EU Data Act: Hva betyr den for virksomheten din?

Kort oppsummering:

Den 12. september 2025 begynte EUs nye Data Act (dataforordningen) å gjelde fullt ut. Forordningen markerer et viktig steg i EUs arbeid for å skape en mer transparent og konkurransedyktig dataøkonomi, med særlig fokus på industridata og tilkoblede produkter.

Men hva innebærer den egentlig i praksis – og hva må virksomheter, offentlige organer og organisasjoner gjøre for å følge reglene?

I denne artikkelen går vi gjennom hovedprinsippene, hvem som omfattes, hvordan Data Act forholder seg til GDPR – og hvorfor loven vil påvirke nesten alle virksomheter som håndterer tilkoblede produkter eller datatjenester.

Hva er Data Act og hvorfor er den innført?

Data Act er en ny EU-forordning som skal øke tilgjengeligheten og bruken av data i hele unionen. Fokus ligger særlig på data som genereres av tilkoblede produkter og tilhørende tjenester, som for eksempel smartklokker, biler, landbruksmaskiner, husholdningsapparater og industrimaskiner.

Forordningen trådte i kraft 11. januar 2024, men begynte å gjelde fra 12. september 2025. Fra denne datoen gjelder hoveddelen av reglene og forpliktelsene fullt ut – både for virksomheter og privatpersoner (noen bestemmelser, som de om urimelige avtalevilkår, kan ha senere ikrafttredelse).

Målet er tydelig: å skape rettferdige vilkår i den europeiske dataøkonomien. I dag har produsenter ofte enerett til dataen som produktene genererer, noe som kan hemme innovasjon og konkurranse.

Med Data Act ønsker EU å åpne opp disse dataflytene slik at brukere – og i visse tilfeller tredjeparter – får større mulighet til å bruke, dele og skape verdi av data på en ansvarlig måte.

Er dere forberedt på hva Data Act faktisk krever av dere i praksis? Mange undervurderer hvor stor påvirkning dette regelverket vil ha. Kontakt oss dersom dere ønsker en gjennomgang på dette. 

Hva er de fire hovedprinsippene i Data Act?

1. Rett til tilgang til data
   Brukere, både privatpersoner og virksomheter, får rett til å be om tilgang til all data som produktene deres genererer. Det gjelder alt fra kjøredata i biler og bruksmønstre i smarte apparater til ytelsesdata fra industrimaskiner. Produsenten skal sørge for at slik data gjøres tilgjengelig på en strukturert, maskinlesbar og lett tilgjengelig måte.

2. Rett til å dele data med tredjeparter
   En bruker kan be den som eier dataen (som oftest produsenten) om å dele den med en tredjepart. Det kan være en uavhengig reparatør, et nytt tjenestefirma, en forskningsinstitusjon eller en annen aktør som trenger tilgang til data for å tilby eller utvikle tjenester. Slik får brukeren kontroll over hvem som kan bruke dataen – ikke bare produsenten selv.

3. Økt konkurranse
   Forordningen skal fremme innovasjon ved å redusere produsenters mulighet til å «låse inn» data. Når flere aktører får tilgang til samme informasjon, skapes det rom for nye løsninger, mer effektive prosesser og lavere kostnader. Et eksempel er at et uavhengig verksted lettere kan konkurrere med autoriserte servicepartnere dersom de har tilgang til samme kjøretøysdata.

4. Beskyttelse mot urimelige avtalevilkår
   Mindre virksomheter beskyttes mot urimelige avtalevilkår som større aktører tidligere kunne påtvinge dem i datadelingavtaler.

Gjennom disse reglene ønsker EU å skape bedre balanse i maktforholdet mellom store teknologiselskaper og små og mellomstore virksomheter som ofte er avhengige av dem. 

Lovgiverens mål:  en mer rettferdig og konkurransedyktig dataøkonomi

EU-lovgiverne beskriver Data Act som et steg mot en åpen, rettferdig og bærekraftig dataøkonomi. Målet er å frigjøre den enorme mengden data som hittil har vært ubrukt eller låst inne hos enkeltaktører – og gi både brukere og virksomheter mulighet til å skape samfunnsnytte og innovasjon.

