Europaudvalget 2022-23 (2. samling)
Rådsmøde 3917 - transport, tele og energi Bilag 2
Offentligt
2638316_0001.png
NOTAT TIL FOLKETINGETS EUROPAUDVALG
17. november 2022
Rådsmøde (transport, telekommunikation, energi) den
5.-6. december 2022
Indhold
Europa-Kommissionens forslag til Europa-Parlamentet og Rådets
forordning om harmoniserede regler for kunstig intelligens og
ændring af visse af Unionens lovgivningsmæssige retsakter (kunstig
intelligens forordningen) KOM (2021) 206 ............................................... 2
EUROPA-PARLAMENTETS OG RÅDETS FORORDNING om
harmoniserede regler om fair adgang til og anvendelse af data
(dataforordningen) KOM (2022) 68 ........................................................ 39
Forslag til
EUROPA-PARLAMENTETS
OG RÅDETS
FORORDNING om horisontale cybersikkerhedskrav til produkter
med digitale elementer og om ændring af forordning (EU)
2019/1020, KOM (2022) 454 .................................................................. 71
Rådskonklusioner vedr. fremtidssikring af europæisk transport på
indre vandveje (NAIADES III) ................................................................ 93
 Rådsmøde nr. 3917 (transport, telekommunikation og energi) den 5.-6. december 2022 - Bilag 2: Samlenotat vedr. rådsmøde transport, tele og energi - tele 5-6/12-22
2638316_0002.png
17. november 2022
Europa-Kommissionens forslag til Europa-Parlamentet og Rådets
forordning om harmoniserede regler for kunstig intelligens og æn-
dring af visse af Unionens lovgivningsmæssige retsakter (kunstig in-
telligens forordningen) KOM (2021) 206
Notatet er en opdateret version af samlenotat af den 30. maj 2022. Ændrin-
ger er markeret med streg i venstre margin.
1.
Resumé
Formålet med dagsordenspunktet på rådsmødet er at opnå en generel ind-
stilling for forordningsforslaget om harmoniserede regler for kunstig intel-
ligens. Danmark kan bakke op om den generelle indstilling pga. udviklin-
gen i forhandlingerne ang. bl.a. indsnævring af definitionen af kunstig in-
telligens og klarlægning af højrisikoklassificeringen.
Europa-Kommissionen har den 21. april 2021 fremsat et forslag til forord-
ning om harmoniserede regler for kunstig intelligens og ændring af visse
af Unionens lovgivningsmæssige retsakter (KOM (2021) 206). Forordnin-
gen er den første af sin slags til at fastlægge en juridisk ramme specifikt for
kunstig intelligens.
Formålet er at sikre et velfungerende indre marked ved at etablere betin-
gelser for udvikling og anvendelse af lovlig, sikker og pålidelig kunstig in-
telligens i EU. De fælles regler skal samtidig sikre, at kunstig intelligens, i
EU respekterer eksisterende lovgivning, grundlæggende rettigheder samt
EU’s værdier. Samtidig skal reglerne bidrage til juridisk klarhed for at
fremme investeringer og innovationsevnen.
Forordningen følger en risikobaseret tilgang, hvor graden af forpligtelser
følger graden af risici, der er forbundet med den pågældende anvendelse
af et kunstig intelligens-system. Forordningen opdeler kunstig intelligens i
følgende risikokategorier: 1) Uacceptabel risiko, hvor der er direkte for-
bud af visse anvendelser, 2) højrisiko, hvor der er specifikke krav forbundet
med visse anvendelser, og hvor der påkræves forudgående overensstem-
melsesvurderinger samt efterfølgende markedsovervågning, 3) begrænset
risiko, hvor der er gennemsigtighedsforpligtelser tilknyttet visse anvendel-
ser af teknologien, samt 4) lav eller minimal risiko, hvor der ikke er speci-
fikke krav, men i stedet er mulighed for at udarbejde frivillige adfærdsko-
deks til blandt andet at fremme den frivillige efterlevelse af kravene under
højrisikokategorien.
Forvaltningen og håndhævelsen af forordningen skal hovedsageligt ske i
medlemslandene. I forlængelse heraf skal medlemslandene indføre regler
 Rådsmøde nr. 3917 (transport, telekommunikation og energi) den 5.-6. december 2022 - Bilag 2: Samlenotat vedr. rådsmøde transport, tele og energi - tele 5-6/12-22
3/37
om sanktioner ved overtrædelse af forordningen. Derudover nedsættes der
et europæisk udvalg for kunstig intelligens, der blandt andet skal bidrage
til et effektivt samarbejde på tværs af grænser og ensartet implementering.
Forordningen indeholder foranstaltninger til at fremme innovation. Blandt
andet fastsættes der en fælles ramme for implementering af regulerings-
mæssige sandkasser.
Forslaget forventes at have lovgivningsmæssige og væsentlige erhvervs-
økonomiske såvel som statsfinansielle konsekvenser. Regeringen er i gang
med at undersøge omfanget af de erhvervsøkonomiske og statsfinansielle
konsekvenser nærmere.
