphevet: Platform-to-Business-forordningen fases ut.
• Dataformidler blir valgfritt: Rollen i Data Act foreslås gjort til et valgfritt løp, ikke en plikt.
• Strammere skranker for deling:
  • Myndigheters tilgang etter Data Act strammes inn til situasjoner med «public emergency».
  • Eksplisitt hjemmel for å holde tilbake deling ved risiko for lekkasje av forretningshemmeligheter til tredjeland.

Endringer i GDPR du bør kjenne til

• Personopplysningsbegrepet presiseres (art. 4(1)): Klargjør at vurderingen knytter seg til hva den konkrete virksomheten faktisk kan identifisere. Dette speiler SRB‑dommen (C‑413/23 P) og endrer lite i praksis.
• Formålsbegrensning og viderebehandling (art. 5(1)(b)): Viderebehandling til vitenskapelige, statistiske, historiske formål og arkivformål i allmennhetens interesse anses forenlig uten test etter art. 6(4).
• Ny definisjon av «vitenskapelig forskning» (art. 4(38)): Vid definisjon som også kan omfatte kommersiell FoU og innovasjon.
• AI‑trening og berettiget interesse (ny art. 88c): Åpner for at art. 6(1)(f) kan brukes for trening av AI, men uten å senke kravene – interesseavveiing, nødvendighet og transparens må fortsatt oppfylles.
• Særlige kategorier (art. 9): Ingen generell uthuling. Et snevert unntak for utvikling og drift av AI‑systemer, ellers består den strenge linjen fra nyere rettspraksis.
• Informasjonskrav (art. 12 og 13): Presiserte unntak i små, løpende og klart avgrensede relasjoner (f.eks. håndverker–kunde, idrettslag–medlem). Kravet om god, overordnet informasjon etter art. 12 består.
• Varsling: Forslag om utvidet varslingsfrist, felles varslingskanal på tvers av EU‑regler og maler for DPIA (art. 35) på sikt.
• DPIA: Det legges til rette for at det kan lages samlede regler på EU-nivå for i hvilke tilfeller en personvernkonsekvensvurdering (DPIA) skal gjennomføres. Disse reglene ligger nå på nasjonalt nivå.

Nødbrems på AI Act – hva endres?

• Mindre plikter direkte på utviklere og idriftssettere (art. 4): Tyngdepunktet flyttes mot EU‑organer og medlemsstater som skal «oppfordre og støtte» kompetansebygging hos virksomheter.
• Ny art. 4a: Ytterligere rammer for behandling av personopplysninger, harmonisert med GDPR‑endringene (særlig art. 9).
• Lettelser for SMB og «small mid‑caps»: Flere krav tilpasses for å redusere byrden på mindre virksomheter.
• Utsatte frister og avhengighet av standarder: Flere ikrafttredelsesfrister skyves til EU‑standarder er på plass. 

Hva betyr dette for norske virksomheter?

• Mer helhet, midlertidig mer kompleksitet: Ambisjonen er færre siloer og bedre samspill i regelverket, men overgangsteksten kan oppleves som rotete før ny struktur setter seg.
• Konsekvenser for norsk rett: NOU 2024:14 om datadelingslover vil trolig måtte revideres. Norge kan ende med én samlet datadelingslov når EU‑pakken vedtas.
• AI‑prosjekter får pusterom: Utsatte frister og veiledning for SMB kan gjøre etterlevelse mer håndterlig – men kravene forsvinner ikke. Standarder og dokumentasjon blir fortsatt avgjørende.

EU innførte AI Act for å få felles, risikobaserte regler som beskytter mennesker og samfunn, samtidig som loven gir like vilkår og forutsigbarhet for bedrifter og legger til rette for innovasjon i hele EU. De siste justeringene (“nødbremsen”) skal gjøre etterlevelse mulig før standardene er på plass. På kort sikt betyr det mer veiledning og noen midlertidige unntak. På lengre sikt et ryddigere og mer forutsigbart rammeverk. Hvis samordningen gjennomføres godt.

Hva bør du gjøre nå?

• Kartlegg AI‑bruk og datalandskap: Hva utvikler dere, hvilke data brukes, og hvilket behandlingsgrunnlag er best egnet (samtykke, berettiget interesse, mv.)?
• Test berettiget interesse for AI‑trening riktig: Gjennomfør interesseavveiing, dokumenter nødvendighet, implementer klare reservasjon‑/innsynsmekanismer og vurder DPIA.
• Gjennomgå datadeling og tredjeland: Vurder public emergency‑unntak, håndtering av forretningshemmeligheter og deling med leverandører utenfor EØS.
• Rydd i cookie‑ og transparensregime: Forbered flytting av cookie‑regler til GDPR, oppdater personvernerklæring og informasjonspraksis.
• Følg standarder og veiledning: Bygg etterlevelse som «kan aktiveres» når AI‑standardene kommer – med sporbarhet, kontroll og revisjonsspor.
• Gjør deg klar for én samlet datadelingslov: Sjekk og oppdater henvisninger i interne retningslinjer og kontrakter.

Ofte stilte spørsmål

Gjelder endringene allerede?

Nei. Dette er et høringsforslag. Frist for innspill er 11.03.2026.

Kan vi bruke berettiget interesse som behandlingsgrunnlag når vi trener AI

Forslaget åpner for det, men med strenge vilkår. Vurder DPIA, risikoreduserende tiltak og transparens. 
Berettiget interesse er et av lovlige grunnlagene i GDPR for å behandle personopplysninger

Blir cookies-reglene endret?

Ja. Regelverket flyttes til GDPR, som kan gjøre det litt tydeligere for deg.

Hva med sensitive data?

Ingen generell liberalisering. Et smalt unntak for AI‑utvikling/drift – resten følger dagens strenge linje.

Viktige datoer

• 18.11.2025: Digital Omnibus-forslaget publisert.
• 11.03.2026: Frist for høringssvar.