AIGATO.

Kunstig intelligens · Regulering · Hva det betyr for Norge

EU og reguleringPublisert 15. juli 2026

EDPB stiller tre krav til selskaper som skraper nettet til AI-trening

EUs personvernråd vedtok 8. juli nye retningslinjer for web scraping og anonymisering. Fristen for å påvirke dem er 30. oktober 2026.

TIMUR AKTAS · Ansvarlig redaktør · 15. juli 2026
AI-generert · redaksjonelt kontrollert

Web scraping er blitt standardmetoden for å bygge treningsdatasett til store språkmodeller — og nå stiller EU konkrete krav til hvordan det kan gjøres lovlig. Illustrasjonsfoto.

EUs personvernråd har for første gang samlet kravene til lovlig innhenting av nettdata for trening av generative AI-modeller i ett felles rammeverk. Åpent tilgjengelig innhold er ikke fritt å bruke, og «berettiget interesse» som behandlingsgrunnlag krever en konkret, dokumentert vurdering for hvert enkelt prosjekt. GDPR gjelder i Norge via EØS, og Datatilsynet følger EDPB-praksis tett.

En norsk teknologibedrift som vil bygge en intern språkmodell og henter treningsdata fra norske nyhetssider, offentlige registre og sosiale medier, opererer ikke i et juridisk tomrom fordi kildene er åpent tilgjengelige. Lovligheten avgjøres av om bedriften kan dokumentere et gyldig behandlingsgrunnlag, begrenset formål og aktiv åpenhet overfor de registrerte.

Det er kjernen i retningslinjene EDPB — personvernrådet som koordinerer EUs nasjonale datatilsyn — vedtok 8. juli. Retningslinjene er åpne for høring til 30. oktober 2026, men beskriver allerede gjeldende GDPR-forpliktelser og vil forme håndhevingen fra dag én.

Tre krav til behandlingsgrunnlag

Det vanligste juridiske grunnlaget AI-selskaper har brukt for scraping er «berettiget interesse» — artikkel 6(1)(f) i GDPR. EDPB presiserer at dette krever en tretrinnstest: et reelt og konkret interesseformål, et nødvendighetsvilkår der alternativet til scraping faktisk er vurdert, og en avveining der virksomhetens interesser ikke overstyrer de registrertes rettigheter.

Avveiningen kan styrkes med konkrete tiltak: å ekskludere særlige kategorier personopplysninger fra innsamlingen, begrense scraping til fritt tilgjengelig informasjon, øke åpenheten rundt aktiviteten, gjøre det enklere for enkeltpersoner å utøve sine rettigheter, og slette, anonymisere eller pseudonymisere data så tidlig som mulig i prosessen.

Det finnes ikke noe generelt fritak: GDPR gjelder for scraping når det innebærer innsamling, lagring, organisering og gjenfinning av personopplysninger — uavhengig av om innholdet er offentlig tilgjengelig. Selskaper som har antatt at «offentlig» betyr «lovlig å bruke fritt», må revidere den antakelsen.

Særlig strengt for sensitive data

For særlige kategorier personopplysninger — helse, politisk overbevisning, religion, fagforeningsmedlemskap — er kravene skjerpet ytterligere. Behandling er i utgangspunktet forbudt og krever både et behandlingsgrunnlag etter artikkel 6 og et konkret unntak etter artikkel 9(2). EDPB understreker at hvert enkelt tilfelle må vurderes separat.

Dette er ikke et hypotetisk problem. En akademisk gjennomgang av Common Crawl — det offentlig tilgjengelige nettarkivet som utgjør treningsdatagrunnlaget for de fleste store språkmodeller — fant at rundt 155 millioner av én milliard undersøkte nettadresser falt i sensitive datakategorier under artikkel 9, ifølge TechTimes. Særkategorier er strukturelt innbakt i råmaterialet bransjen bruker.

