Den 19. november la Kommisjonen frem en rekke forenklingsforslag på det digitale området (Omnibus VII). Med disse tiltakene anslår Kommisjonen at europeiske virksomheter kan spare opptil 5 milliarder euro i administrative kostnader innen 2029. Pakken inneholder en (i) digital omnibus (som inkluderer to forordningsforslag), (ii) en datastrategi «Unlocking data for AI» og (iii) et forordningsforslag om etablering av en «European Business Wallet».

Digital Omnibus

Kommisjonen foreslår å forenkle eksisterende regler for KI, cybersikkerhet og data. Bedre og enklere datatilgang, strømlinjeformet rapportering tilknyttet cybersikkerhet og innovasjonsvennlige KI-regler står sentralt. Målet er å styrke konkurranseevnen til europeiske virksomheter ved å forenkle regler, effektivisere prosedyrer og fjerne overlapp mellom gjeldende EU-regelverk og utdaterte bestemmelser.

Forenkling av det digitale regelverket

Det ene forordningsforslaget om forenkling av det digitale regelverket, gjør endringer i en rekke rettsakter som enten er innlemmet i EØS eller ligger til vurdering for innlemmelse (Europalov):

• Personvernforordningen (GDPR) (innlemmet i EØS)
• Digital portal for informasjon om det indre marked (innlemmet i EØS)
• Dataforordningen (Data Act) (til vurdering for innlemmelse)
• Kommunikasjonsvernsdirektivet (innlemmet i EØS)
• Felles sikkerhetsnivå for digital sikkerhet (NIS 2) (til vurdering for innlemmelse)
• Direktiv om kritiske enheters motstandsdyktighet (til vurdering for innlemmelse)
• Forordning (EU) 2018/1725

Forslaget opphever følgende forordninger, men viderefører det meste av innholdet i dem i GDPR og Data Act:

• FFD-forordningen om fri flyt av ikke-personlige data (innlemmet i EØS)
• Onlineplattformer: regler for rimelig forretningspraksis (til vurdering for innlemmelse)
• Dataforvaltningsforordningen (DGA) (til vurdering for innlemmelse)
• Åpne datadirektivet (ODD) (innlemmet i EØS)

Kommisjonen har imidlertid ikke markert forslaget som EØS-relevant. Kommisjonen redegjør for hensikten med endringene på s. 4-5, og omtaler særlig bakgrunnen for endringer i personvernforordningen (GDPR) på s. 6-8. Her står det blant annet at «(…), the amendments contained in this proposal aim to address those concerns notably by clarifying certain key definitions, for instance the notions of personal data; by facilitating compliance, for instance by supporting controllers with respect to the criteria and means to determine whether data resulting from pseudonymisation does not constitute personal data, in relation to information requirements and data breach notifications to supervisory authorities; as well as by clarifying certain aspects as to the processing of data for AI training and development.»

I Q and A fremgår det at forslaget er en konsolidering, slik at flere forordninger oppheves og reglene i stedet videreføres i to rettsakter: dataforordningen og personvernforordningen (GDPR). Kommisjonen gir i Q and A oversikt over hvilke endringer man foreslår for disse, jf. nærmer omtale under «Digital Omnibus - Data rules.» Oversikt over endringer fremgår også i vedlegget til forslaget (må lastes ned). Når det gjelder endringene i GDPR skriver Kommisjonen at forslaget blant annet avklarer definisjonen av personopplysninger, gir juridisk klarhet om bruk av personopplysninger til bruk i KI, og forenkler visse forpliktelser for bedrifter og organisasjoner, for eksempel ved å avklare når de må gjennomføre konsekvensanalyser for personvern og når og hvordan de skal varsle datainnbrudd til tilsynsmyndighetene.

