EU og reguleringPublisert 15. juli 2026
EDPB vedtar trepunktstest for anonymisering og felles regelverk for web scraping til AI-trening
Nye retningslinjer fra EUs personvernråd krever dokumentert risikovurdering per datasett, ikke generelle policyer. Høringsfrist 30. oktober 2026.
EUs personvernråd (EDPB) vedtok 7. juli retningslinjer om anonymisering og web scraping som direkte angår alle som trener generative AI-modeller på data hentet fra nettet. Det holder ikke lenger å fjerne navn og e-postadresser og kalle datasettet anonymt. Høringen er åpen til 30. oktober 2026.
En norsk oppstartsbedrift som skraper norskspråklige nettsider for å trene en språkmodell, er gjerne vant til å resonnere slik: data som ligger åpent på nettet er offentlige, og etter at navn og e-poster er fjernet er de anonyme. Det er den antakelsen EDPB nå demonterer.
EDPB — personvernrådet som koordinerer EUs 27 nasjonale datatilsyn pluss Island, Liechtenstein og Norge via EØS — vedtok Guidelines 02/2026 om anonymisering og Guidelines 03/2026 om web scraping i kontekst av generativ AI. De to dokumentene henger uløselig sammen: web scraping-retningslinjene slår fast at GDPR gjelder fullt ut der skrapingen innebærer innsamling, lagring, organisering eller gjenfinning av personopplysninger, mens anonymiseringsretningslinjene presiserer hva som faktisk kreves for å falle utenfor GDPR-plikten.
Tre kriterier, ikke ett
Siden 2014 har bransjen navigert etter en uttalelse fra Artikkel 29-gruppen, forgjengeren til EDPB. Den uttalelsen ble skrevet før store språkmodeller fantes og før AI-drevne re-identifiseringsangrep var demonstrert i skala. EDPB erstatter den nå med et oppdatert rammeverk.
Testen har tre kumulative kriterier: ingen isolasjon av enkeltoppføringer, ingen kobling til andre datasett om samme person, og ingen mulig inferens — det vil si at modellen ikke skal kunne trekke meningsfulle slutninger om enkeltpersoner fra dataene. Alle tre må være oppfylt for at data kan behandles som anonyme. Svikter ett av dem, kreves ytterligere analyse før konklusjonen kan trekkes.
For generativ AI er inferenskriteriet særlig krevende. EDPB pekte allerede i sin opinion fra desember 2024 på at AI-modeller trent på personopplysninger kan reprodusere deler av disse verbatim når de gis lignende kontekst. Det betyr at modellen i seg selv kan være bevis på at anonymiseringen har feilet.
Legitimt formål må dokumenteres per datasett
Web scraping-retningslinjene konstaterer at det ikke finnes noen generell frihet til å hente offentlig tilgjengelig innhold for AI-trening. Berettiget interesse etter GDPR artikkel 6(1)(f) er det rettslige grunnlaget de fleste AI-selskaper bruker, men EDPB krever en konkret tredelt test: et genuint formål, en nødvendighetskobling mellom formålet og databehandlingen, og en balansetest der selskapets interesse ikke overstyrer de registrertes grunnleggende rettigheter. Testen må gjennomføres per utrulling, ikke én gang som en generell policy.
Formålsbegrensnings- og transparensprinsippet i GDPR gjelder fullt ut, noe som som hovedregel innebærer at selskaper som skraper data skal informere de registrerte. EDPB åpner for unntak der individuell varsling er umulig eller krever uforholdsmessig innsats, og anbefaler i slike tilfeller at informasjonen gjøres tilgjengelig på selskapets nettsted på en lett tilgjengelig og klart formulert måte.
Særlig sensitive opplysningskategorier — helse, religion, politisk ståsted — utløser et dobbelt krav: både et rettslig grunnlag etter artikkel 6 og et unntak etter artikkel 9(2). Hver sak skal vurderes individuelt.
Direkte norsk relevans via EØS
GDPR gjelder i Norge gjennom EØS-avtalen og personopplysningsloven, og norske virksomheter forholder seg til nøyaktig samme forordningstekst som tyske og franske selskaper. Datatilsynet er tilsynsmyndighet og kan ilegge overtredelsesgebyr på inntil 20 millioner euro eller fire prosent av global omsetning. For grensekryssende saker deltar Datatilsynet i EDPB-samarbeidet på lik linje med EU-statene.
Retningslinjene gjelder uavhengig av hvor et selskap er lokalisert, så lenge GDPR-jurisdiksjon foreligger — det vil si der EØS-borgeres data behandles. En norsk startup som trener en modell på europeiske nettsider, men drifter infrastrukturen i USA, er ikke unntatt.
Retningslinjene er foreløpig i versjon 1.0 og ikke endelig vedtatt. EDPB inviterer til høringssvar frem til 30. oktober 2026 via eget skjema på edpb.europa.eu.
Hva skjer videre
Etter høringen sammenstiller EDPB innspillene og vedtar endelig versjon. Malen er kjent fra blockchain-retningslinjene, som gikk gjennom offentlig høring før endelig versjon ble vedtatt 7. juli 2026. Et tilsvarende løp ventes nå for anonymiserings- og web scraping-retningslinjene.
Nasjonale tilsynsmyndigheter kan allerede nå bruke retningslinjene som fortolkningsramme i tilsynssaker. Italienske, irske, nederlandske og franske tilsyn har alle ført saker mot AI-selskaper for skraping uten rettslig grunnlag, men uten et felles europeisk dokument å støtte seg på. Guidelines 03/2026 gir samtlige nasjonale myndigheter et felles regelsett å håndheve fra, noe som øker forutsigbarheten for seriøse aktører og innsnevrer handlingsrommet for dem som har spekulert i jurisdiksjonsforskjeller.
De viktigste AI- og reguleringssakene, oversatt til hva de betyr for din virksomhet. Gratis.
Kilde: https://www.edpb.europa.eu/news/news_en
Bakgrunnskilder: EDPB: Guidelines 03/2026 on web scraping in the context of generative AI (PDF) · EDPB: Guidelines 02/2026 on Anonymisation (PDF) · EDPB: Offentlig høring — Guidelines 03/2026 (frist 30. oktober 2026) · Privacy Rules: EDPB Anonymisation Guidelines 2026 — What They Change and How to Comply · legiscope.com: GDPR og personvern i Norge 2026