EU Data Act: Nye regler for datadeling og skytjenester som norske bedrifter må forberede seg på

EU Data Act er en ny forordning som gir brukere — både bedrifter og forbrukere — rett til å få tilgang til data generert av tilkoblede produkter og IoT-enheter, sikrer fri bytte av skytjenesteleverandør uten urimelige barrierer, og forbyr urettferdige kontraktsvilkår i datadelingsavtaler. Forordningen trådte i kraft i september 2025 og innfører nye produktkrav fra 12. september 2026.

For norske virksomheter er dette direkte relevant. Gjennom EØS-avtalen vil EU Data Act bli gjeldende i Norge, og bedrifter som produserer tilkoblede produkter, leverer skytjenester eller håndterer store mengder brukerdata, må forberede seg nå. EU-kommisjonen anslår at forordningen vil generere 270 milliarder euro i ekstra BNP for EU innen 2028 — noe som understreker det enorme potensialet i en mer åpen dataøkonomi.

I denne artikkelen gir vi en grundig gjennomgang av hva EU Data Act innebærer, hvem som rammes, og konkrete tiltak din bedrift bør iverksette.

Hva er EU Data Act?

EU Data Act — formelt forordning (EU) 2023/2854 — er en helhetlig regulering av datadeling og datatilgang i Europa. Mens GDPR regulerer personopplysninger, dekker EU Data Act også ikke-personlige data, og skaper dermed et komplett rammeverk for dataøkonomien. Forordningen regulerer tre hovedområder: tilgang til data fra tilkoblede produkter (IoT), portabilitet mellom skytjenesteleverandører, og rettferdige vilkår i datadelingsavtaler.

Kjernen i loven er enkel: data generert av brukere gjennom tilkoblede produkter og tjenester skal være tilgjengelig for brukerne selv — ikke innelåst hos produsenten eller tjenesteleverandøren. I tillegg skal det være mulig å bytte skytjenesteleverandør uten å bli fanget av tekniske eller økonomiske barrierer.

EU Data Act er en del av den europeiske datastrategien, sammen med Data Governance Act, og utfyller eksisterende regelverk som GDPR og ePrivacy-direktivet.

Bakgrunn: Hvorfor en datalov?

Europas dataøkonomi er enorm — men potensialet er langt fra realisert. Ifølge EU-kommisjonen forblir omtrent 80 prosent av industrielle data ubrukt. Verdifulle data fra smarte fabrikker, tilkoblede biler, medisinsk utstyr og landbruksteknologi samles inn og lagres, men deles sjelden videre.

Årsakene er sammensatte:

Datasiloer. Produsenter av tilkoblede produkter har historisk sett beholdt eksklusiv tilgang til dataene produktene genererer. En bonde som kjøper en smart traktor, har ofte ikke tilgang til driftsdataene den produserer — det har traktorfabrikanten.

Vendor lock-in. Skytjenesteleverandører har gjort det kostbart og teknisk krevende å flytte data og tjenester til en konkurrerende plattform. Høye utgangskostnader, proprietære dataformater og manglende interoperabilitet har holdt kunder fanget.

Ubalanserte avtaler. Store dataholdere har i praksis kunnet diktere vilkårene for datadeling, ofte til ugunst for mindre virksomheter og brukere.

EU Data Act adresserer alle disse problemene gjennom et helhetlig rammeverk av rettigheter, plikter og tekniske krav.

Tidslinje: Fra vedtakelse til full virkning

EU Data Act har en trinnvis ikrafttredelse med ulike frister for ulike krav:

• Desember 2023: EU vedtar Data Act (forordning 2023/2854)
• 11. januar 2024: Forordningen publiseres i EU-tidende
• 12. september 2025: Hovedbestemmelsene trer i kraft i EU — inkludert rettigheter til datatilgang, forbud mot urimelige kontraktsvilkår og offentlig sektors tilgang til data
• 12. september 2026: Nye produktkrav — tilkoblede produkter og relaterte tjenester som markedsføres etter denne datoen må være designet for å gjøre data tilgjengelig for brukere
• 12. september 2027: Krav om skyportabilitet og interoperabilitet trer i full kraft — inkludert fjerning av byttekostnader
• 2025–2026: Forventet innlemmelse i EØS-avtalen og dermed norsk lov

For norske virksomheter betyr dette at forberedelsene bør være godt i gang allerede nå, særlig for de som produserer tilkoblede produkter eller leverer skytjenester.

