EU Data Act: Industridata blir nå tilgjengelige på nye vilkår, og digital uavhengighet forenkles

Fra 12. september 2025 gjelder Data Act (dataforordingen) i EU.

EUs datastrategi fra 2020 så potensialet i de enorme mengdene data som produseres i industri, transport og smarte hjem. Europakommisjonen mener at bedre bruk av disse dataene kan gi økonomisk vekst og innovasjon. Formålet til dataforordningen (Data Act) – forordning (EU) 2023/2854 – er å styrke EUs dataøkonomi og fremme et konkurransedyktig og mer rettferdig datamarked.

Industridata – IoT-data

Forordningen omhandler industridata, eller IoT-data. Industridata er informasjon som genereres av smarte produkter og sensorer – alt fra smartklokker og netttilkoblede biler til roboter og maskiner i produksjonsanlegg. Slike enheter samler inn både personlige data (for eksempel energiforbruk, posisjon eller bevegelsesmønstre) og ikke-personlige data (for eksempel hastighet, temperatur eller vibrasjoner).

Bare en liten andel av verdiene i disse dataene utnyttes; Kommisjonen anslår at mer gjenbruk av industridata kan gi medlemslandene økt BNP på 270 milliarder euro frem mot 2028. Data Act skal klargjøre vilkårene for tilgang til og bruk av industridata.

Sentrale rettigheter og plikter

• Tilgangsrett for brukere: En av de mest grunnleggende endringene er at brukerne (både forbrukere og virksomheter) får rett til tilgang til data de selv genererer ved bruk av tilkoblede produkter og relaterte tjenester. Datainnehavere – typisk produsenter eller tjenesteleverandører – må gjøre data tilgjengelig i et strukturert og maskinlesbart format, uten unødig opphold, og gratis for brukern. Dersom brukeren ber om at data overføres til en tredjepart, kan datainnehaveren kreve rimelig kompensasjon fra tredjeparter.
• Rimelige B2B-vilkår: Deling av data må skje på rettferdige, rimelige og ikke‑diskriminerende vilkår (Fair Reasonable And Non- Discriminatory - FRAND). Ubalanserte eller urimelige avtalebestemmelser kan bli satt til side som ugyldige.
• Offentlig tilgang i unntakstilfeller: Offentlige organer har rett til å be om data fra private aktører når det foreligger et eksepsjonelt behov, for eksempel ved kriser som pandemi, cyberangrep og naturkatastrofer. Datainnehaveren må da gjøre data tilgjengelig uten unødig opphold og uten godtgjørelse. Slike forespørsler må være begrenset til nødvendige data og angi formål og tidsrom. Ved mer ordinære oppgaver i offentlig interesse kan myndighetene også be om data, men da har alle selskapene krav på en rimelig kompensasjon.
• Rett til å bytte skytjeneste: Data Act innfører omfattende regler som skal redusere innlåsningsmekanismer og forenkler bytte mellom skytjenester. Tilbydere av databehandlingstjenester må legge til rette for at kundene enkelt og raskt kan bytte til en annen tilbyder eller benytte flere tilbydere samtidig. Databehandlingstjenester må fjerne tekniske og kontraktsmessige hindringer. Det er også kostbaserte begrensninger i mulighetene for skyleverandør å ta egress-gebyrer (dataeksportavgift). Fra 12. januar 2027 skal bytte være gratis.
• Sikkerhet, personvern og beskyttelse av forretningshemmeligheter: Selv om Data Act hovedsakelig gjelder ikke‑personlige data, skal loven anvendes i parallell med personvernreglene (GDPR), og personopplysninger kan bare deles når det finnes et lovlig grunnlag. Tilbydere kan beskytte forretningshemmeligheter gjennom konfidensialitetsavtaler og tekniske tiltak, men kan bare avslå delingskrav i helt ekstraordinære tilfeller.

Hva er den største nyvinningen i dette regelsettet?