Definisjonen av personopplysninger som GDPR bruker i dag er universell. Ifølge EUObserver vil forslaget som nå er lagt frem gjøre definisjonen av personopplysninger situasjonsbestemt. Hvis for eksempel et selskap ikke kan identifisere en bruker fra dataene sine, for eksempel ved å anonymisere informasjonen deres, kan det ikke lenger anses som personopplysninger. EUObserver skriver at «Gianclaudio Malgieri, associate professor of digital law at Leiden University, points out to EUobserver, “The identifiability of personal data now depends on what a controller claims to know.» Utkastet legger imidlertid opp til at Kommisjonen skal kunne vedta gjennomføringlovgivning som fastsetter metoder og kriterier for å avgjøre når pseudonymiserte data ikke skal regnes som personopplysninger for bestemte organisasjoner. Mange har påpekt at forslaget ligger nært opptil EU-domstolens avgjørelse i sak C 413/23 P, EDPS mot SRB (også omtalt i EU/EØS-nytt 15. september 2025), der domstolen kom til at pseudonymiserte data ikke utgjør personopplysninger for den som ikke har mulighet til å knytte opplysningene til bestemte personer, se for eksempel omtale her.  

Andre endringer i GDPR omfatter blant annet nye regler om bruk av personopplysninger for trening av KI-modeller. Reglene skal gjøre det mulig å trene KI-modeller på data som inneholder personopplysninger uten samtykke, men det kreves særlige sikkerhetstiltak, blant annet for å luke ut særlig sensitive data.

Forslaget introduserer også forenkling av rapportering knyttet til cypersikkerhet, ved etablering av ett kontaktpunkt der selskaper kan oppfylle alle forpliktelser til rapportering av slike hendelser. For tiden må selskaper rapportere cybersikkerhetshendelser i henhold til flere EU-regler, inkludert NIS2-direktivet, GDPR og DORA-forordningen. Grensesnittet vil bli utviklet med robuste sikkerhetstiltak og gjennomgå omfattende testing for å sikre pålitelighet og effektivitet, påpeker Kommisjonen. Forslagene vil også redusere antallet ganger informasjonskapsler dukker opp, og la brukere gi sitt samtykke med ett klikk og lagre sine preferanser via sentrale innstillinger i nettlesere.

Forenkling av regler om KI

Det andre forordningsforslaget («Digital Omnibus on AI») (Europalov), endrer KI-forordningen fra 2024 (ligger til vurdering for innlemmelse i EØS) og EASA-forordningen 2018 (innlemmet i EØS). Dette forslaget er markert EØS-relevant av Kommisjonen. Kommisjonen skriver i sin pressemelding at formålet er å vedta innovasjonsvennlige KI-regler. KI-forordningen trådte i kraft 1. august 2024, og følger en trinnvis ikrafttredelse. En sentral del av forslaget er å utsette ikrafttredelsen av de strengeste reglene i KI-forordningen, til desember 2027 (senest). Her foreslår Kommisjonen at reglene skal anvendes fra det tidspunktet når nødvendige standarder og støtteverktøy blir tilgjengelig. Kommisjonen skriver at «This flexibility has an end date: the rules for high-risk AI in sensitive areas like employment and law enforcement (Annex III) will in any case apply maximum 16 months later than originally envisaged, the rules for high-risk AI embedded in products like medical devices (Annex I) will apply a maximum 12 months later.» Denne reguleringsteknikken har møtt motstand fra digitale miljøer, som frykter at EU ikke vil rekke å vedta endringene i tide, og at man dermed uansett må forberede seg til den planlagte ikrafttredelsesdatoen 2. august 2026, med fare for at de suspenderes like etterpå.  

Andre målrettede endringer i forordningen er å (i) utvide visse forenklinger som gis til små og mellomstore bedrifter (SMB-er) til å omfatte «såkalte small mid-caps (SMC-er), inkludert forenklede krav til teknisk dokumentasjon, (ii) å utvide samsvarstiltak slik at flere innovatører kan bruke EU-omfattende testmiljø («sandkasser») for KI fra 2028 og å (iii) styrke KI-kontorets fullmakter og sentralisere tilsynet med KI-systemer bygget på generelle KI-modeller. (Ytterligere endringsforslag fremgår på s. 2-3 i forslaget).

I Kommisjonens Q and A fremgår nærmere informasjon.