Hvem rammes av EU Data Act?

EU Data Act berører en lang rekke aktører i den digitale verdikjeden. Her er en oversikt over hvem som påvirkes og hvordan:

Aktør	Beskrivelse	Hovedplikter
IoT-produsenter	Produsenter av tilkoblede produkter (smarte husholdningsapparater, industrimaskiner, biler, medisinsk utstyr)	Må designe produkter slik at data er tilgjengelig for brukerne; gi informasjon om hvilke data som genereres
Skytjenesteleverandører	Tilbydere av IaaS, PaaS og SaaS	Må legge til rette for fri bytte mellom leverandører; fjerne urimelige byttekostnader; sikre dataportabilitet
SaaS-leverandører	Tilbydere av programvare som tjeneste	Må tilrettelegge for dataeksport og leverandørbytte; unngå urimelige kontraktsvilkår
Dataholdere	Virksomheter som samler inn eller genererer data gjennom produkter/tjenester	Må gi brukere tilgang til data på forespørsel, i et strukturert og maskinlesbart format
Datamottakere	Tredjeparter som mottar data fra brukere	Må bruke data kun til avtalte formål; kan ikke bruke data til å utvikle konkurrerende produkter
Dataformidlere	Mellommenn som fasiliterer datadeling	Må oppfylle krav til nøytralitet og transparens
Offentlig sektor	Myndigheter og offentlige organer	Kan kreve tilgang til privat data i ekstraordinære situasjoner (nødssituasjoner, pandemier)

Gjelder dette min bedrift?

Kort oppsummert: Hvis din virksomhet produserer eller selger tilkoblede produkter, tilbyr skytjenester eller SaaS-løsninger, eller håndterer store mengder data fra brukere eller enheter, er EU Data Act relevant for deg.

Sentrale rettigheter og plikter

EU Data Act innfører en rekke nye rettigheter og plikter som endrer spillereglene for datadeling i Europa. Her er de viktigste:

Tilgang til data fra tilkoblede produkter

Brukere av tilkoblede produkter — fra smarte vaskemaskiner til industrielle sensorer — får rett til å få tilgang til data som genereres av produktene deres. Dette inkluderer både rådata og metadata. Dataholder (typisk produsenten) plikter å gjøre dataene tilgjengelige:

• Uten ugrunnet opphold etter forespørsel
• I et strukturert, vanlig brukt og maskinlesbart format
• Kontinuerlig og i sanntid der det er teknisk mulig
• Gratis for brukeren, eller med en kompensasjon som ikke overstiger kostnadene ved å gjøre dataene tilgjengelige

Produsenter må dessuten informere brukerne om hvilke data som genereres, hvordan de kan nås, og om produsenten har til hensikt å bruke dataene selv.

Rett til å dele data med tredjeparter

Brukere kan kreve at dataholder deler data direkte med en tredjepart etter brukerens valg. Dette åpner for et helt nytt økosystem av tjenester — for eksempel uavhengige verksteder som kan diagnostisere tilkoblede biler, eller tredjepartsleverandører som tilbyr vedlikeholdstjenester for industrielt utstyr.

Tredjeparten kan imidlertid ikke bruke dataene til å utvikle et konkurrerende produkt, eller dele dem videre uten brukerens samtykke.