Regeringen støtter overordnet ambitionen om at skabe et velfungerende in-
dre marked for etisk, ansvarlig og sikker kunstig intelligens. Regeringen
anser kunstig intelligens som en af de afgørende teknologier til at under-
støtte
EU’s konkurrenceevne, velstand, grønne omstilling samt den offent-
lige forvaltning. Regeringen anerkender imidlertid, at anvendelsen af kun-
stig intelligens i visse situationer kan indebære en række alvorlige risici.
Regeringen støtter, at risiciene forbundet ved kunstig intelligens adresseres
i en europæisk lovgivningsramme.
Overordnet finder regeringen det vigtigt, at den europæiske lovgivnings-
ramme følger en risikobaseret, teknologineutral og proportionel tilgang,
hvor graden af forpligtelser følger graden af mulig skadevirkning. På den
baggrund er det nødvendigt med en klar og operationel lovgivningsramme,
der sikrer borgernes tillid og øger beskyttelsen i samfundet, uden at dette
unødigt hæmmer innovationsevnen eller forringer konkurrenceevnen. Det
er derfor centralt at finde den rette balance, hvor risici adresseres, samti-
dig med at teknologien kan udvikles og anvendes til gavn for samfundet
samt understøtte fremtidens arbejdspladser. Regeringen finder det centralt,
at centrale begreber i forslaget klarlægges og afgrænses, herunder defini-
tionen af kunstig intelligens samt at der opstilles klare kriterier for, hvilke
anvendelser der klassificeres som højrisiko kunstig intelligens. Desuden
finder regeringen det centralt, at forordningen ligger inden for rammerne
af eksisterende kompetencefordeling, herunder for så vidt angår national
sikkerhed, og tager højde for eksisterende lovgivning, herunder GDPR og
produktlovgivningen, hvor gevinsterne ved forslaget står mål med admini-
strative og økonomiske omkostninger for virksomheder. Samtidig vil rege-
ringen arbejde for et europæisk tilsyn til at håndtere sager af en vis stør-
relse eller grænseoverskridende karakter. Derudover fremhæver regerin-
gen vigtigheden af udformningen af frivillige adfærdskodeks, der kan blive
et konkurrenceparameter for danske og europæiske virksomheder og på
etableringen af initiativer, der kan fremme innovationskraften inden for
kunstig intelligens herunder effektive og fleksible rammer for regulatoriske
sandkasser.
 Rådsmøde nr. 3917 (transport, telekommunikation og energi) den 5.-6. december 2022 - Bilag 2: Samlenotat vedr. rådsmøde transport, tele og energi - tele 5-6/12-22
2638316_0004.png
4/37
Sagen forelægges til orientering.
2.
Baggrund
Europa-Kommissionen
(’Kommissionen’) har den 21. april 2021 fremlagt
et forslag til forordningen om harmoniserede regler for kunstig intelligens
og ændring af visse af Unionens lovgivningsmæssige retsakter (KOM
(2021) 206). Forslaget er oversendt til Rådet i dansk sprogversion den 7.
juni 2021.
Forslaget er en del af en kunstig intelligens pakke bestående af dette forslag
til en forordning, revision af den koordinerede plan for kunstig intelligens
samt forslag af revision af det eksisterende maskindirektiv.
Pakken kommer som opfølgning på Kommissionens hvidbog om kunstig
intelligens, der blev præsenteret den 19. februar 2019.
1
Baggrunden for
hvidbogen var Kommissionsformand von der Leyens annoncering af, at der
i løbet af de første 100 dage af Kommissionens mandatperiode skulle fast-
lægges en europæisk tilgang til kunstig intelligens, herunder dens konse-
kvenser for mennesker og etik.
Som opfølgning på hvidbogen vedtog det Europæiske Råd konklusioner i
oktober 2020, hvori der blev lagt vægt på, at EU bør være en global leder
inden for udviklingen af sikker, pålidelig og etisk kunstig intelligens. Sam-
tidig opfordrede det Europæiske Råd til, at Kommissionen fremlagde en
klar, objektiv definition af højrisiko systemer.
Forud for lanceringen af hvidbogen underskrev 24 medlemslande en mini-
stererklæring vedrørende samarbejde om kunstig intelligens i forbindelse
med Digital Day tilbage i 2018
2
, hvorpå Kommissionen som opfølgning
præsenterede en strategi for kunstig intelligens den 25. april 2018
3
. Denne
fokuserede både på socioøkonomiske aspekter samt en forøgelse af inve-
steringer i forskning, innovation og kapabiliteter inden for kunstig intelli-
gens. Som led i arbejdet etablerede Kommissionen en højniveauekspert-
gruppe for kunstig intelligens, der i april 2019 præsenterede sine etiske ret-
ningslinjer for pålidelig kunstig intelligens.
