Norsk personvern i fokus: Nyheter fra Datatilsynet (mars 2026)
Norge forsterker sitt fokus på personvern og datasikkerhet, med flere viktige saker fra Datatilsynet i mars 2026. Fra bekymringer om deepfake-teknologi til konkrete bøter for brudd på personvernregler – her er de siste utviklingene.
Globalt opprop mot deepfakes: Norge på laget
I mars 2026 sluttet Datatilsynet seg til 60 andre personvernmyndigheter verden over i et felles opprop mot deepfake-teknologi. Initiativet krever skarpere regulering av generative AI-verktøy, med fokus på tydelig merking, samtykke og ansvar for utviklere.
Selv om deepfakes allerede er regulert gjennom GDPR og EUs AI-forordning, peker myndighetene på at håndhevingen har vært for svak. Norges deltakelse signaliserer økt oppmerksomhet og sannsynligvis strengere tilsyn med norske selskaper og utviklere som arbeider med generativ AI, spesielt når det gjelder behandling av biometriske data.
Bøter og reprimander for ulovlige sporingspiksler
Datatilsynet har ilagt én administrasjonsbot og utstedt fem reprimander etter inspeksjon av seks nettsteder som brukte sporingspiksler. Undersøkelsene viste at alle nettstedene ulovlig delte besøkendes personopplysninger med tredjeparter uten rettslig grunnlag, samtidig som de brøt informasjonsplikten.
I ett tilfelle ble det ilagt en bot på omtrent 22 000 euro. Saken understreker viktigheten av å ha korrekt dokumentasjon og informasjonsrutiner når det gjelder bruk av sporingsverktøy.
250 000 kroner i bot for ulovlig videresending av ansattes e-post
Et norsk selskap har fått en bot på 250 000 kroner (tilsvarende ca. 25 000 euro) for ulovlig videresending av en ansatts e-poster. Datatilsynet konkluderte med at virksomheten manglet rettslig grunnlag for videresendingen, og dermed brøt både regler om arbeidsgivers tilgang til e-postkontoer og GDPR-krav.
I tillegg til boten ble selskapet pålagt å forbedre sine interne kontrollprosedyrer og retningslinjer for tilgang til ansattes e-poster. Saken tjener som en påminnelse om at arbeidsgivere må ha klare rutiner for håndtering av ansattes digitale kommunikasjon.
Runbox krever norsk domstolsordre for utlevering av brukerdata
I en bloggpost fra 3. mars 2026 fremhevet e-posttjenesten Runbox at norske personvernlover ofte går lenger enn EUs personvernforordning (GDPR) når det gjelder beskyttelse av brukerdata.
Selskapet forklarte sin politikk om alltid å kreve en norsk domstolsordre før de utleverer brukerdata. Denne praksisen viser hvordan norske tjenesteleverandører tar personvern på alvor, og understreker forskjellene mellom norsk og EU-regelverk på dette området.
Norge iverksetter Cyber Resilience Act (CRA)
I mars 2026 startet den norske regjeringen implementeringen av Cyber Resilience Act (CRA) for produkter med digitale elementer. Denne nye lovgivningen skal sikre at digitale produkter som selges i Norge oppfyller strenge sikkerhetskrav gjennom hele livssyklusen.
Implementeringen markerer et viktig skritt i Norges arbeid med å styrke cybersikkerheten, og vil få betydning for både produsenter og forbrukere av digitale produkter.
Personvern i sentrum
Disse sakene viser at Norge fortsetter å prioritere personvern og datasikkerhet, både gjennom nasjonale tiltak og internasjonalt samarbeid. Fra regulering av ny teknologi til håndheving av eksisterende regler, holder Datatilsynet et skarpt øye med utviklingen. Virksomheter bør følge nøye med på disse trendene for å sikre at de oppfyller de stadig utviklende kravene.