Dataoverføring er ikke bare eksport av filer. Det kan være fjernsupport, analyseverktøy, underleverandører, KI-trening, API-er eller cookies. Derfor må virksomheten koble juridisk grunnlag, teknisk arkitektur, leverandørkontroll og dokumentasjon.
Sammenligning
| Regelverk | Hva som flytter seg | Hva må avklares | Typisk feil |
|---|---|---|---|
| GDPRTredjelandsoverføring | Personopplysninger ut av EØS eller til aktører som kan få tilgang fra tredjeland | Overføringsgrunnlag, SCC, supplerende tiltak, databehandleravtale, protokoll og behandlingsgrunnlag | Signere SCC uten å vurdere faktisk tilgang, underleverandører og tredjelandslovgivning |
| EkomlovenCookies og sporing | Informasjon fra brukerens utstyr til analyse-, markedsførings- eller sporingstjenester | Om teknologien er nødvendig, om samtykke kreves, hvem mottakerne er og om videre GDPR-behandling skjer | Sette tredjepartsverktøy før samtykke eller uten å forstå hvilken datadeling verktøyet skaper |
| DORAIKT-tjenesteavtaler | Finansforetakets data, systemtilgang og kritiske funksjoner via IKT-leverandører | Kontraktskrav, informasjonsregister, revisjonsrett, exit, lokasjon, underleverandører og konsentrasjonsrisiko | Behandle skyleverandøren som innkjøp, ikke som en del av IKT-risikostyringen |
| NIS2 / digitalsikkerhetslovenForsyningskjeder | Tjenester, data, fjernaksess og digitale avhengigheter i samfunnsviktige og digitale tjenester | Leverandørkjede, sikkerhetstiltak, beredskap, representantkrav og varslingsansvar | Kartlegge primærleverandøren, men ikke kritiske underleverandører og fjernaksess |
| AI ActData i KI-systemer | Treningsdata, valideringsdata, bruksdata, logger og teknisk dokumentasjon | Datastyring, rolle i KI-verdikjeden, dokumentasjon, transparens og forholdet til GDPR | Vurdere modellen teknisk uten å forstå hvor data kommer fra, hvordan den brukes og hvem som får tilgang |
| SikkerhetslovenSkjermingsverdig informasjon | Informasjon, systemtilgang eller leveranser som kan berøre nasjonale sikkerhetsinteresser | Gradering, autorisasjon, leverandørklarering, sikkerhetsgradert anskaffelse og forsvarlig sikkerhetsnivå | Bruke ordinær leverandør- eller skyprosess på informasjon som krever særskilt sikkerhetsstyring |
Kartlegg flyten før avtalen
Tegn dataflyten før dere velger kontraktstekst. Vis hvilke data som behandles, hvor de lagres, hvem som kan få tilgang, hvilke underleverandører som brukes, og hva som skjer ved support, logging, analyse og feilretting.
Når flyten er tydelig, blir vurderingene mer presise: behandlingsgrunnlag, overføringsgrunnlag, cookie-samtykke, leverandørkrav, sikkerhetstiltak og dokumentasjon kan kobles til faktiske systemer.
Tre feil som går igjen
Tilgang vurderes ikke som overføring
Remote support, administratortilgang og underleverandører kan være like relevante som lagringssted.
Cookie-banneret dekker ikke resten av behandlingen
Samtykke til cookies løser ikke behandlingsgrunnlag, mottakere, tredjelandsoverføring eller databehandleravtaler.
KI-data behandles som en teknisk detalj
Data til KI-systemer må vurderes som del av rolleavklaring, datastyring, dokumentasjon og personvern.
Relaterte oppslag i ordlisten
Status per 16. juni 2026: GDPR, ekomloven, DORA, digitalsikkerhetsloven/-forskriften og sikkerhetsloven gjelder i Norge for virksomheter som omfattes. AI Act og NIS2 er fortsatt ikke fullt gjennomført i norsk rett, men dataflyt, leverandørtilgang og dokumentasjon bør forberedes mot de kjente kravene.