1
Kommissionens hvidbog om kunstig intelligens: ”En europæisk tilgang til ekspertise og tillid”
(KOM (2020) 65) fra den 19. februar 2020
2
https://ec.europa.eu/jrc/communities/en/node/1286/document/eu-declaration-cooperation-artifi-
cial-intelligence
3
Kommissionens
meddelelse ”Kunstig intelligens for Europa” (KOM (2018) 237) fra den 25. april
2018
 Rådsmøde nr. 3917 (transport, telekommunikation og energi) den 5.-6. december 2022 - Bilag 2: Samlenotat vedr. rådsmøde transport, tele og energi - tele 5-6/12-22
2638316_0005.png
5/37
Disse omfattede menneskelige aktiviteter og tilsyn udført af mennesker;
teknologisk robusthed og sikkerhed; privatlivets fred og datastyring; gen-
nemsigtighed, mangfoldighed, ikkediskrimination og retfærdighed; social
og miljømæssig velfærd; samt ansvarlighed. I tillæg hertil offentliggjorde
Kommissionen den 8. april 2019 meddelelsen ”Opbygning af tillid til men-
neskecentreret kunstig intelligens” (KOM (2019) 168), der havde til formål
at iværksætte en pilotfase med afprøvning af den praktiske anvendelse af
højniveauekspertgruppens etiske retningslinjer. Dette førte til en revision
af retningslinjerne på baggrund af modtagen feedback samt udformningen
af en konkret evalueringsliste for pålidelig kunstig intelligens.
3.
Formål og indhold
Formålet med dagsordenspunktet på rådsmødet er at opnå en generel ind-
stilling for forordningsforslaget. Danmark kan bakke op om den generelle
indstilling pga. udviklingen i forhandlingerne angående bl.a. indsnævring
af definitionen af kunstig intelligens og klarlægning af højrisikoklassifice-
ringen.
Forordningens overordnede formål er at sikre et velfungerende indre mar-
ked ved at etablere betingelserne for udvikling og anvendelse af lovlig, sik-
ker og pålidelig kunstig intelligens i EU.
Dette skal ske gennem fælles regler, der skal sikre, at kunstig intelligens,
der bringes i omsætning og anvendes i EU, er sikker og respekterer eksi-
sterende lovgivning, grundlæggende rettigheder samt EU’s værdier. Sam-
tidig skal reglerne også være med til at sikre juridisk klarhed for at fremme
investeringer og innovationsevnen samt muliggøre effektiv håndhævelse.
Afsnit I: Anvendelsesområde og definitioner (artikel 1-4)
Forordningen indfører harmoniserede regler for omsætning, ibrugtagning og
anvendelse af kunstig intelligens-systemer i EU.
Reglerne følger en risikobaseret tilgang, hvor graden af forpligtelser følger
graden af de risici, der er forbundet med den pågældende anvendelse af kun-
stig intelligens. Forordningen opdeler kunstig intelligens i følgende risikoka-
tegorier: Uacceptabel risiko, højrisiko, begrænset risiko samt lav eller mini-
mal risiko.
På den baggrund fastsætter forordningen regler for:
- Forbud mod anvendelser af kunstig intelligens, der udgør en uaccep-
tabel risiko.
- Specifikke krav for anvendelser af kunstig intelligens, der udgør en
høj risiko.
 Rådsmøde nr. 3917 (transport, telekommunikation og energi) den 5.-6. december 2022 - Bilag 2: Samlenotat vedr. rådsmøde transport, tele og energi - tele 5-6/12-22
2638316_0006.png
6/37
-
-
Gennemsigtighedsforpligtelser for anvendelsen af kunstig intelligens-
systemer, der udgør en begrænset risiko. Omfattede systemer af gen-
nemsigtighedsreglerne er beregnet til at interagere med personer, fø-
lelsesgenkendelsessystemer og biometriske kategoriseringssystemer,
samt systemer, der anvendes til at generere eller manipulere billede-,
lyd- eller videoindhold.
Regler om markedsovervågning
og tilsyn.
Forordningen definerer kunstig intelligens som software, der er udviklet ved
hjælp af en eller flere teknikker eller tilgange, eksempelvis maskinlæring eller
statistiske metoder, og der ud fra et sæt menneskeligt definerede mål kan ge-
nere output såsom indhold, forudsigelser, anbefalinger eller beslutninger, der
påvirker de miljøer, som de interagerer med.
For at fremtidssikre definitionen i forhold til fremtidig teknologisk og mar-
kedsmæssig udvikling har Kommissionen specificeret de førnævnte teknik-
ker og tilgange, der kan anvendes til at udvikle kunstig intelligens, i et bilag
til forordningen. Bilaget oplister en række konkrete kunstig intelligens-tek-
nikker, som forordningen omfatter. Det gælder maskinlæring, logiske og vi-
densbaserede tilgange samt statistiske metoder. Forslaget giver derudover
Kommissionen beføjelser til at ændre bilaget via delegerede retsakter.
De harmoniserede regler finder ikke anvendelse på kunstig intelligens, der er
udviklet eller udelukkende anvendes til militære formål, eller i forbindelse
med offentlige myndigheder i tredjelande eller internationale organisationers
brug af kunstig intelligens, hvis denne brug sker inden for rammerne af en
aftale om retshåndhævelse og retligt samarbejde med EU eller med en eller
flere medlemslande.
Afsnit II: Forbudt praksis med hensyn til kunstig intelligens (artikel 5)
Visse anvendelser af kunstig intelligens medfører uacceptable risici for sam-
fundet og individers rettigheder, da de anses for at
være i strid med EU’s vær-
dier, for eksempelvis ved at krænke grundlæggende rettigheder.
