GDPR 2026: transparens

EDPB sin koordinerte håndheving i 2026 peker på transparens og informasjonsplikter (Art. 12–14) som neste store tilsynstema. Erfaringen fra tidligere år (DPO-uavhengighet, Art. 38) viser at tilsynene får stillskrevne gebyrer på 1–10 MNOK der virksomhetene ikke kan dokumentere hva de faktisk gjør. Denne siden gir en operasjonell sjekkliste koblet til konkrete ketl- kapabiliteter — audit-trail, explainability og @ketl/mcp-gdpr.

blokkerende krav

Totalt antall punkt

Punkt dekket av ketl-produkter

12 / 16

EDPB Coordinated Enforcement Framework 2026

EDPB velger hvert år ett tema der tilsynsmyndigheter i EU/EØS samkjører tilsyn. For 2026 er det transparens og informasjonsplikter (Art. 12–14). Tidligere tema har utløst store gebyrer — som Telenor-saken (DPO-uavhengighet, Art. 38) i 2024.

Kilde: RPC Data Protection Snapshot Vinter 2025

Hvordan ketl adresserer transparens-kravet

Audit-trail som grunnfjell

Art. 13/14 krever at du kan svare på *hvor data kommer fra, hvem som har sett det, når det ble brukt, og hvorfor*.

Audit-trail med signerte block-hash og per-tenant isolasjon gir den bevisførselen tilsynet ber om, uten ad-hoc-sporing.

Les om audit-trail-modellen

Explainability for automatiserte beslutninger

Art. 13(2)(f) krever at registrerte får meningsfull info om logikken bak automatiserte beslutninger.

Ketl genererer per-beslutning-forklaring som kan vises til registrert uten å eksponere modell-interne detaljer.

Les om explainability-design

@ketl/mcp-gdpr

MCP-server som lar agenter svare på registrerte sine rettighetsforespørsler programmatisk.

Eksponerer gdpr.oversikt.for_subject og gdpr.behandlingsgrunnlag.sok med audit-trail-logging per kall.

Se MCP-pakkekatalog

Event-drevet review

Art. 12 sin én-måneds-SLA kontrolleres via hendelse-drevet eskalering, ikke manuell kalenderen.

Når forespørsel registreres starter en tidsklokke med eskaleringspunkter før fristen, automatisk loggført i revisjonsspor.

Les om event-driven review

Transparens-sjekkliste

Hver release-/compliance-runde passeres opp mot denne lista. Sannhetsversjon: src/lib/gdpr-transparency.ts. Hvert punkt er tagget med produkt-hook slik at dokumentasjon og produkt-kapabilitet holdes i lås.

Art. 12 — Modalitet og tilgjengelighet

Klart og forståelig språk

klart-og-forstaaelig-spraak

Blokkerende

Informasjon til registrerte skal være kortfattet, transparent, forståelig og lett tilgjengelig — særlig overfor barn. Juridisk fyllmasse og generiske klausuler tilfredsstiller ikke kravet.

Handling

Revider personvernerklæring med Flesch/LIX-sjekk og ikoner for de viktigste punktene.

Produkt-hook:Manuell/policy

Svar på rettighetsforespørsler innen én måned

respons-innen-en-maaned

Blokkerende

Behandlingsansvarlig skal svare på Art. 15–22-forespørsler (innsyn, retting, sletting mv.) innen én måned, med mulighet for to måneders forlengelse hvis kompleksitet krever det.

Handling

Registrer SLA-klokke ved inngående forespørsel; eskaler før 3-ukers merke.

Produkt-hook:Event-driven review

Identitetskontroll uten uforholdsmessig byrde

identitetskontroll-uten-uforholdsmessig-byrde

Anbefalt

Det er lov å be om dokumentasjon for å verifisere identitet, men det må stå i forhold til forespørselens karakter. Kopier av pass for en enkel innsynsforespørsel er ikke proporsjonalt.

Handling

Dokumenter identitetskontrollpolicy med avtrapping per forespørselstype.

Produkt-hook:Manuell/policy

Transparens-API for registrerte (MCP-kompatibel)

mcp-transparens-tool

Anbefalt

Tilby registrerte et programmatisk grensesnitt (MCP-tool) for å få oversikt over egne data, behandlinger og kilder. Senker SLA-risiko og dokumenterer modalitetskravet i Art. 12.

Handling

Eksponér `gdpr.oversikt.for_subject` via @ketl/mcp-gdpr; logg bruk i audit-trail.