Data Union Strategy

Meddelelsen «Data Union Strategy Unlocking data for AI» (må lastes ned) ledsager Kommisjonens omnibusforslag, og gir nærmere bakgrunn for endringsforslagene som legges frem. Strategien adresserer utfordringer som datamangel, et komplekst reguleringsregime og global konkurranse. Forenkling av EUs dataregler og tiltak for økt tilgjengelighet av høykvalitetsdata for KI-utvikling står sentralt. Strategien fokuserer på:

• Oppskalering av tilgang til data for KI for å sikre at bedrifter har tilgang til høykvalitetsdata: Her nevnes en rekke flaggskipsinitiativ som lansering av datalaboratorier, the Cloud and AI Development Act og felles europeiske datarom.
• Strømlinjeforming av dataregler for å gi bedrifter rettssikkerhet og reduserte kostnader: Ved oppdateringen som nå foreslås vil Kommisjonen fjerne unødvendige byrder og oppheve utdaterte bestemmelser. Kommisjonen har publisert en rekke veiledende dokumenter, inkludert en anbefaling om «non-binding model contractual terms on data access and use and non-binding standard contractual clauses for cloud computing contracts» og opprettet et juridisk hjelpesenter for dataforordningen. Dette er ment å gjøre regelverket enklere å forholde seg til, slik at bedrifter kan bruke mer tid på innovasjon og mindre på administrasjon.
• Sikring av EUs datasuverenitet for å styrke EUs globale posisjon

For ytterligere informasjon, se fakta-ark utarbeidet av Kommisjonen.

European Business Wallet

Dette forslaget,«Proposal for a Regulation on the establishment of European Business Wallets» (må lastes ned), vil gi europeiske selskaper og offentlige organer et enhetlig digitalt verktøy som gjør det mulig å digitalisere operasjoner og samhandling som i mange tilfeller fortsatt må gjøres personlig. Bedrifter vil kunne signere, stemple og forsegle dokumenter digitalt, opprette, lagre og utveksle bekreftede dokumenter på en sikker måte, og kommunisere sikkert med andre bedrifter eller offentlige forvaltning i hele EU. Initiativet vil kunne gi store administrative besparelser, påpeker Kommisjonen.

Forordningen pålegger utelukkende offentlige organer forpliktelser til å akseptere kjernefunksjonene, mens bedrifter står fritt til å bestemme om de vil ta i bruk «lommeboka» til sin kommersielle drift eller samhandling med offentlige myndigheter. Ifølge Kommisjonens forslag vil alle nivåer i offentlig forvaltning i EU, inkludert EUs institusjoner, organer og byråer, ha to år på seg til å iverksette forordningen, med overgangstiltak for å utnytte eksisterende, lignende systemer på medlemsstatsnivå.

For ytterligere informasjon, se fakta-ark utarbeidet av Kommisjonen.

Neste skritt

Omnibusforslagene vil nå bli sendt til Europaparlamentet og Rådet og behandles etter ordinær lovgivningsprosedyre. Forslagene er også sendt på høring. Kommisjonen har også lansert en bred høring («Digital fitness check») som er åpen frem til 11. mars 2026.

Reaksjoner

EUObserver skriver at «The commission insists that the package strikes a balance between innovation and fundamental protections. However, civil society groups have long been concerned about this proposal, believing it caves to US Big Tech firms whilst deregulating essential online rights.» Saken er også omtalt i E24, der fagdirektør i Forbrukerrådet Finn Myrstad uttaler seg kritisk. Her vises det også til et åpent brev til regjeringen fra Forbrukerrådet og en rekke andre organisasjoner. (Dette brevet ble imidlertid sendt dagen før Kommisjonen la frem omnibuspakken). Denne artikkelen viser til hvilke endringer som faktisk ble lagt frem.

Forslaget er også blitt møtt med kritikk i Europaparlamentet, der saken ble diskutert forleden. MEP Alex Agius Saliba (S&D) skal ifølge Politico ha uttalt: «We are not speaking of simplification, we are speaking of deregulation that is going against what we have worked for.» Han mener at pakken kommer på «verst tenkelig tidspunkt», og pekte på anmodningen fra den amerikanske handelsministeren Lutnick om at EU bør lempe på sitt teknologiregelverk. Dette er for øvrig en uttalelse som har fått visepresident Teresa Ribera til å reagere kraftig. I en egen uttalelse fra Saliba (S&D) står det videre at «Rather than weakening the EU’s digital rules, we should enforce them and focus the Digital Omnibus on improving coherence, transparency and regulatory guidance without undermining the level of protection achieved so far.»