Forordningen fastlægger, at følgende former for anvendelse af kunstig intel-
ligens skal være forbudt:
- anvendelse af subliminale teknikker, dvs. teknikker der formidler et
budskab skjult, der rækker ud over den menneskelige bevidsthed og
har til hensigt i en væsentlig grad at ændre personens adfærd på en
måde, der forårsager eller sandsynligvis vil forårsage fysiske eller
psykisk skade.
- udnytte sårbarheder hos en specifik gruppe på baggrund af deres alder
eller handicap ved i en væsentlig grad at ændre adfærden hos en per-
son tilhørende denne gruppe på en måde, der forårsager eller sandsyn-
ligvis vil forårsage fysiske eller psykisk skade.
 Rådsmøde nr. 3917 (transport, telekommunikation og energi) den 5.-6. december 2022 - Bilag 2: Samlenotat vedr. rådsmøde transport, tele og energi - tele 5-6/12-22
2638316_0007.png
7/37
-
-
offentlige myndigheders - eller private virksomheders på vegne af of-
fentlige myndigheder - evaluering eller klassificering af troværdighe-
den af personer baseret på deres sociale adfærd, personlige egenska-
ber eller personlighedstræk, hvor den sociale bedømmelse vil lede til
en skadelig eller ugunstig behandling.
anvendelse af systemer til biometrisk fjernidentifikation i realtid i det
offentlige rum med henblik på retshåndhævelse.
Sidstnævnte kan dog anvendes til visse strengt nødvendige formål såsom ved
målrettet eftersøgning af specifikke potentielle ofre for kriminalitet, herunder
børn, samt forebyggelse af terrorangreb. Forordningen fastlægger en udtøm-
mende liste over de tilfælde, hvor biometrisk fjernidentifikation i realtid kan
anvendes i det offentlige rum. Anvendelsen kræver desuden en forudgående
tilladelse udstedt af en judiciel myndighed eller en uafhængighed administra-
tiv myndighed på baggrund af indført national lovgivning. Det står således
medlemslandene frit for, om de vil give mulighed for denne anvendelse, og
om de vil tillade alle tilfælde på den udtømmende liste eller kun et udsnit
heraf.
Grundet retsforbeholdet er Danmark ikke underlagt reglerne i artikel 5 ved-
rørende systemer til anvendelse for biometrisk fjernidentifikation i realtid.
Afsnittet III: Højrisiko kunstig intelligens-systemer (artikel 6-51)
Kapitel 1: Klassificering af højrisiko kunstig intelligens-systemer
Kapitel 1 klassificerer den anvendelse af kunstig intelligens, der anses for at
udgøre en høj risiko for samfundet og individers grundlæggende rettigheder.
Forordningen identificerer to hovedkategorier for anvendelse af kunstig intel-
ligens, der kan anses for at være højrisiko kunstig intelligens.
Den ene kategori omfatter kunstig intelligens, der er beregnet til at blive an-
vendt som en sikkerhedskomponent i et produkt eller i sig selv er et produkt
omfattet af harmoniseret EU-lovgivning anført i bilag 2, og der er forpligtet
til at gennemgå en tredjepartsoverensstemmelsesvurdering. Bilaget omfatter
retsakter baseret på den nye lovgivningsmæssige ramme, ”New Legislative
Framework” (NLF), der blandt andet omfatter maskiner, legetøj, elevatorer,
radioudstyr samt medicinsk udstyr. Derudover omfatter bilaget også retsak-
ter, der ikke er baseret på NLF, men derimod den gamle metode, såsom land-
brugskøretøjer, skibsudstyr, jernbanesystemet, civil luftfart og biler. Disse
retsakter omfattes også af højrisiko kategorien, men underlægges dog ikke
direkte kravene for højrisiko. Dette skyldes, at de pågældende retsakter, der
er baseret på den gamle metode, ikke indeholder mulighed for, at eksisterende
overensstemmelsesprocedurer deri kan omfatte yderligere krav. Det vil enten
kræve, at de pågældende retsakter genforhandles og tilpasses NLF, eller at
 Rådsmøde nr. 3917 (transport, telekommunikation og energi) den 5.-6. december 2022 - Bilag 2: Samlenotat vedr. rådsmøde transport, tele og energi - tele 5-6/12-22
2638316_0008.png
8/37
kravene indføres via fremtidige delegerede eller gennemførelsesretsakter un-
der disse retsakter. Kommissionen lægger op til, at tilpasningen i den kom-
mende tid sker via sidstnævnte.
Den anden kategori er selvstændige kunstig intelligens systemer
uaf-
hængige af et produkt
hvor Kommissionen vurderer, at systemers formål
udgør en høj risiko for menneskers sundhed og sikkerhed eller grundlæg-
gende rettigheder.
Den anden kategori er selvstændige kunstig intelligens systemer
uaf-
hængige af et produkt
hvor Kommissionen vurderer, at systemers formål
udgør en høj risiko for menneskers sundhed og sikkerhed eller grundlæg-
gende rettigheder. I vurderingen er der blandt andet taget højde for alvorlig-
heden af den mulige skade samt sandsynligheden for, at den mulige skade vil
udspille sig. Kommissionen har oplistet disse systemer i bilag 3, der omfatter
otte overordnede områder med dertilhørende specificerede anvendelser:
1. Biometrisk identifikation og kategorisering af fysiske personer
Systemer beregnet til biometrisk fjernidentifikation i realtid
af personer.
