Inge Kristian Brodersen

DORA fastlægger fælles EU-krav til digital operationel robusthed på tværs af finanssektoren. Fintech og tredjepartsleverandører påvirkes via skærpede regler for outsourcing, risikostyring og hændelsesrapportering. Fuld efterlevelse forventes fra januar 2025.

Automatiseret præscreening af bankkunder udfordrer kravet om individuel vurdering ved adgang til basale betalingstjenester. Hordaland-dommen fremhæver retssikkerhed, governance og EØS-konformitet som styrende parametre for banker og kreditinstitutter.

Drøftelser om lempelse af GDPR’s artikel 30 for SMV’er møder markant modstand fra civilsamfundet. Mulige ændringer kan svække accountability og påvirke tilstrækkelighedsafgørelser og dataoverførsler. Få overblik over risici, compliance-prioriteter og praktiske tiltag.

EU bevæger sig mod en samlet rumakt, der erstatter nationale regler med en direkte anvendelig forordning. Målet er fælles miljø- og sikkerhedsstandarder og lettere grænseoverskridende aktiviteter. Men højere complianceomkostninger kan bremse innovation – også i Norge via EØS.

Norges Højesteret slår fast, at krav om læseres IP-adresser og læsehistorik er indgreb i pressefriheden. En ny tretrins proportionalitetsprøve skærper beviskravet og sætter en høj tærskel for udlevering af læserdata i straffesager.

Norge forbereder at inkorporere Digital Services Act med forventet ikrafttræden i 2026. Overblikket dækker krav til formidlere, platforme og markedspladser samt særregimet for meget store aktører med risikovurdering, audit og reklamegennemsigtighed.

Danmark vil indføre rettigheder til egen krop, ansigt og stemme i ophavsretsloven for at modvirke AI‑genererede deepfakes. Forslaget giver notice‑and‑takedown, godtgørelse uden dokumenteret skade og skærpet platformansvar. Udøvende kunstnere får særskilt værn, og beskyttelsen gælder alle borgere.

En domstol i Georgia har frifundet OpenAI i en injuriesag om ChatGPT-hallucinationer. Sagen viser, at klassiske bevis- og skadekrav stadig gælder for AI-output og understreger behovet for klare advarsler, solide brugsbetingelser og systematisk verifikation hos brugerne.

EU’s Ret har afvist et søgsmål mod den nuværende EU‑USA‑ramme for overførsel af personoplysninger og fastslår, at ordningen opfylder GDPR’s krav om et væsentligt tilsvarende beskyttelsesniveau. Virksomheder kan fortsætte brugen, men sagen kan ankes, og compliance bør fastholdes.

EU-Domstolen afklarer grænsen mellem pseudonymiserede data og personoplysninger med en relativ, risikobaseret vurdering. Oplysningspligten kan stadig gælde ved realistisk identifikation. Afgørelsen for EU-institutioner får betydning for GDPR-compliance hos både afsendere og modtagere.

Frifindelsen af Flashbacks stifter i Stockholms tingsrätt tydeliggør, at strafansvar for platforme kræver grov uagtsomhed. Sagen skærper skellet mellem Yttrandefrihetsgrundlagen og BBS-loven og sætter DSA’s risikobaserede model i spil i den nordiske debat.

Det norske Datatilsynet skærper praksis for brudsanmeldelser: “skal” bliver til “kan”, tvivlsreglen er fjernet, og forsendelsesfejl nedtones. GDPR art. 33–34 er uændrede, men organisationer bør dokumentere risikovurderinger og sikre en ensartet, risikobaseret incident triage.

Data Act ændrer SaaS-kontrakter ved at kræve let leverandørskifte og korte opsigelsesvarsler. Udbydere kan beskytte indtægter gennem gennemsigtige, rimelige gebyrer for førtidigt ophør og bør opdatere standardvilkår og processer for at sikre robust compliance.

Det Udvidede Klagekammer fastslår i G 1/23, at markedsførte produkter og forudgående tekniske oplysninger er teknikkens stand, selv når sammensætning ikke kan afklares. Stram styringen af prøver, datasheets og marketing før indlevering for at beskytte nyheden.

High Court behandler, om ulicenserede billeder må bruges til at træne generativ AI. Sagen om Stable Diffusion skærper fokus på licenser, ansvar og håndhævelse i et marked, hvor åben kildekode og lavere hardwarekrav gør distribution og brug svær at kontrollere.

EU-Domstolen behandler sag C‑654/23 om e-mailmarkedsføring uden forudgående samtykke. Sagen belyser rækkevidden af ePrivacy-direktivets undtagelse i artikel 13, stk. 2, herunder om gratis konti udgør salg og hvornår nyhedsbreve er lignende produkter. Vigtige compliance-implikationer.