Digital Omnibus

Målet med den nye pakken er enkelt: Å redusere den administrative byrden med 25 % for store selskaper og 35 % for små og mellomstore bedrifter (SMB). Kommisjonen anslår at dette kan spare europeisk næringsliv for 5 milliarder euro innen 2029.  

Her er de fire viktigste endringene du må kjenne til.

1. En mer fornuftig definisjon av personopplysninger (GDPR)

En av de største nyhetene er en endring i hvordan vi definerer personopplysninger. Tidligere har man ofte brukt en «objektiv» tolkning: Hvis noen i verden teoretisk kunne identifisere en person ut fra dataene, ble det regnet som personopplysninger.  

Nå innføres en relativ tilnærming:  

• Data regnes bare som personopplysninger for din bedrift dersom dere har rimelige midler til å identifisere personen.  
• Dette betyr at pseudonymiserte datasett som deles med andre (f.eks. til forskning eller analyse), ofte kan behandles utenfor det strenge GDPR-regimet hos mottakeren.  

I tillegg får bedrifter et klarere rettslig grunnlag («legitim interesse») for å trene KI-modeller på data, og tidsfristen for å melde avvik utvides fra 72 til 96 timer.  

2. Pusterom for KI-utvikling (AI Act)

Mange selskaper har vært bekymret for de strenge tidsfristene i KI-forordningen. Digital Omnibus gir nå bedriftene mer tid.  

• Nye frister: De strengeste kravene for høyrisiko-KI utsettes til desember 2027 (og august 2028 for fysiske produkter).  
• Betinget oppstart: Reglene trer i kraft først når tekniske standarder og veiledninger er klare. Bedrifter skal slippe å gjette seg til hvordan de følger reglene.  
• Forenkling for SMB: Bedrifter slipper å registrere KI-systemer i EUs database hvis de selv vurderer at systemet ikke er høyrisiko.  

3. Slutten på «cookie banner-fatigue»?

EU ønsker nå å rydde opp i jungelen av samtykke-bannere for informasjonskapsler (cookies).  

• Unntak for lavrisiko: Det kreves ikke lenger samtykke for førsteparts-analyse (f.eks. enkel besøksstatistikk) eller sikkerhetstiltak.  
• «Nei betyr nei»: Hvis en bruker takker nei til cookies, har ikke nettstedet lov til å spørre på nytt før det har gått 6 måneder.  
• Automatiserte valg: I fremtiden skal du kunne stille inn personvernvalgene dine direkte i nettleseren, og nettsteder blir pliktige til å respektere disse signalene automatisk.  

4. Én felles portal for sikkerhetsbrudd

I dag må bedrifter ofte rapportere samme sikkerhetshendelse til mange ulike myndigheter. Digital Omnibus foreslår et «Single Entry Point» (SEP). Du rapporterer hendelsen én gang til en sentral EU-portal, som deretter deler informasjonen med alle relevante myndigheter (GDPR, NIS2, etc.).  

Hva betyr dette for norske bedrifter?

Siden dette regelverket berører GDPR og Data Act, vil det bli en del av EØS-avtalen og dermed gjeldende rett i Norge. Digitaliseringsministeren har allerede signalisert at Norge vil følge EUs tempo for å sikre norske bedrifter like konkurransevilkår.  

Strategisk tips: Selv om reglene forenkles, blir kontroll på egne data viktigere enn noen gang. Mange selskaper ser nå på server-side tracking som en løsning. Dette gir bedre kontroll på hvilke data som sendes til tredjeparter, og gjør det enklere å utnytte de nye unntakene for førsteparts-analyse.  

Konklusjon

Digital Omnibus er et signal om at EU skifter fokus fra å lage nye regler til å få de eksisterende reglene til å fungere i praksis. For deg som driver business, betyr dette forhåpentligvis mindre byråkrati og mer forutsigbarhet i årene som kommer.  

‍