2. Forvaltning og drift af kritisk infrastruktur
Systemer beregnet som sikkerhedskomponenter i forvalt-
ning og drift af blandt andet forsyning af vand, gas, varme
og elektricitet.
3. Uddannelse og erhvervsuddannelse
Systemer beregnet til at fastslå personers adgang til eller
fordeling på uddannelsesinstitutioner, at evaluere stude-
rende eller at vurdere deltagere i test, der normalt kræves for
at få adgang til uddannelsesinstitutioner.
4. Beskæftigelse, forvaltning af arbejdstagere og adgang til selvstæn-
dig beskæftigelse
Systemer beregnet til rekruttering eller udvælgelse af kan-
didater eller beregnet til at træffe beslutninger om forfrem-
melse og afskedigelse, opgavefordeling samt til overvåg-
ning og evaluering af personers præstation og adfærd i ar-
bejdsrelaterede kontraktforhold.
5. Adgang til og benyttelse af væsentlige private tjenester og offent-
lige tjenester og fordele
Systemer beregnet til at blive anvendt af eller på vegne af
offentlige myndigheder til at vurdere personers berettigelse
til offentlige sociale ydelser og tjenester samt at tildele, re-
ducere, annullere eller tilbagekalde sådanne ydelser og tje-
nester.
 Rådsmøde nr. 3917 (transport, telekommunikation og energi) den 5.-6. december 2022 - Bilag 2: Samlenotat vedr. rådsmøde transport, tele og energi - tele 5-6/12-22
2638316_0009.png
9/37
Systemer beregnet til at foretage kreditvurderinger af perso-
ner eller at fastslå deres kreditværdighed, med undtagelse af
systemer der tages i brug af mindre udbydere til eget brug.
Systemer beregnet til at sende eller at prioritere i udsendel-
sen af beredskabstjenester i nødsituationer, herunder brand-
slukning og lægehjælp.
6. Retshåndhævelse
Systemer beregnet til at blive anvendt af retshåndhævende
myndigheder med henblik på at foretage individuelle risiko-
vurderinger af personer for at vurdere risikoen for lovover-
trædelser, at anvende som polygrafer eller lignende værktø-
jer til at påvise en persons følelsesmæssige tilstand, at finde
deep fakes, at vurdere pålideligheden af bevismateriale, at
forudsige strafbare handlinger baseret på profilering, at pro-
filere samt at anvende til kriminalitetsanalyse vedrørende
personer.
7. Migrationsstyring, asylforvaltning og grænsekontrol
Systemer beregnet til at blive anvendt af kompetente offent-
lige myndigheder med henblik på at anvende som polygra-
fer eller lignende værktøjer til at påvise en persons følelses-
mæssige tilstand samt at vurdere en risiko, herunder en sik-
kerhedsrisiko, en risiko for irregulær indvandring eller en
sundhedsrisiko som udgøres af en person, der har til hensigt
at komme ind eller er indrejst i et medlemsland.
Systemer beregnet til offentlige myndigheder til at kontrol-
lere ægtheden af rejsedokumenter.
Systemer beregnet til at hjælpe offentlige myndigheder med
behandlingen af ansøgninger om asyl, visum og opholdstil-
ladelse og tilhørende klager.
8. Retspleje og demokratiske processer
Systemer beregnet til at hjælpe retlige myndigheder med
blandt andet at undersøge og fortolke fakta og lovgivning.
Forslaget giver Kommissionen beføjelser til at ændre bilag 3 via en delegeret
retsakt, hvor Kommissionen kan tilføje anvendelser af kunstig intelligens, der
falder under et af de otte områder, og der udgør en risiko for sundhed, sikker-
hed eller de grundlæggende rettigheder. I vurderingen heraf skal Kommissi-
onen tage højde for en række kriterier, herunder det potentielle omfang af den
mulige skade, hvorvidt mennesker er afhængige af systemets resultat, samt
hvor nemt det er at omgøre resultatet af systemet.
Selvom et system klassificeres som højrisiko i forordningen, betyder det ikke,
at anvendelsen af systemet er lovlig under andre EU-retsakter eller national
lovgivning. De eksisterende krav i den sammenhæng vil således stadig finde
anvendelse.
 Rådsmøde nr. 3917 (transport, telekommunikation og energi) den 5.-6. december 2022 - Bilag 2: Samlenotat vedr. rådsmøde transport, tele og energi - tele 5-6/12-22
10/37
Kapitel 2: Kravene for højrisikosystemer
Systemer, der er kategoriseret som et højrisikosystem, pålægges en række
forpligtelser. Det omfatter etableringen af et risikostyringssystem, der blandt
andet skal identificere risici tilknyttet systemet samt indføre passende risiko-
styringsforanstaltninger til at adressere de pågældende risici.
