EU og reguleringPublisert 15. juli 2026
EDPB vedtar første felles regler for web scraping til AI-trening — høringsfrist 30. oktober
EUs personvernråd krever dokumentert rettslig grunnlag, dataminimering og åpenhet i hele livssyklusen. Norge er bundet av de samme pliktene gjennom EØS.
EU-organet EDPB — personvernrådet som samordner Europas datatilsyn — vedtok 7. juli 2026 de første felles retningslinjene for web scraping til trening av generativ kunstig intelligens. Retningslinjene avvikler en utbredt bransjeantagelse: at data tilgjengelig på åpent nett er fritt å bruke. Høringsfristen er 30. oktober.
Da OpenAI og andre store AI-selskaper bygde sine språkmodeller, hentet de tekst fra store deler av det åpne internett uten samtykke. Argumentet var at dataene allerede lå offentlig tilgjengelig. EDPB avviser nå dette resonnementet formelt og systematisk.
Rådet vedtok 7. juli to retningslinjesett — ett om web scraping i kontekst av generativ AI (Guidelines 03/2026), ett om anonymisering (Guidelines 02/2026) — og slår fast at GDPR gjelder fullt ut når innsamling, lagring, organisering og gjenfinning av personopplysninger inngår i prosessen. Offentlig tilgjengelighet gir ikke fritak.
Nytt rammeverk, samme lov
EDPB innfører ingen ny lov. Rådet presiserer hvordan GDPR — som norske virksomheter allerede er bundet av gjennom EØS-avtalen og personopplysningsloven — gjelder for web scraping til AI-trening.
Tidligere tolket hvert nasjonalt datatilsyn regelverket på egen hånd: Italia bøtela OpenAI, Irland åpnet saker mot flere plattformer, Nederland konkluderte med at de fleste generative AI-modeller ikke oppfyller kravene. Med Guidelines 03/2026 får alle nasjonale myndigheter — inkludert det norske Datatilsynet — en felles tolkningsstandard å håndheve etter.
«Berettiget interesse» krever tre-trinns analyse
Det rettslige grunnlaget de fleste private AI-aktører støtter seg til, er «berettiget interesse» etter GDPR artikkel 6(1)(f). EDPB aksepterer at dette kan brukes, men krever en skriftlig tre-trinns analyse per brukstilfelle: det må foreligge en reell interesse, behandlingen må være nødvendig for å realisere den, og en avveiningstest må vise at virksomhetens interesser ikke overstyrer de registrertes rettigheter.
Det finnes ingen generell fullmakt for AI-trening. Tiltak som styrker vurderingen inkluderer å ekskludere sensitive datakategorier under innsamling, begrense scraping til fritt tilgjengelig innhold og anonymisere eller pseudonymisere data så tidlig som mulig i prosessen.
Sensitive data krever dobbelt grunnlag
Web scraping fra åpent nett vil uunngåelig treffe opplysninger om helse, politisk overbevisning eller religiøs tilhørighet — det GDPR kaller «særlige kategorier». Her kreves både et rettslig grunnlag etter artikkel 6 og et unntak etter artikkel 9(2). EDPB slår fast at det ikke finnes noe generelt fritak, og at hvert tilfelle må vurderes individuelt.
Retningslinjene anbefaler at virksomheter definerer presise innsamlingskriterier før prosessen starter, bruker filtre for å unngå sensitive kategorier, og utelukker nettsider rettet mot mindreårige eller som er teknisk stengt for scraping via robots.txt og CAPTCHA. Slike signaler kan ikke lenger ignoreres med henvisning til at innholdet teknisk sett er tilgjengelig.
Anonymisering: strengere test enn i 2014
Guidelines 02/2026 er det første oppdaterte rammeverket for anonymisering på over ti år. Den praktiske betydningen er stor: genuint anonyme data faller utenfor GDPR og er dermed et attraktivt mål for virksomheter som ønsker å omgå personvernpliktene.
EDPB innfører en tre-kriterietest: ingen post-isolasjon (en enkelt person kan ikke utskilles fra datasettet), ingen kobling (dataene kan ikke knyttes til andre datasett om samme person) og ingen inferens (ingen meningsfull slutning om individet kan trekkes). Alle tre må være oppfylt. Retningslinjene tar høyde for at moderne AI-modellers evne til mønstertrekking gjør re-identifisering langt mer realistisk enn da de forrige reglene ble skrevet.
Språkmodeller kan «memorere» og reprodusere fragmenter fra treningsdataene ved lignende spørsmål — et fenomen kjent som regurgitasjon. EDPB adresserte dette i sin opinion fra desember 2024, og de nye retningslinjene bygger videre på det: AI-modellen selv må oppfylle anonymiseringstesten, ikke bare rådata den ble trent på.
Transparens gjennom hele løpet
Virksomheter som driver web scraping skal publisere personverninformasjon om aktiviteten på egne nettsider. Direkte varsling av alle berørte personer er i praksis umulig ved storskala scraping; EDPB aksepterer dette, men krever kompenserende tiltak og at enkeltpersoner reelt kan utøve sine rettigheter, herunder retten til sletting.
Retningslinjene gjelder i hele EØS-området og omfatter scraping utført av aktører uavhengig av fysisk lokalisering, så lenge GDPR-jurisdiksjonen er utløst. For norske virksomheter gjelder de samme pliktene enten AI-utviklingen drives internt eller kjøpes fra internasjonale leverandører som behandler norske brukeres data.
To frister og to spor fremover
Begge retningslinjesettene er på offentlig høring frem til 30. oktober 2026. Juridiske eksperter påpeker at dette er et reelt vindu for å påvirke den endelige teksten — særlig knyttet til proporsjonaliteten i transparenskravene og terskelen for «berettiget interesse»-vurderingen.
EU AI Act, som gir tilsynsmyndighetene fulle håndhevingsverktøy fra august 2026, legger et parallelt lag oppå GDPR: leverandører av generelle AI-modeller (GPAI) må publisere en oversikt over treningsdataenes innhold og ha en policy for å respektere maskinlesbare opt-out-signaler. De to regelverkene gjelder side om side og må begge overholdes.
De viktigste AI- og reguleringssakene, oversatt til hva de betyr for din virksomhet. Gratis.
Kilde: https://www.edpb.europa.eu/news/news_en
Bakgrunnskilder: EDPB — Guidelines 03/2026 on web scraping in the context of generative AI (offentlig høring) · EDPB — Offisiell pressmelding 8. juli 2026 · EDPB — Guidelines 03/2026, fulltekst (PDF) · EDPB — Guidelines 02/2026 on Anonymisation, fulltekst (PDF) · Legiscope — GDPR og personvern i Norge 2026 · Pinsent Masons — EU guidance helps clarify AI web scraping requirements · IAPP — Thought for the week: Web scraping for generative AI is subject to the GDPR