Bytte av skytjenesteleverandør

EU Data Act gir kunder av skytjenester en eksplisitt rett til å bytte leverandør uten urimelige barrierer. Dette omfatter:

• Rett til å ta med seg alle data — inkludert metadata, konfigurasjoner og digitale eiendeler
• Forbud mot tekniske hindringer som gjør bytte unødvendig vanskelig
• Gradvis avvikling av byttekostnader — fra september 2027 skal det ikke lenger være lov å ta betalt for selve bytteprosessen
• Minimumsfunksjonalitet som sikrer at tjenesten forblir operativ under overgangsperioden
• Maksimal overgangsperiode på 30 kalenderdager for å fullføre byttet

Forbud mot urimelige kontraktsvilkår

Forordningen innfører et eksplisitt forbud mot urimelige kontraktsvilkår i datadelingsavtaler mellom virksomheter. Et kontraktsvilkår anses som urimelig dersom det i vesentlig grad avviker fra god forretningsskikk og er til ugunst for den svakere parten. Eksempler inkluderer:

• Vilkår som utelukker eller begrenser en parts ansvar for forsettlige handlinger eller grov uaktsomhet
• Vilkår som gir en part ensidig rett til å tolke kontrakten
• Vilkår som urimelig begrenser en parts rettigheter til data
• Vilkår som gir en part rett til å endre kontrakten ensidig uten saklig grunn

Hva betyr dette for SaaS-leverandører?

For virksomheter som leverer programvare som tjeneste (SaaS), innfører EU Data Act flere konkrete krav som vil påvirke både produktutvikling og forretningsmodeller:

Dataportabilitet blir påkrevd. SaaS-leverandører må sørge for at kundene kan eksportere alle sine data i et strukturert og maskinlesbart format. Det holder ikke lenger å tilby en enkel CSV-eksport av utvalgte data — eksporten må dekke alle data kunden har generert eller lagret i tjenesten, inkludert konfigurasjoner og metadata.

Byttekostnader må fjernes. Mange SaaS-leverandører har historisk brukt komplekse datamigreringsoppdrag som en innlåsingsmekanisme. EU Data Act setter en klar grense: fra september 2027 kan man ikke lenger ta betalt for selve prosessen med å flytte til en annen leverandør.

API-er og interoperabilitet. For å oppfylle kravene om datadeling og portabilitet vil de fleste SaaS-leverandører måtte tilby robuste API-er som muliggjør dataeksport og integrasjon med andre systemer.

Kontraktsgjennomgang. Eksisterende avtaler med kunder må gjennomgås for å sikre at de ikke inneholder urimelige vilkår som strider mot forordningen. Spesielt bør man se på klausuler knyttet til dataeierskap, eksportmuligheter og oppsigelsesvilkår.

For norske SaaS-bedrifter som allerede leverer gode API-er og eksportmuligheter, kan EU Data Act faktisk bli et konkurransefortrinn. Det tvinger hele markedet opp til et nivå som seriøse aktører allerede opererer på.

Hva betyr dette for IoT og tilkoblede produkter?

For produsenter av tilkoblede produkter og IoT-enheter er endringene kanskje de mest dyptgripende. Fra 12. september 2026 gjelder følgende for alle nye produkter som markedsføres:

Design for datatilgang. Tilkoblede produkter må designes og produseres slik at data generert av brukeren er lett tilgjengelig — direkte fra produktet eller gjennom en relatert tjeneste. Dette er et «by design»-krav som påvirker produktutviklingen fra starten.

Informasjonsplikt. Før kjøp må brukeren informeres om:

• Hvilke typer data produktet genererer
• Hvordan brukeren kan få tilgang til dataene
• Om produsenten har til hensikt å bruke dataene, og i så fall til hvilke formål
• Om data overføres til tredjeparter, og identiteten til disse

Datakvalitet og format. Data skal gjøres tilgjengelig i et format som er strukturert, vanlig brukt og maskinlesbart. Det betyr at proprietære binærformater som kun fungerer med produsentens egen programvare, ikke lenger er akseptabelt.

Smarte kontrakter. EU Data Act stiller også krav til bruk av smarte kontrakter (smart contracts) for automatisert datadeling. Disse må oppfylle krav til tilgangskontroll, kontinuitetsmekanismer og mulighet for avslutning eller tilbakestilling.