Ud over risikostyringssystemet skal højrisiko kunstig intelligens desuden ef-
terleve krav inden for:
-
data og datastyring:
Såfremt systemer involverer træning af modeller
med data, skal de pågældende datasæt efterleve en række kvalitetskri-
terier, herunder blandt andet for passende datastyring- og dataforvalt-
ningspraksis samt at datasæt skal være relevante, repræsentative, fejl-
fri og fuldstændige.
-
teknisk dokumentation:
Der skal udarbejdes teknisk dokumentation,
der skal demonstrere efterlevelse af højrisiko kravene samt give nati-
onale kompetente myndigheder og bemyndigede organer den nød-
vendig information til at vurdere overholdelsen af kravene. Bilag 4
indeholder de elementer, som den tekniske dokumentation som mini-
mum skal omfatte. Det omfatter blandt andet en detaljeret beskrivelse
af systemets elementer og processen for udviklingen, oplysninger om
systemets funktion, overvågning og kontrol af systemet, en kopi af
EU-overensstemmelseserklæringen samt en detaljeret beskrivelse af
proceduren, der er på plads for at evaluere systemets ydeevne, efter
det er kommet på markedet. Kommissionen får beføjelser til at ændre
bilag 4 gennem delegerede retsakter.
registrering:
Systemer skal udformes og udvikles, således at der fore-
tages automatisk registrering af systemets handlinger, dvs. logfunkti-
oner, når det er i drift. Dette skal blandt andet muliggøre overvågning
af driften af systemet samt sikre en passende grad af sporbarhed gen-
nem hele systemets livscyklus.
gennemsigtighed og formidling af oplysninger til brugere:
Systemer
skal udformes og udvikles, således at det sikres, at driften heraf er
tilstrækkelig gennemsigtig til, at brugeren kan fortolke systemets out-
put og anvende det korrekt. Samtidig skal systemet ledsages af en
brugsanvisning i et passende digitalt format eller på anden vis, der
blandt andet skal omfatte udbyderens kontaktoplysninger samt oplys-
ninger om systemets egenskaber, kapaciteter, begrænsninger, foran-
staltninger til menneskeligt tilsyn og forventede levetid.
menneskeligt tilsyn:
Systemer skal udformes og udvikles, således at
de effektivt kan overvåges af personer i den periode, hvor systemet
-
-
-
 Rådsmøde nr. 3917 (transport, telekommunikation og energi) den 5.-6. december 2022 - Bilag 2: Samlenotat vedr. rådsmøde transport, tele og energi - tele 5-6/12-22
11/37
anvendes. Dette skal enten sikres ved, at menneskeligt tilsyn indbyg-
ges direkte i systemet eller ved at menneskeligt tilsyn implementeres
af brugeren. Det skal muliggøre, at de personer, der har ansvar for det
menneskelige tilsyn, blandt andet er i stand til at forstå systemets ka-
paciteter og begrænsninger, at være opmærksom på den mulige ten-
dens til automatisk at stole på systemet eller at gribe ind i driften af
systemet og afbryde, hvis nødvendigt.
-
nøjagtighed, robusthed og cybersikkerhed:
Systemer skal udformes
og udvikles, således at de i lyset af deres tilsigtede formål opnår et
passende niveau af nøjagtighed, robusthed og cybersikkerhed. Nøjag-
tighedsniveauet skal fremgå af den medfølgende brugsanvisning. Ro-
bustheden kan opnås gennem tekniske løsninger såsom backupplaner.
Cybersikkerhed skal sikre, at systemet er modstandsdygtigt med hen-
syn til at afværge en uautoriseret tredjeparts forsøg på at udnytte sy-
stemets sårbarheder. Dette kan omfatte tekniske løsninger, der blandt
andet omfatter tiltag til at forhindre eller kontrollere for angreb.
Det er tanken med de ovenstående principbaserede krav, at den konkrete tek-
niske løsning enten kan leveres via harmoniserede standarder, fælles specifi-
kationer eller udvikles på baggrund af udbydernes tekniske eller videnskabe-
lig viden.
Kapitel 3: Forpligtelser for udbydere og brugere af højrisiko systemer og an-
dre parter
Kapitlet fastlægger forpligtelser for de forskellige aktører afhængig af deres
placering i værdikæden:
-
udbydere
pålægges blandt andet at sikre overensstemmelse med højri-
siko kravene, at etablere et kvalitetsstyringssystem, at udarbejde den
tekniske dokumentation, at samarbejde med den kompetente myndig-
hed, at gennemgå den relevante overensstemmelsesvurdering samt at
CE-mærke systemet.
-
importører
og
distributører
pålægges blandt andet at sikre, at den re-
levante overensstemmelsesvurdering er udført af udbyderen, at syste-
met er forsynet med CE-mærkning samt ledsaget af påkrævet doku-
mentation og brugsanvisning.
-
brugere
pålægges blandt andet at sikre, at anvendelsen af systemet
sker i overensstemmelse med den medfølgende brugsanvisning, at
overvåge driften af systemet med henblik på mulige risici samt at un-
derrette udbydere eller distributører om alvorlige hændelser eller
funktionsfejl.