Produkt-hook:@ketl/mcp-gdpr

Art. 13 — Informasjon ved direkte innsamling

Identitet og kontaktinfo behandlingsansvarlig + DPO

identitet-behandlingsansvarlig

Blokkerende

Ved direkte innsamling skal virksomhetens navn, kontaktinfo, DPO-kontakt og eventuell representant i EU oppgis.

Handling

Publiser DPO-kontakt i personvernerklæring og som strukturert meta i footer.

Produkt-hook:Manuell/policy

Formål og rettslig grunnlag for hver behandling

formaal-og-rettslig-grunnlag

Blokkerende

Hver behandlingsaktivitet skal ha eksplisitt formål + hvilket rettslig grunnlag fra Art. 6/9 som ligger til grunn. Generiske beskrivelser ('forretningsformål') godtas ikke.

Handling

Vedlikehold behandlingsprotokoll (Art. 30) koblet til audit-trail per hendelse.

Produkt-hook:Audit-trail

Dokumentert interesseavveining ved Art. 6(1)(f)

berettiget-interesse-test

Blokkerende

Brukes berettiget interesse som grunnlag, skal interesseavveining dokumenteres og de konkrete interessene oppgis til registrerte (LIA).

Handling

Registrer LIA-dokument per aktivitet, link til relevant audit-trail-post.

Produkt-hook:Explainability

Mottakere eller kategorier av mottakere

mottakere-og-kategorier

Blokkerende

Liste over konkrete mottakere eller minst kategorier (databehandlere, underleverandører, myndigheter). Navngi de viktigste underleverandørene.

Handling

Hold databehandleroversikt synkron med audit-trail-eksport per tenant.

Produkt-hook:Audit-trail

Tredjelandsoverføring med grunnlag

tredjelandsoverfoering

Blokkerende

Overføres data utenfor EØS skal det oppgis hvilket land, hvilket overføringsgrunnlag (adekvansbeslutning, SCC, BCR) og hvordan registrerte kan få kopi av sikkerhetstiltakene.

Handling

Tag overføringer med grunnlag i DPIA + eksponer i personvernerklæring.

Produkt-hook:Audit-trail

Lagringstid eller kriterier for lagringstid

lagringstid

Blokkerende

Hvor lenge hvert datasett beholdes (konkret periode) eller hvilke kriterier som brukes. 'Så lenge nødvendig' alene er ikke tilstrekkelig.

Handling

Dokumenter retention per behandlingsaktivitet, automatisert sletting loggført.

Produkt-hook:Audit-trail

Rettigheter + klageadgang til Datatilsynet

rettigheter-og-klageadgang

Blokkerende

Oppgi Art. 15–22-rettigheter, rett til å trekke samtykke, og adgang til å klage til Datatilsynet (med URL/kontaktinfo).

Handling

Standardmal i personvernerklæring; jevnlig review.

Produkt-hook:Manuell/policy

Automatiserte beslutninger inkl. profilering

automatiserte-beslutninger

Blokkerende

Ved Art. 22-situasjoner: fortell at det skjer automatisert behandling, gi meningsfull informasjon om logikken, samt betydningen og konsekvensene. AI Act Art. 86 styrker dette kravet fra 2026.

Handling

Generer per-beslutning-forklaring via explainability-modul; logg visning til registrert.

Produkt-hook:Explainability

Versjonert endringslogg for personvernerklæring

endringslogg-personvernerklaering

Anbefalt

Hver vesentlig endring skal logges med dato, tidligere versjon og begrunnelse. EDPB påpeker at stillferdig oppdatering uten varsling svekker transparens.

Handling

Lagre personvernerklæring som dokument i ketl record med versjon + diff.

Produkt-hook:Audit-trail

Art. 14 — Informasjon ved indirekte innsamling

Kilden til personopplysningene

kilde-til-data

Blokkerende

Når data ikke er samlet inn fra den registrerte selv, skal kilden opplyses — inkl. om den er offentlig tilgjengelig. Scraping/broker-data krever eksplisitt kilde-angivelse.

Handling

Tag hver innsamlingsoperasjon med kildesystem + provenance.

Produkt-hook:Audit-trail

Informer innen én måned etter innhenting

informere-innen-maanedsfrist

Blokkerende

Informasjonen skal gis senest innen én måned, eller ved første kommunikasjon med registrerte. Ventes lenger, må spesifikke unntak (Art. 14(5)) dokumenteres.

Handling

Trig notifikasjon ved første hendelse som involverer ny datasubjekt.

