2025 - et viktig år for personvern både i Europa og Norge

Forslag til endringer i GDPR, rettsavgjørelser om bruk av pseudonymiserte data og politiske initiativ for å beskytte barn på nett har bidratt til å forme hvordan personopplysninger skal behandles fremover.

Samtidig har digital sikkerhet og kunstig intelligens fått en større rolle. Denne saken gir en oversikt over de viktigste utviklingstrekkene – og hva de betyr for Alta kommune.

Forslag om endringer i GDPR

Sommeren 2025 la EU-kommisjonen frem forslag til endringer i personvernforordningen (GDPR). Endringene i regelverket er mindre omfattende enn mange hadde håpet, men kan gjøre ivaretakelsen av GDPR noe enklere for virksomheter med mellom 250 og 750 ansatte.

Den viktigste endringen er at kravet for når mindre bedrifter må føre behandlingsprotokoll endres fra behandling som har «risiko» til «høy risiko». For Alta kommune vil denne endringen ikke ha praktisk betydning.

Det foreslås også en presisering av hva som regnes som personopplysninger. Data skal ikke lenger anses som personopplysninger dersom den som har fått tak i opplysningene ikke med rimelig sannsynlighet har mulighet til å identifisere personen bak dem. Dette innebærer en innsnevring av definisjonen.

Videre foreslås:

• en ny hjemmel for behandling av sensitive personopplysninger ved utvikling av kunstig intelligens
• forenklinger i kravene til personvernkonsekvensvurderinger (DPIA)
• mulighet for unntak fra innsynsregler i enkelte tilfeller der formålet med innsyn avviker fra personvernhensyn

EU-domstolens avgjørelse om pseudonymiserte data

I 2025 avsa EU-domstolen en dom som avklarer at pseudonymiserte data ikke alltid regnes som personopplysninger. Pseudonymisering betyr at direkte identifikatorer, som navn og personnummer, erstattes med koder, alias og initialer. I motsetning til anonymisering, som ikke kan reverseres, kan pseudonymiserte data fortsatt knyttes til personer dersom man har tilgang til nøkkelen.

Domstolen slo fast at vurderingen må ta utgangspunkt i om mottakeren faktisk har mulighet til å identifisere personene opplysningene gjelder.

Forslag om «digital lavalder»

Regjeringen sendte i 2025 to lovforslag på høring der formålet er å styrke barns beskyttelse på nett:

• heving av aldersgrensen for samtykke til behandling av personopplysninger fra 13 til 15 år
• innføring av en absolutt 15-årsgrense for bruk av sosiale medier

En sammenlignbar lov er allerede innført i Australia, og flere land vurderer tilsvarende tiltak.

Digital sikkerhet

Digital sikkerhet har hatt stort fokus i 2025. Begrepet handler om å beskytte systemer, informasjon og nettverk mot uautorisert tilgang, tap og skade. Dette gjelder både personopplysninger og kritisk samfunnsinfrastruktur. Temaet vil også stå sentralt i 2026.

Blikk mot 2026

Personverndagen 2026 ble markert 28. januar med temaet «digital suverenitet og personvern». I dag leveres mesteparten av Europas digitale tjenester og infrastruktur av utenlandske aktører, og omtrent alle ledende KI-modeller utvikles utenfor Europa.

Digital suverenitet handler om å ha kontroll over egne data, teknologiske valg og digital infrastruktur – uten å være helt avhengig av andre land.

Alta kommune skal i 2026 blant annet:

• fortsatt foreta personvernkonsekvensvurderinger og risikovurderinger ved innføring av nye systemer
• foreta gjennomgang av eksisterende systemer
• etterleve kommunens retningslinjer for bruk av kunstig intelligens