 Rådsmøde nr. 3917 (transport, telekommunikation og energi) den 5.-6. december 2022 - Bilag 2: Samlenotat vedr. rådsmøde transport, tele og energi - tele 5-6/12-22
12/37
Såfremt en distributør, importør, bruger eller anden part under eget navn eller
varemærke bringer et højrisiko kunstig intelligens-system i omsætning eller
tager det i brug, eller såfremt de ændrer den påtænkte anvendelse eller fore-
tager en væsentlig ændring af systemet, får de status som en udbyder og
bliver
deraf underlagt disse forpligtelser.
Kapitel 4-5: Proceduren for overensstemmelsesvurdering
Forordningen fastlægger, at efterlevelsen af højrisiko kravene skal kontrolle-
res via forudgående overensstemmelsesvurderinger. Dog formodes systemet
at være i overensstemmelse med kravene, såfremt der er anvendt harmonise-
rede standarder eller fælles specifikationer, hvoraf sidstnævnt er vedtaget af
Kommissionen via gennemførelsesretsakter.
De pågældende procedurer for overensstemmelsesvurderinger er forskellige,
afhængigt af hvorvidt der er tale om kunstig intelligens, der er selvstændige
systemer (punkt 2-8 i bilag 3), biometrisk identifikation og kategorisering af
personer (punkt 1 i bilag 3) eller indlejret i et produkt (bilag 2).
Ved de selvstændige systemer omfattet af punkt 2-8 i bilag 3 skal overens-
stemmelsesvurderingen basere sig på intern kontrol, der ikke kræver inddra-
gelsen af en tredjepart, dvs. et bemyndiget organ. Proceduren herfor er fast-
lagt i bilag 6 og påkræver blandt andet, at udbyderen kontrollerer, at det etab-
lerede kvalitetssyringssystem er i overensstemmelse med kravene; at udby-
deren undersøger oplysninger i den tekniske dokumentation for at vurdere,
om systemet er i overensstemmelses med de relevante højrisiko krav; samt at
udbyderen kontrollerer, at systemet og dets overvågning efter omsætning er i
overensstemmelse med den tekniske dokumentation. Derudover skal udby-
dere af selvstændige systemer også registrere systemet i en offentlig tilgæn-
gelig EU-database, der etableres i forbindelse med forordningen samt vareta-
ges og vedligeholdes af Kommissionen.
Ved biometrisk identifikation og kategorisering af personer omfattet af punkt
1 i bilag 3 kan udbyderne basere overensstemmelsesvurderingen på intern
kontrol eller gå via overensstemmelsesvurdering gennem tredjepartskontrol,
der blandt andet skal kontrollere kvalitetsstyringssystemet samt den tekniske
dokumentation. Proceduren for tredjepartsoverensstemmelsesvurdering er
fastlagt i bilag 7. Intern kontrol er dog kun muligt, såfremt udbyderen har
anvendt harmoniserede standarder eller fælles specifikationer.
Forslaget giver Kommissionen beføjelser til at ændre bilag 6 og 7 via delege-
rede retsakter.
Ved de indlejrede systemer i produkter, der er omfattet af den harmoniserede
EU-lovgivning
baseret på ”NLF” i bilag 2, skal den eksisterende overens-
stemmelsesvurdering under den pågældende sektorretsakt gøre sig gældende,
 Rådsmøde nr. 3917 (transport, telekommunikation og energi) den 5.-6. december 2022 - Bilag 2: Samlenotat vedr. rådsmøde transport, tele og energi - tele 5-6/12-22
2638316_0013.png
13/37
hvor der også tages højde for højrisiko kravene samt den tekniske dokumen-
tation herom. Såfremt sektorretsakternes overensstemmelsesvurderinger gi-
ver mulighed for anvendelsen af harmoniserede standarder eller fælles speci-
fikationer, der dækker kravene, kan udbyderne fravælge en tredjepartsover-
ensstemmelsesvurdering.
Såfremt der foretages en væsentlig ændring af systemet, kræver det, at syste-
met gennemgår en ny overensstemmelsesvurdering. Væsentlige ændringer
omfatter imidlertid ikke ændringer, der er fastlagt på forhånd ved den indle-
dende overensstemmelsesvurdering samt indgår i den tekniske dokumenta-
tion.
Udbyderne er pålagt at opbevare dokumentation, herunder den tekniske do-
kumentation, dokumenter i forbindelse med overensstemmelsesvurderingen
samt EU-overensstemmelseserklæringen i en periode på 10 år til rådighed for
de nationale kompetente myndigheder.
I tilfælde af ekstraordinære situationer i forhold til beskyttelse af offentlig
sikkerhed, menneskers liv og sundhed, miljø eller centrale industrielle samt
infrastrukturmæssige aktiver kan markedsovervågningsmyndighederne til-
lade, at specifikke højrisiko systemer bringes i omsætning eller tages i brug
uden en overensstemmelsesvurdering, såfremt tilladelsen gælder for en be-
grænset periode, mens de nødvendige overensstemmelsesvurderinger gen-
nemføres, og såfremt myndigheden konkluderer, at højrisiko kravene over-
holdes. Dette skal underrettes til både Kommissionen og de øvrige medlems-
lande, der får mulighed for at gøre indsigelse.