Produkt-hook:Event-driven review

Hvilke kategorier av opplysninger som behandles

kategorier-av-opplysninger

Anbefalt

Ved indirekte innsamling skal kategoriene av opplysninger (ikke bare formål) oppgis: identifikatorer, demografiske data, atferdsdata, særlige kategorier osv.

Handling

Mapping av skjema-felt til kategori-taksonomi; vis i personvernerklæring.

Produkt-hook:Audit-trail

Kilder

GDPR transparency and information obligations face renewed focus in 2026

RPC Legal

Les

EDPB Coordinated Enforcement Framework

EDPB

Les

Datatilsynet — Informasjonsplikt

Datatilsynet

Les

Tilknyttet arbeid

Tidligere EDPB-fokus (DPO-uavhengighet, Art. 38) er analysert i Telenor-lærdommen.

Full oversikt over norske GDPR-gebyrer finner du i Datatilsynet-databasen.

Kronologi + trendskift: Tidslinje over norske GDPR-gebyrer 2020–2026.

Hvordan ketl adresserer transparens-kravet

Audit-trail som grunnfjell

Art. 13/14 krever at du kan svare på *hvor data kommer fra, hvem som har sett det, når det ble brukt, og hvorfor*.

Audit-trail med signerte block-hash og per-tenant isolasjon gir den bevisførselen tilsynet ber om, uten ad-hoc-sporing.

Les om audit-trail-modellen

Explainability for automatiserte beslutninger

Art. 13(2)(f) krever at registrerte får meningsfull info om logikken bak automatiserte beslutninger.

Ketl genererer per-beslutning-forklaring som kan vises til registrert uten å eksponere modell-interne detaljer.

Les om explainability-design

@ketl/mcp-gdpr

MCP-server som lar agenter svare på registrerte sine rettighetsforespørsler programmatisk.

Eksponerer gdpr.oversikt.for_subject og gdpr.behandlingsgrunnlag.sok med audit-trail-logging per kall.

Se MCP-pakkekatalog

Event-drevet review

Art. 12 sin én-måneds-SLA kontrolleres via hendelse-drevet eskalering, ikke manuell kalenderen.

Når forespørsel registreres starter en tidsklokke med eskaleringspunkter før fristen, automatisk loggført i revisjonsspor.

Les om event-driven review

Transparens-sjekkliste

Art. 12 — Modalitet og tilgjengelighet

Klart og forståelig språk

klart-og-forstaaelig-spraak

Blokkerende

Informasjon til registrerte skal være kortfattet, transparent, forståelig og lett tilgjengelig — særlig overfor barn. Juridisk fyllmasse og generiske klausuler tilfredsstiller ikke kravet.

Handling

Revider personvernerklæring med Flesch/LIX-sjekk og ikoner for de viktigste punktene.

Produkt-hook:Manuell/policy

Svar på rettighetsforespørsler innen én måned

respons-innen-en-maaned

Blokkerende

Behandlingsansvarlig skal svare på Art. 15–22-forespørsler (innsyn, retting, sletting mv.) innen én måned, med mulighet for to måneders forlengelse hvis kompleksitet krever det.

Handling

Registrer SLA-klokke ved inngående forespørsel; eskaler før 3-ukers merke.

Produkt-hook:Event-driven review

Identitetskontroll uten uforholdsmessig byrde

identitetskontroll-uten-uforholdsmessig-byrde

Anbefalt

Det er lov å be om dokumentasjon for å verifisere identitet, men det må stå i forhold til forespørselens karakter. Kopier av pass for en enkel innsynsforespørsel er ikke proporsjonalt.

Handling

Dokumenter identitetskontrollpolicy med avtrapping per forespørselstype.

Produkt-hook:Manuell/policy

Transparens-API for registrerte (MCP-kompatibel)

mcp-transparens-tool

Anbefalt

Tilby registrerte et programmatisk grensesnitt (MCP-tool) for å få oversikt over egne data, behandlinger og kilder. Senker SLA-risiko og dokumenterer modalitetskravet i Art. 12.

Handling

Eksponér `gdpr.oversikt.for_subject` via @ketl/mcp-gdpr; logg bruk i audit-trail.

Produkt-hook:@ketl/mcp-gdpr

Art. 13 — Informasjon ved direkte innsamling

Identitet og kontaktinfo behandlingsansvarlig + DPO

identitet-behandlingsansvarlig

Blokkerende

Ved direkte innsamling skal virksomhetens navn, kontaktinfo, DPO-kontakt og eventuell representant i EU oppgis.

Handling

Publiser DPO-kontakt i personvernerklæring og som strukturert meta i footer.

