AIGATO.

Kunstig intelligens · Regulering · Hva det betyr for Norge

EU og reguleringPublisert 15. juli 2026

EDPB vedtok 7. juli: offentlig tilgjengelige data er ikke fritt å bruke for AI-trening

Retningslinjer om anonymisering og web scraping presiserer at GDPR gjelder uavhengig av om innholdet er åpent tilgjengelig på nettet. Høringsfrist 30. oktober 2026.

TIMUR AKTAS · Ansvarlig redaktør · 15. juli 2026
AI-generert · redaksjonelt kontrollert

Nærbilde av serverrack med blå LED-lys, symboliserer datainfrastruktur og AI-trening
EUs personvernråd EDPB har vedtatt retningslinjer som setter skarpere grenser for hvilke data AI-selskaper kan hente fra nettet uten å bryte GDPR. Foto: Illustrasjon

EUs personvernråd EDPB vedtok 7. juli to sett med retningslinjer som direkte treffer selskaper som bygger generativ AI: ett om anonymisering og ett om web scraping. Til sammen lukker de det juridiske rommet der AI-aktører har argumentert for at data hentet fra åpent nett er GDPR-fritt. For virksomheter som trener modeller, kjøper treningsdata eller leverer AI-tjenester i EØS, er dette operativt relevant fra dag én.

EDPB vedtok 7. juli retningslinjene 03/2026 om web scraping i kontekst av generativ AI, samt separate retningslinjer om anonymisering. Begge er åpne for innspill frem til 30. oktober 2026. Selv om de fortsatt er på høringsstadiet, representerer de EDBPs autoritative tolkning av GDPR – og den tolkingen gjelder i EØS fra dag én, inkludert i Norge.

Kjernen er en avklaring bransjen lenge har ventet på: GDPR gjelder web scraping når det innebærer behandling av personopplysninger – innsamling, lagring, organisering og gjenfinning – uavhengig av om innholdet er offentlig synlig. Det rammer den vanligste antakelsen i AI-bransjen: at data lagt ut på nettet er fritt tilgjengelig for bruk i treningsdatasett.

Offentlig data er ikke fri data

Selskaper som bruker «berettiget interesse» som behandlingsgrunnlag – den mest utbredte tilnærmingen i bransjen – må gjennomføre en trestegs-test for hvert enkelt tilfelle: dokumentere et reelt interessegrunnlag, vise at behandlingen er nødvendig, og utføre en balanseøvelse der selskapets interesser veies mot de registrertes rettigheter. Det finnes ingen generell unntagelse for AI-treningsdata, understreker EDPB.

Retningslinjene gir også plattformoperatører – nettaviser, sosiale nettverk, fagdatabaser – tydeligere kort å spille. Bruker en plattform tekniske virkemidler som robots.txt, ai.txt, innloggingskrav eller CAPTCHA, og gjør det klart at AI-trening ikke er tillatt, kan tredjeparter ikke vise til at innholdet var offentlig tilgjengelig som begrunnelse for scraping, ifølge Pinsent Masons' gjennomgang av retningslinjene.

Særlige kategorier krever dobbelt grunnlag

Behandling av særlige kategorier av personopplysninger – helseopplysninger, politiske meninger, religiøs overbevisning og lignende – er som utgangspunkt forbudt etter GDPR, og krever både behandlingsgrunnlag etter artikkel 6 og et særskilt unntak etter artikkel 9 (2). EDPB anerkjenner at slike data kan forekomme som et utilsiktet biprodukt av scraping, men presiserer at det ikke finnes noen generell unntagelse – hver sak må vurderes individuelt.

En akademisk revisjon av det åpne web-arkivet Common Crawl – som brukes som ryggrad i de fleste store språkmodeller – fant at rundt 155 millioner av én milliard undersøkte URL-er falt inn under GDPR artikkel 9-kategorier, ifølge en analyse gjengitt av TechTimes. Sensitiv data er med andre ord ikke et kanttilfelle i treningskorpus, men strukturelt innebygd i råmaterialet.