De sentrale målene er å:

1. Gi brukere kontroll over sin data: Data Act skal gi mennesker og virksomheter reell makt over hvordan dataen deres brukes. Ingen skal være bundet til én produsent eller plattform – brukeren skal kunne flytte, dele eller bruke dataen der den gir mest verdi.
2. Fremme innovasjon og konkurranse: Tilgang til data legger grunnlaget for nye tjenester og produkter. Det kan handle om alt fra energieffektivisering til smarte landbruksløsninger og digitale reparasjonstjenester.
3. Styrke små og mellomstore virksomheter: Mindre aktører får støtte i forhandlinger og beskyttelse mot ubalanserte vilkår. Det gir en mer dynamisk og rettferdig markedsplass.
4. Øke tilgangen til data for samfunnsnyttige formål: Ved nødsituasjoner som naturkatastrofer eller cyberangrep skal offentlige myndigheter kunne be om tilgang til data fra private aktører. Det muliggjør raske og effektive tiltak – men under klart regulerte og proporsjonale vilkår.

Hvem omfattes av Data Act?

Data Act har et svært bredt virkeområde. Den gjelder ikke bare virksomheter og offentlige organer i EU, men også aktører utenfor EU som tilbyr tilkoblede produkter eller tjenester på det europeiske markedet. Det betyr at loven også påvirker internasjonale produsenter, plattformer og skytjenesteleverandører som behandler data fra EU-brukere.

De viktigste gruppene som omfattes er:

1. Produsenter av tilkoblede produkter og leverandører av tilhørende tjenester: Dette er den største gruppen. Den omfatter alle som produserer produkter som samler inn data – for eksempel smarte husholdningsapparater, kjøretøy, medisinsk utstyr, industrimaskiner – samt de som tilbyr tjenester knyttet til disse produktene.
2. Brukere av tilkoblede produkter og tjenester: Privatpersoner og virksomheter får nye rettigheter til å be om tilgang til sine egne data og til å dele dem med tredjepart om de ønsker det. Dette gir større selvbestemmelse over hvordan data brukes i hverdagen og i virksomheten.
3. Dataeiere og datamottakere: Dataeieren er den som «sitter på dataen» – ofte produsenten eller tjenesteleverandøren. Datamottakeren er den som ønsker å få tilgang – for eksempel et verksted, en forskningsinstitusjon, et forsikringsselskap eller et annet firma som tilbyr tilleggstjenester. Data Act regulerer forholdet mellom disse partene og fastsetter hvilke vilkår som kan inngå i deres avtaler.
4. Leverandører av databehandlingstjenester (skyleverandører): En sentral del av forordningen handler om å redusere låseeffekter mellom ulike skytjenester. Kunder skal kunne flytte data og beregningstjenester mellom plattformer uten urimelige gebyrer, hindringer eller risiko.
5. Offentlige myndigheter: Myndigheter kan, under strenge vilkår, be om tilgang til data fra private aktører for å kunne handle ved samfunnskritiske hendelser – som ved et større cyberangrep eller en naturkatastrofe.

Eksempler på tilkoblede produkter som omfattes

For å konkretisere omfanget inkluderer Data Act blant annet:

• Smarte husholdningsapparater: kjøleskap som sporer matvarer, vaskemaskiner som optimaliserer energiforbruket, robotstøvsugere som kartlegger hjemmet.
• Bilindustrien: moderne biler som samler inn data om drivstofforbruk, kjøremønster og motorstatus.
• Landbruksmaskiner: tilkoblede traktorer og droner som samler inn data for presisjonsjordbruk.
• Helsesteknologi: smartklokker, treningsarmbånd og medisinsk utstyr som måler helsedata i sanntid.
• Industrimaskiner: fabrikkutstyr som overvåker ytelse, forutser vedlikeholdsbehov og optimaliserer produksjonen.

Skyleverandører og databehandling – en sentral del av Data Act

En særlig viktig del av Data Act handler om databehandlingstjenester og skyleverandører. Forordningen skal gjøre det enklere å flytte data mellom ulike plattformer – noe som lenge har vært en utfordring for virksomheter som er avhengige av én leverandør.

Det betyr at en kunde ikke lenger skal være «låst» til én leverandør, men enkelt kunne flytte data til en annen. Leverandører må derfor tilpasse både avtaler og tekniske systemer slik at overgangen mellom ulike skytjenester kan skje smidig, sikkert og uten unødige kostnader.

Data Act stiller også krav til åpenhet: brukere skal vite hvor data lagres, hvordan den beskyttes, og hvilke vilkår som gjelder ved flytting eller deling.