Produkt-hook:Manuell/policy

Formål og rettslig grunnlag for hver behandling

formaal-og-rettslig-grunnlag

Blokkerende

Hver behandlingsaktivitet skal ha eksplisitt formål + hvilket rettslig grunnlag fra Art. 6/9 som ligger til grunn. Generiske beskrivelser ('forretningsformål') godtas ikke.

Handling

Vedlikehold behandlingsprotokoll (Art. 30) koblet til audit-trail per hendelse.

Produkt-hook:Audit-trail

Dokumentert interesseavveining ved Art. 6(1)(f)

berettiget-interesse-test

Blokkerende

Brukes berettiget interesse som grunnlag, skal interesseavveining dokumenteres og de konkrete interessene oppgis til registrerte (LIA).

Handling

Registrer LIA-dokument per aktivitet, link til relevant audit-trail-post.

Produkt-hook:Explainability

Mottakere eller kategorier av mottakere

mottakere-og-kategorier

Blokkerende

Liste over konkrete mottakere eller minst kategorier (databehandlere, underleverandører, myndigheter). Navngi de viktigste underleverandørene.

Handling

Hold databehandleroversikt synkron med audit-trail-eksport per tenant.

Produkt-hook:Audit-trail

Tredjelandsoverføring med grunnlag

tredjelandsoverfoering

Blokkerende

Overføres data utenfor EØS skal det oppgis hvilket land, hvilket overføringsgrunnlag (adekvansbeslutning, SCC, BCR) og hvordan registrerte kan få kopi av sikkerhetstiltakene.

Handling

Tag overføringer med grunnlag i DPIA + eksponer i personvernerklæring.

Produkt-hook:Audit-trail

Lagringstid eller kriterier for lagringstid

lagringstid

Blokkerende

Hvor lenge hvert datasett beholdes (konkret periode) eller hvilke kriterier som brukes. 'Så lenge nødvendig' alene er ikke tilstrekkelig.

Handling

Dokumenter retention per behandlingsaktivitet, automatisert sletting loggført.

Produkt-hook:Audit-trail

Rettigheter + klageadgang til Datatilsynet

rettigheter-og-klageadgang

Blokkerende

Oppgi Art. 15–22-rettigheter, rett til å trekke samtykke, og adgang til å klage til Datatilsynet (med URL/kontaktinfo).

Handling

Standardmal i personvernerklæring; jevnlig review.

Produkt-hook:Manuell/policy

Automatiserte beslutninger inkl. profilering

automatiserte-beslutninger

Blokkerende

Ved Art. 22-situasjoner: fortell at det skjer automatisert behandling, gi meningsfull informasjon om logikken, samt betydningen og konsekvensene. AI Act Art. 86 styrker dette kravet fra 2026.

Handling

Generer per-beslutning-forklaring via explainability-modul; logg visning til registrert.

Produkt-hook:Explainability

Versjonert endringslogg for personvernerklæring

endringslogg-personvernerklaering

Anbefalt

Hver vesentlig endring skal logges med dato, tidligere versjon og begrunnelse. EDPB påpeker at stillferdig oppdatering uten varsling svekker transparens.

Handling

Lagre personvernerklæring som dokument i ketl record med versjon + diff.

Produkt-hook:Audit-trail

Art. 14 — Informasjon ved indirekte innsamling

Kilden til personopplysningene

kilde-til-data

Blokkerende

Når data ikke er samlet inn fra den registrerte selv, skal kilden opplyses — inkl. om den er offentlig tilgjengelig. Scraping/broker-data krever eksplisitt kilde-angivelse.

Handling

Tag hver innsamlingsoperasjon med kildesystem + provenance.

Produkt-hook:Audit-trail

Informer innen én måned etter innhenting

informere-innen-maanedsfrist

Blokkerende

Informasjonen skal gis senest innen én måned, eller ved første kommunikasjon med registrerte. Ventes lenger, må spesifikke unntak (Art. 14(5)) dokumenteres.

Handling

Trig notifikasjon ved første hendelse som involverer ny datasubjekt.

Produkt-hook:Event-driven review

Hvilke kategorier av opplysninger som behandles

kategorier-av-opplysninger

Anbefalt

Ved indirekte innsamling skal kategoriene av opplysninger (ikke bare formål) oppgis: identifikatorer, demografiske data, atferdsdata, særlige kategorier osv.

Handling

Mapping av skjema-felt til kategori-taksonomi; vis i personvernerklæring.

Produkt-hook:Audit-trail