For norske IoT-produsenter betyr dette en betydelig endring i produktutviklingsprosessen. Datatilgang og -deling kan ikke lenger være en ettertanke — det må bygges inn fra starten.

Skyportabilitet: Rett til å bytte leverandør

Et av de mest konkrete og transformative elementene i EU Data Act er reglene om skyportabilitet. Mange virksomheter har opplevd å bli «låst inn» hos en skytjenesteleverandør fordi kostnadene og kompleksiteten ved å bytte er uoverkommelige.

EU Data Act adresserer dette systematisk:

Funksjonell ekvivalens. Skytjenesteleverandører må sikre at kundene kan oppnå funksjonell ekvivalens i den nye tjenesten. Dette betyr ikke at tjenestene må være identiske, men at kunden må kunne oppnå tilsvarende funksjonalitet etter bytte.

Overgangsperiode. Kunden har rett til en overgangsperiode på opptil 30 dager der begge tjenestene kjører parallelt, slik at migrering kan skje trygt og kontrollert.

Gradvis avvikling av kostnader. Byttekostnader skal gradvis reduseres og elimineres helt fra 12. september 2027. Etter dette kan leverandøren kun kreve betalt for selve datalagrings- og behandlingskostnadene i overgangsperioden — ikke for migreringsarbeidet.

Interoperabilitetskrav. Forordningen stiller krav til åpne grensesnitt og standarder som gjør det enklere å flytte data og applikasjoner mellom leverandører. EU-kommisjonen har mandat til å vedta harmoniserte standarder for interoperabilitet.

For virksomheter som i dag er avhengige av én skytjenesteleverandør, gir dette nye muligheter for å forhandle bedre vilkår og realisere en genuin flerskystrategi.

Data Act og GDPR: Hvordan henger de sammen?

Et vanlig spørsmål er hvordan EU Data Act forholder seg til GDPR. De to forordningene er komplementære — ikke overlappende — og regulerer ulike aspekter av dataøkonomien:

Aspekt	GDPR	EU Data Act
Datatype	Personopplysninger	Både personlige og ikke-personlige data
Formål	Beskytte individers personvern	Fremme datadeling og datatilgang i dataøkonomien
Rettighetshaver	Registrerte (enkeltpersoner)	Brukere av produkter og tjenester (bedrifter og forbrukere)
Hovedpliktsubjekt	Behandlingsansvarlig og databehandler	Dataholder, produsent, skytjenesteleverandør
Datatilgang	Rett til innsyn i egne personopplysninger	Rett til tilgang til alle data generert av tilkoblede produkter
Portabilitet	Rett til dataportabilitet (art. 20) — begrenset til data gitt av den registrerte	Utvidet portabilitet — alle data, inkludert maskinelt genererte data
Kontraktsregulering	Begrenset	Eksplisitt forbud mot urimelige kontraktsvilkår
Skybytte	Ikke regulert	Detaljerte regler for leverandørbytte og interoperabilitet
Håndhever i Norge	Datatilsynet	Ennå ikke endelig avklart — trolig sektortilsyn
Ikrafttredelse	2018	2025 (hovedregler), 2026–2027 (produktkrav og skyportabilitet)

Viktig: Når data som omfattes av EU Data Act også er personopplysninger, gjelder GDPR i tillegg. Data Act gir altså ikke grunnlag for å omgå GDPR-krav — den legger til nye rettigheter og plikter oppå det eksisterende personvernrammeverket.

I praksis betyr dette at virksomheter må ha en integrert tilnærming der både GDPR- og Data Act-compliance håndteres koordinert. En datadelingsprosess som involverer personopplysninger, må oppfylle kravene i begge forordninger.