Transparenskravet er det tredje sentrale punktet. Selskaper som scraper data, har normalt plikt til å informere de registrerte. EDPB anerkjenner at direkte varsling kan være umulig eller uforholdsmessig krevende ved storskala innsamling, men presiserer at unntagelsen ikke kan brukes rutinemessig. Der unntagelsen faktisk gjelder, må selskapet publisere en personvernerklæring som spesifiserer hvilke kategorier personopplysninger som er samlet inn, behandlingsgrunnlaget og – der det er mulig – konkrete datakilder.

Anonymiseringstesten får tre kumulative kriterier

Anonymisering har fungert som den juridiske nødutgangen i AI-sammenheng: er data genuint anonymisert, faller den utenfor GDPR. De nye anonymiseringsretningslinjene strammet inn hva som kvalifiserer, og bygger på EU-domstolens dom i saken EDPS mot SRB (C-413/23 P) av 4. september 2025.

Vurderingen bygger på tre kumulative kriterier: ingen isolering av enkeltpersoner, ingen kobling av data mot andre kilder, og ingen pålitelig slutning om identifiserbare individer. Det siste kriteriet er det mest krevende for generativ AI. Språkmodeller trent på store tekstkorpus kan reprodusere fragmenter av personopplysninger verbatim når de gis tilsvarende kontekst – en mekanisme kjent som «memorisering». EDPB adresserte dette i sin opinion om AI-modeller fra desember 2024 og fant at svært få AI-systemer i praksis oppfyller anonymiseringsstandarden.

Retningslinjene tilbyr to metodiske tilnærminger: en kontekstuell, som tar hensyn til hvilke ressurser potensielle angripere reelt har for å re-identifisere individer, og en forenklet, som ser bort fra disse forskjellene. Den forenklede tilnærmingen gir høyest sikkerhet, men kan medføre at faktisk anonymisert data behandles som personopplysninger.

Norske virksomheter rammes direkte

Norge er ikke EU-medlem, men GDPR er gjort til norsk lov gjennom EØS-avtalen og personopplysningsloven av 2018. Datatilsynet kan ilegge gebyrer på inntil 20 millioner euro eller fire prosent av global omsetning, på linje med søsterorganene i EU. For grensekryssende saker samarbeider Datatilsynet med de øvrige europeiske tilsynsmyndighetene gjennom EDPB.

Retningslinjene gjelder uavhengig av hvor AI-utvikleren befinner seg fysisk – det avgjørende er om GDPR-jurisdiksjonen utløses, typisk gjennom at tjenesten tilbys brukere i EØS. En norsk bedrift som kjøper treningsdata fra en amerikansk dataleverandør, må derfor forsikre seg om at innsamlingen er gjort i tråd med de nye retningslinjene.

Høringsfristen 30. oktober 2026 gir norske virksomheter og bransjeorganisasjoner mulighet til å kommentere retningslinjene før de eventuelt ferdigstilles. Konkrete tekniske og kommersielle innspill har historisk hatt større gjennomslag i EDPB-prosesser enn prinsipielle synspunkter. Datatilsynet deltar i EDPB som fullverdig EØS-representant og kan bringe norske hensyn inn i den endelige teksten.

Få dette rett i innboksen

De viktigste AI- og reguleringssakene, oversatt til hva de betyr for din virksomhet. Gratis.

Kun nyhetsbrevet, ingen spam. Meld deg av når som helst.

Kilde: https://www.edpb.europa.eu/news/news_en
Bakgrunnskilder: EDPB – Retningslinjer om anonymisering og web scraping for generativ AI (offisiell kunngjøring, 8. juli 2026) · EDPB Guidelines 03/2026 on web scraping in the context of generative AI v1.0 (PDF) · Pinsent Masons: EU guidance helps clarify AI web scraping requirements · ppc.land: EDPB blocks AI firms from using consent as an excuse to scrape · Legiscope: GDPR og personvern i Norge 2026 · Datatilsynet: Om personopplysningsloven og GDPR

EDPB vedtok 7. juli: offentlig tilgjengelige data er ikke fritt å bruke for AI-trening · AIGATO