Kombinasjonen av lovfestet rett til IoT-data for brukeren og krav til redusert innlåsning hos skyleverandørene (gratis bytte/egress innen 2027) er et tydelig brudd med tidligere praksis.

Tidligere har tilgangen til datastrømmer vært basert på rene kommersielle avtaler, da data vanligvis ikke har opphavsrett (selv om strukturert data kan ha databasevern). Forordningen flytter dermed verdien av industridata nærmere brukeren og åpner markedet for nye ettermarkedstjenester – fra vedlikehold og forsikring til helt nye dataprodukter. De som i dag har kontroll over slike datastrømmer må nå sikre seg anledning til fortsatt bruk av brukerdata via lisensavtaler, og disse må oppfylle ganske strenge formkrav. Ikke minst for trening av maskinlæringssystemer (KI) vil dataforordningen skape muligheter for andre enn produsentene av de tilkoblede produktene.

Hva er status for Norge (EØS)?

Forordningen er EØS-relevant og til vurdering i EFTA. Gjennomføring i norsk rett krever lovendringer og Stortingets samtykke. Dette kommer nok til å ta noe tid, da endringsprosessene er ennå ikke startet. Norske virksomheter som opererer i EU-markedet, må likevel forholde seg til reglene der de gjelder. Siden det dreier seg om en forordning, skal regelverket gjennomføres ordrett slik det står.

Som med AI Act er det lagt opp til en gradvis innfasing av reglene: Krav knyttet til nye, tilkoblede produkter som settes på markedet gjelder fra 12. september 2026, og deler av kontraktsreglene får også virkning for eldre langtidsavtaler fra 12. september 2027.

Fem tips til hva norske selskaper bør gjøre nå:

1. Kartlegg hvilke produkter/tjenester/enheter som genererer brukerdata, og hvordan data gjøres tilgjengelig. Vurder om dine tjenester kan nyttiggjøre seg dataene og hvem som er brukere som nå kan kreve tilgang til dataene.
2. Revider kontrakter for urimelige dataklausuler. Sørg for å dekke egne behov for lisens til brukerdata hvis du er produktleverandør og planlegg tvisteløsningsmekanismer. Tilpass avtaler særlig med EU-baserte selskaper.
3. Gå gjennom skyavtaler: Etabler rutiner for portering, frister for overgang der det kreves, og plan for gebyrfri overgang innen 2027 om det er aktuelt.
4. Vern av forretningshemmeligheter og personvern: Iverksett tekniske og juridiske tiltak for å dele data uten å røpe hemmeligheter eller underminere egen forretningsmodell. I den grad persondata skulle være omfattet, avklar forholdet til GDPR. Er du produsenten av de tilkoblede produktet bør du trekke grensen for hva du må og bør dele.
5. Vurder mulighetene standardene for interoperabilitet gir – både umiddelbart for eksisterende skyavtaler men også på sikt. I lys av den operasjonelle usikkerheten Trump-administrasjonen har introdusert for amerikanskbaserte tjenester, er forenklet overgang til andre og sikrere plattformer velkomment.

Oppsummert

EUs Data Act gjør industridata tilgjengelige på nye vilkår. Forordningen gir (i) brukere rett til å få tilgang til data de selv skaper og til å dele dem med andre, (ii) stiller krav om rettferdige avtaler mellom bedrifter, (iii) gir offentlige organer adgang til å hente inn data i krisesituasjoner og (iv) legger til rette for bytte av skytjenester. Samtidig søker den å sikre at innovasjonsinsentiver, personvern og forretningshemmeligheter ivaretas. For norske og europeiske selskaper er tiden inne til å forberede seg på en mer datadrevet og delingsbasert fremtid.

Ta kontakt om du har spørsmål eller behov for hjelp eller mer informasjon.

Hanna Beyer Olaussen , Christian Bendiksen, Kristian Foss

Bull har et av landets mest kompetente miljø innen teknologi, IT og AI. Les mer om oss her.