Offentlig sektors tilgang til data i ekstraordinære situasjoner

Et element i EU Data Act som har fått mye oppmerksomhet, er muligheten for offentlige myndigheter til å kreve tilgang til private virksomheters data i ekstraordinære situasjoner. Bestemmelsen gjelder kun i tydelig definerte tilfeller:

• Offentlige nødssituasjoner — som pandemier, naturkatastrofer eller store cyberhendelser
• Forebygging eller gjenoppretting etter en offentlig nødssituasjon
• Når data er nødvendig for å utføre en lovpålagt oppgave og ikke kan innhentes på annen måte

Myndigheten må dokumentere behovet, og dataen skal brukes utelukkende til det angitte formålet. Virksomheter har rett til å bli kompensert for kostnadene ved å gjøre data tilgjengelig. Bestemmelsen er altså ikke en generell overvåkingshjemmel, men et sikkerhetsventil for genuint ekstraordinære situasjoner.

Praktiske tiltak: Slik forbereder bedriften seg

EU Data Act har en trinnvis ikrafttredelse, og det er klokt å forberede seg i faser. Her er en praktisk sjekkliste:

Fase 1: Kartlegging og analyse (nå — Q2 2026)

• Avklar om din virksomhet er berørt av EU Data Act (produserer tilkoblede produkter, leverer skytjenester, håndterer brukerdata)
• Kartlegg alle datastrømmer i virksomheten — hvilke data genereres, av hvem, og hvem har tilgang
• Identifiser hvilke tilkoblede produkter og IoT-enheter som omfattes
• Gjennomgå eksisterende kontrakter og avtaler for datadeling — identifiser potensielt urimelige vilkår
• Vurder nåværende kapasitet for dataeksport og portabilitet i egne tjenester
• Kartlegg forholdet til skytjenesteleverandører — vurder lock-in-risiko og byttekostnader

Fase 2: Tilpasning og implementering (Q2 2026 — Q3 2026)

• Oppdater produktdesign for tilkoblede produkter slik at data er tilgjengelig for brukere by design
• Implementer API-er og dataeksportfunksjonalitet i egne tjenester
• Oppdater brukervilkår og datadelingsavtaler i tråd med forordningens krav
• Etabler prosesser for å håndtere forespørsler om datatilgang fra brukere
• Utvikle informasjonsmateriale til brukere om datarettigheter og tilgangsmuligheter
• Sikre at smarte kontrakter for datadeling oppfyller kravene til tilgangskontroll og kontinuitet

Fase 3: Skyportabilitet og interoperabilitet (Q3 2026 — Q3 2027)

• Implementer full skyportabilitet i egne tjenester — inkludert metadata, konfigurasjoner og digitale eiendeler
• Fjern urimelige byttekostnader i eksisterende kundekontrakter
• Tilrettelegg for overgangsperioder ved leverandørbytte
• Implementer åpne grensesnitt og standarder for interoperabilitet
• Test datamigreringsverktøy og -prosesser med reelle scenarioer

Fase 4: Vedlikehold og optimalisering (løpende)

• Overvåk utviklingen av harmoniserte standarder og EU-kommisjonens retningslinjer
• Oppdater prosesser og systemer i takt med nye retningslinjer og tolkninger
• Gjennomfør periodiske revisjoner av datadelingsavtaler og kontraktsvilkår
• Hold opplæring for ansatte om nye rettigheter og plikter
• Følg med på rettspraksis og tilsynsmyndighetenes veiledninger

Slik kan vi hjelpe

I UNOS SOFTWARE AS har vi lang erfaring med å hjelpe norske virksomheter med å navigere teknologiske og regulatoriske endringer. Sammen med vår samarbeidspartner Unos IT AS tilbyr vi et komplett tjenestetilbud fra utvikling til drift. EU Data Act berører kjernen av det vi jobber med — programvare, skytjenester, integrasjoner og datahåndtering — og vi er godt posisjonert til å hjelpe din bedrift med å bli compliant.