For virksomheter betyr dette at klare rutiner og dokumentasjon for databehandling blir en sentral del av etterlevelsesarbeidet.

Data Act og GDPR – to regelverk som utfyller hverandre

Data Act og GDPR er to separate, men nært sammenknyttede EU-forordninger som sammen legger grunnlaget for et ansvarlig dataflyt i Europa. De har ulikt fokus, men må forstås i sammenheng.

Formål og fokus:
GDPR beskytter personopplysninger og individers personvern. Loven styrer hvordan personopplysninger kan samles inn, behandles og lagres – med mål om å gi mennesker kontroll over egne data.

Data Act omfatter alle typer data, både personlige og ikke-personlige. Hovedmålet er å legge til rette for datadeling og fremme innovasjon og konkurranse.

Overlapp og prioritet:
Data Act gjelder uten å innskrenke GDPR. Dersom det oppstår konflikt mellom regelverkene, har GDPR alltid forrang. Det betyr at selv om Data Act gir rett til å dele data, må behandlingen fortsatt følge GDPRs krav – blant annet om rettslig grunnlag, åpenhet og dataminimering.

Forskjeller i rettigheter:
Mens GDPR gir rett til dataportabilitet – altså å flytte sine personopplysninger mellom tjenester – går Data Act lenger og gir rett til tilgang til all data som en tilkoblet enhet genererer, også den ikke-personlige.

Det inkluderer for eksempel tekniske ytelsesdata, driftslogger eller aggregert maskindata som ikke kan knyttes til en enkeltperson.

Til sammen skaper disse to regelverkene en balanse mellom personvern og innovasjon, der GDPR setter grensene for hva som kan deles, mens Data Act åpner døren for hvordan deling kan skje på en rettferdig og transparent måte.

Oppsummering: Data Act endrer spillereglene for datahåndtering

Med Data Act tar EU et avgjørende steg mot en mer åpen og konkurransedyktig dataøkonomi. For virksomheter betyr det nye muligheter til å bruke data mer effektivt – men også et større ansvar for å forstå hvordan regelverkene henger sammen, og hvilke krav som gjelder for dokumentasjon, tilgang og deling.

Å forstå hvordan Data Act og GDPR samspiller blir avgjørende fremover, spesielt for virksomheter som håndterer både personlige og ikke-personlige data.

FAQ: EU Data Act og datadeling

1. Hva er EU Data Act?
EU Data Act er en forordning som skal gjøre det enklere å få tilgang til og dele data, særlig fra tilkoblede produkter og tjenester.

2. Når trådte Data Act i kraft?
Forordningen trådte i kraft 11. januar 2024, men begynte å gjelde fullt ut fra 12. september 2025.

3. Hvem gjelder Data Act for?
Den gjelder for virksomheter, offentlige organer og organisasjoner som produserer, bruker eller håndterer data fra tilkoblede produkter eller datatjenester – også utenfor EU hvis de opererer i EU-markedet.

4. Hva slags data omfattes?
Både personopplysninger og ikke-personlige data omfattes, spesielt data generert av tilkoblede produkter som biler, maskiner og smarte enheter.

5. Må Data Act følges sammen med GDPR?
Ja. GDPR gjelder fortsatt fullt ut. Hvis det oppstår konflikt mellom regelverkene, har GDPR forrang.

6. Hva er den største endringen for virksomheter?
At brukere får rett til å få tilgang til og dele data, noe som stiller nye krav til systemer, avtaler og datastyring.

7. Gjelder Data Act for skytjenester?
Ja. Den stiller krav til at virksomheter skal kunne flytte data mellom ulike skyleverandører uten unødige hindringer.

8. Hva er den vanligste utfordringen med Data Act?
Manglende oversikt over hvilke data som finnes, hvem som eier dem, og hvordan de kan deles i tråd med regelverket.

9. Hva bør virksomheter gjøre nå?
Kartlegge hvilke data de har, hvordan de brukes, og sikre at systemer, avtaler og rutiner er tilpasset kravene i Data Act og GDPR.

Slik får du kontroll over personvernet

Med god hjelp og systemstøtte blir det enkelt å etterleve både GDPR og nye regelverk som Data Act. Dere får en strukturert, sporbar og trygg metodikk for hele personvernsarbeidet – fra dokumentasjon til oppfølging.

Book en gjennomgang i dag, så kan vi sammen se på hvordan du kan sikre etterlevelse, redusere risiko og få full kontroll over virksomhetens måte å håndtere data.