Europaportalen.se viser til kommentarer fra MEP Kim van Sparrentak (De grønne) som uttaler at «– Det är en besvikelse att se EU-kommissionen ge efter under trycket från Trump-administrationen och Big Tech-lobbyister. EU riskerar att rulla ut röda mattan för en affärsmodell baserad på stulen data, hype och noll hänsyn till mänskliga rättigheter». MEP Markéta Gregorová (De grønne) sier hun er overrasket og bekymret «över att GDPR öppnas upp och försvagas i dess kärna, inklusive definitionen av vad personuppgifter är. De potentiella ändringar som skulle tillåta större flexibilitet för AI-träning är särskilt oroande, eftersom de kan öppna dörren för användning av personuppgifter och känslig data utan tillräckliga skyddsåtgärder.»

Forbrukerorganisasjonen BEUC stiller seg kritisk til forslaget. I pressemeldingen fra 19. november «EU’s plan to simplify digital laws to benefit mainly large companies at the expense of consumers» står det blant annet: «The Commission's digital omnibus proposal raises serious concerns regarding consumers’ online privacy and protection. Rather than provide simplification for Europeans, the text presents a watering down of the EU’s privacy rules and a substantial delay and undermining of AI rules that will benefit mainly non-European Big Tech companies. We are disappointed to see this proposal has not considered the recent concerns expressed by legislators, stakeholders and civil society. (…) Instead of cutting down on consumer rights, the European legislator should focus on making compliance easier to the benefit of European companies and consumers alike. EU consumer and data protection rights are part of Europe’s standards, and they are instrumental to develop a more competitive Europe in line with our values and rights.»

Digital Europe mener imidlertid forslaget som nå er lagt frem er et skritt i riktig retning , og at digital forenkling «must focus decisively on the business-to-business angle, rather than on consumer aspects of these regulations, as this is where Europe’s digital strengths lies. The delays to the AI Act are necessary and come at the right time. This extra time will allow us to finalise the required technical standards. What we need in addition is a better way to make the AI Act work with existing legislation. Many of Europe’s most advanced sectors already operate under mature and trusted frameworks covering the risk, like medical device or machinery. Now we have an opportunity to assess if there are any concrete gaps in these frameworks regarding AI. This is urgent to secure Europe’s digital competitiveness.»

Ifølge Mario Mariniello ved den Brussel-baserte tenketanken Bruegel, som skriver en analyse av forslaget, fremgår det at «the Commission’s deregulatory strategy lacks a rigorous, evidence-based analysis of the expected effects entailed by proposed burden reductions, is insufficiently transparent and accountable in relation to potential distributive trade-offs, and is overly focused on a narrow geopolitical goal of ‘catching up’ with the United States, which may neglect Europe’s distinct social and institutional priorities.» Han påpeker at forslaget ikke har gjennomgått forutgående konsekvensutredninger som vanligvis benyttes for å vurdere potensielle økonomiske, sosiale og miljømessige effekter av nye initiativ.

Digitaliserings- og forvaltningsminister Karianne Tung var for øvrig i Brussel forrige uke og fikk da en orientering om EUs forenklingspakke. I en pressemelding fremgår det at hun uttaler at: «Det er positivt at EU vil gjøre det lettere å drive forretning i det indre marked, som Norge er en del av. Særlig at man forenkler rapporteringskrav for små- og mellomstore bedrifter, og selskaper som vokser fort (…). Samtidig er det viktig at næringslivsvennlig revisjon av lovgivningen ikke går på bekostning av borgernes rettigheter og personvern. –  Jeg har merket meg reaksjonene på flere av forslagene knyttet til revidering av personvernforordningen her hjemme, og merker meg at lignende synspunkter kommer fra Europaparlamentet, sier Tung. »

Ytterligere informasjon

Simpler EU digital rules and new digital wallets to save billions for businesses and boost innovation | Factsheet | Questions and answers 
Digital omnibus on the digital acquis (Regulation) (Europalov)
Digital omnibus on AI (Regulation) (Europalov) | AI Act – Simplification proposal 
European Business Wallet (Regulation) (Europalov) | Factsheet European Business Wallet 
Data Union Strategy (Communication) (Europalov) | Factpage Data Union Strategy 

Omtaler

Digital Omnibus: What Survived the Leak and What Did Brussels Adjust? | AI Literacy Hub | Responsible AI Platform
Europaportalen.se
Slår alarm om EUs AI-regler (E24)
Top EU official accuses US of ‘blackmail’ in trade talks (Politico)
Brussels is done being the world’s digital policeman (Politico)