EDPBs anbefaling er konkret: scrap bare fra pålitelige kilder, registrer tidsstempel og valider dataene før modelltrening. Vurder om syntetiske data kan erstatte personopplysninger allerede før innsamlingen starter, og bruk syntaksbasert filtrering for å fjerne unødvendig informasjon i etterkant.

Nytt krav til hva «anonymt» faktisk betyr

Parallelt med scraping-reglene vedtok EDPB nye retningslinjer for anonymisering — også åpne for høring til 30. oktober. De tar hensyn til EU-domstolens dom i sak C-413/23 P (EDPS mot SRB) fra september 2025 og oppdaterer standarden fra Artikkel 29-arbeidsgruppens kriterier fra 2014.

Data regnes som anonymt bare dersom det ikke kan knyttes til en identifisert eller identifiserbar fysisk person — og hvorvidt dette er tilfelle, kan variere fra én virksomhet til en annen. En stor plattform med mye kontekstuell informasjon om sine brukere vil ha langt vanskeligere for å oppnå reell anonymisering enn en aktør med begrenset datatilfang.

Rammeverket tester anonymitet etter tre kriterier: om enkeltposter kan isoleres, om data kan kobles til andre kilder, og om det er mulig å utlede informasjon om individer. Selskaper kan velge mellom en kontekstuell tilnærming — som tar hensyn til hvem som realistisk kan re-identifisere individer — eller en forenklet tilnærming som kan gi et strengere vern enn loven krever.

Norske virksomheters eksponering

GDPR er gjort til norsk lov gjennom personopplysningsloven og gjelder via EØS-avtalen med samme forpliktelser som i EU. Datatilsynet er tilsynsmyndighet og kan ilegge gebyr på inntil 20 millioner euro eller fire prosent av global omsetning.

Retningslinjene gjelder for all scraping av personopplysninger der GDPR har jurisdiksjon — også dersom selve operasjonen skjer utenfor EØS, men retter seg mot personer i EØS. En norsk bedrift som kjøper ferdige treningsdatasett fra en tredjepart, er ikke fritatt: ansvaret for behandlingsgrunnlaget følger behandlingsaktiviteten, ikke hvem som utfører den.

AI-loven (EU AI Act) er under EØS-innlemmelse, og Kommunal- og distriktsdepartementet har signalisert at innlemmelse forventes i løpet av 2026. Nkom er utpekt som nasjonal tilsynsmyndighet under AI-loven. GDPR-retningslinjene fra EDPB er gjeldende rett allerede nå og supplerer AI-loven.

Konsultasjonsvindu og neste steg

Retningslinjene for scraping og anonymisering er på offentlig høring og kan påvirkes av norske og europeiske virksomheter før 30. oktober 2026. Innspill sendes direkte til EDPB via edpb.europa.eu og publiseres offentlig.

Retningslinjene for blokkjedeteknologi ble samtidig vedtatt i endelig versjon etter avsluttet høring og gir virksomheter som bruker blokkjede til å håndtere persondata et ferdig rammeverk.

EDPB behandler høringssvarene og vedtar endelig versjon av scraping- og anonymiseringsretningslinjene — etter all sannsynlighet i løpet av første halvår 2027. Frem til da er det gjeldende utkastet det dokumentet håndhevende myndigheter vil lene seg på.

Få dette rett i innboksen

De viktigste AI- og reguleringssakene, oversatt til hva de betyr for din virksomhet. Gratis.

Kun nyhetsbrevet, ingen spam. Meld deg av når som helst.

Kilde: https://www.edpb.europa.eu/news/news_en
Bakgrunnskilder: EDPB — offisiell nyhetsmelding 8. juli 2026 · EDPB Guidelines 03/2026 on web scraping in the context of generative AI (PDF) · EDPB — offentlig høring om web scraping-retningslinjene · Pinsent Masons: EU guidance helps clarify AI web scraping requirements · CMS Expert Guide — AI laws and regulations in Norway · Legiscope — GDPR og personvern i Norge 2026

EDPB stiller tre krav til selskaper som skraper nettet til AI-trening · AIGATO