• Systemintegrasjon og API-utvikling — gjennom vår systemintegrasjonstjeneste hjelper vi deg med å bygge robuste API-er og datautvekslingsløsninger som oppfyller kravene til datatilgang og portabilitet i EU Data Act
• Sky- og infrastrukturtjenester — vår sky- og infrastrukturtjeneste hjelper deg med å bygge en skyarkitektur som unngår vendor lock-in og legger til rette for smidig bytte mellom leverandører
• Teknisk rådgivning — gjennom vår rådgivningstjeneste kartlegger vi din virksomhets eksponering mot EU Data Act, identifiserer gap i nåværende løsninger og utarbeider en konkret handlingsplan
• Programvareutvikling — vår utviklingstjeneste bygger løsninger med datatilgang, portabilitet og interoperabilitet innebygd fra starten — slik at compliance ikke blir et etterlatt problem, men en integrert del av produktet

EU Data Act er del av en bredere regulatorisk bølge fra EU. Norske bedrifter bør også kjenne til Cyber Resilience Act (CRA) som stiller sikkerhetskrav til digitale produkter, NIS2 for virksomheter i kritiske sektorer, og DORA for leverandører til finanssektoren.

EU Data Act er ikke bare en regulatorisk byrde — det er en mulighet til å bygge bedre produkter, styrke kundetilliten og posisjonere seg i en dataøkonomi der åpenhet og interoperabilitet er konkurransefortrinn.

Usikker på hvordan EU Data Act påvirker din virksomhet? Ta kontakt for en uforpliktende samtale om datadeling, skyportabilitet og compliance-forberedelser.

Vanlige spørsmål om EU Data Act

Gjelder EU Data Act i Norge?

Ja — EU Data Act vil gjelde i Norge gjennom EØS-avtalen. Innlemmelse forventes i 2025–2026, og norske virksomheter bør forberede seg som om forordningen allerede gjelder.

Erstatter EU Data Act GDPR?

Nei — de to forordningene er komplementære. GDPR regulerer personopplysninger, mens EU Data Act også dekker ikke-personlige data. Når data er personopplysninger, gjelder begge regelverk samtidig.

Hva betyr skyportabilitet i praksis?

Skyportabilitet betyr at du skal kunne bytte skytjenesteleverandør uten urimelige tekniske eller økonomiske barrierer. Fra september 2027 kan leverandøren ikke lenger ta betalt for selve bytteprosessen, og du har rett til en overgangsperiode på opptil 30 dager.

Hvem håndhever EU Data Act i Norge?

Tilsynsmyndigheten er ennå ikke endelig avklart. Det er trolig at ulike sektortilsyn vil ha ansvar for håndhevelse innenfor sine områder, i samarbeid med Datatilsynet for saker som berører personopplysninger.

Kan offentlige myndigheter kreve tilgang til mine data?

Kun i ekstraordinære situasjoner som pandemier, naturkatastrofer eller store cyberhendelser — og kun når dataene er nødvendige for en lovpålagt oppgave og ikke kan skaffes på annen måte. Virksomheten har rett til kompensasjon for kostnadene.

---

Kilder og videre lesning

• Europaparlamentet (2023). «Regulation (EU) 2023/2854 — Data Act.» eur-lex.europa.eu
• EU-kommisjonen (2025). «Data Act — New Rules on Data Sharing.» digital-strategy.ec.europa.eu
• EU-kommisjonen (2022). «Impact Assessment: Data Act.» ec.europa.eu
• EFTA Surveillance Authority (2025). «EEA Relevance of the Data Act.» eftasurv.int
• Nærings- og fiskeridepartementet (2025). «EUs datalov og norsk næringsliv.» regjeringen.no
• Datatilsynet (2025). «Forholdet mellom GDPR og Data Act.» datatilsynet.no
• European Data Protection Board (2024). «Guidelines on the Interplay between the Data Act and the GDPR.» edpb.europa.eu

---

Ta kontakt med oss

Trenger du hjelp med datadeling, API-utvikling eller skyportabilitet i tråd med EU Data Act? UNOS SOFTWARE AS — i samarbeid med Unos IT AS — hjelper norske bedrifter med å bygge løsninger som oppfyller de nye kravene. Send oss en henvendelse gjennom kontaktskjemaet — vi tar en uforpliktende samtale om hvordan vi kan hjelpe din virksomhet.