Afsnit IV: Gennemsigtighedsforpligtelser for visse systemer (artikel 52)
For visse anvendelser af kunstig intelligens pålægges
der
gennemsigtigheds-
forpligtelser:
- Ved systemer, der er beregnet til at interagere med personer, skal per-
soner informeres om denne interaktion, medmindre dette er indly-
sende ud fra omstændighederne og anvendelsessammenhængen.
- Ved systemer, der er beregnet til at genkende følelser eller biometrisk
kategorisering, skal personer informeres om deres eksponering for så-
danne systemer.
- Ved systemer, der er beregnet til at generere eller manipulere billede-
, lyd- eller videoindhold, der i væsentlig grad ligner blandt andet fak-
tiske personer eller genstande, og der fejlagtigt vil fremstå ægte, ek-
sempelvis deep fakes, skal der informeres om, at indholdet er genere-
ret på kunstig vis eller er manipuleret.
Kravene er dog undtaget i forbindelse med systemer, der er tilladt ved lov
med henblik på retshåndhævelse. Ved sidstnævnte anvendelse er kravet der-
 Rådsmøde nr. 3917 (transport, telekommunikation og energi) den 5.-6. december 2022 - Bilag 2: Samlenotat vedr. rådsmøde transport, tele og energi - tele 5-6/12-22
2638316_0014.png
14/37
udover heller ikke gældende, hvis anvendelsen er nødvendig for at udøve ret-
ten til ytringsfrihed eller retten til kunst og videnskab, der er sikret ved Den
Europæiske Unions charter om grundlæggende rettigheder.
Afsnit V: Foranstaltninger til støtte for innovation (artikel 53-55)
Forordningen fastsætter fælles regler for oprettelsen af reguleringsmæssige
sandkasser inden for kunstig intelligens samt samarbejde mellem relevante
myndigheder. Sandkasserne kan etableres af et eller flere medlemslandes
kompetente myndigheder samt den Europæiske Tilsynsførende for Databe-
skyttelse. Formålet er at fremme innovationen inden for kunstig intelligens
ved at etablere et kontrollereret miljø blandt andet med henblik på at lette
udviklingen og validering af systemer i et begrænset tidsrum, inden de brin-
ges i omsætning eller tages i brug, accelerere markedsadgang samt at sikre
overholdelse af forordningen og anden relevant lovgivning.
Medlemslandene forpligtes desuden til at indføre foranstaltninger for mindre
udbydere og brugere, blandt andet skal medlemslandene prioritere disse ak-
tører samt nystartede virksomheders adgang til de reguleringsmæssige sand-
kasser samt organisere informationsaktiviteter.
Afsnit VI, VII og VIII: Forvaltning og gennemførelse (artikel 56-68)
Medlemslande spiller en nøglerolle i forvaltningen og håndhævelsen af for-
ordningen. Hvert medlemsland skal i den forbindelse udpege en eller flere
nationale kompetente myndigheder, hvoraf en af myndighederne skal fungere
som ansvarlig national tilsynsmyndighed og dermed det officielle kontakt-
punkt over for andre medlemslande og Kommissionen.
Et europæisk udvalg for kunstig intelligens skal desuden nedsættes for at as-
sistere Kommissionen i forvaltningen af forordningen. Formålet med udval-
get er at bidrage til et effektivt samarbejde mellem de nationale tilsynsmyn-
digheder og Kommissionen, at koordinere og bidrage til vejledning og ana-
lyse samt at assistere i sikringen af en ensartet anvendelse af forordningen.
Udvalget skal bestå af repræsentanter fra de nationale tilsynsmyndigheder
samt den Europæiske Tilsynsførende for Databeskyttelse.
Udbydere af højrisiko systemer er pålagt at etablere et overvågningssystem
og -plan, der efter omsætningen af højrisiko systemet på markedet blandt an-
det skal sørge for en løbende evaluering af overholdelsen af højrisiko kravene.
De nærmere detaljer herfor vil blive fastlagt af Kommissionen via en gen-
nemførelsesretsakt.
I tilfælde af alvorlige hændelser eller funktionsfejl såsom en persons død, al-
vorlig skade eller afbrydelse af driften af kritisk infrastruktur eller overtræ-
delse af grundlæggende rettigheder er udbyderne af højrisiko systemer pålagt
at informere den relevante markedsovervågningsmyndighed herom.
 Rådsmøde nr. 3917 (transport, telekommunikation og energi) den 5.-6. december 2022 - Bilag 2: Samlenotat vedr. rådsmøde transport, tele og energi - tele 5-6/12-22
2638316_0015.png
15/37
Markedsovervågningen og kontrol af kunstig intelligens-systemer skal ske på
baggrund af markedsovervågningsforordningen, der skal finde anvendelse på
kunstig intelligens-forordningens udbydere, importører, distributører og bru-
gere på tilsvarende måde, som markedsovervågningen i dag finder anven-
delse på økonomiske operatører af produkter. Procedurerne i markedsover-
vågningsforordningen suppleres blandt andet med regler om adgang til data
og dokumentation samt procedurer for meddelelse af og kontrol med natio-
nale indgreb over for kunstig intelligens-systemer. Herudover skal kompeten-
cedelingen imellem markedsovervågningsmyndighederne hovedsageligt
følge den kompetencedeling, der findes i dag.
Afsnit IX: Adfærdskodeks (artikel 69)
Forordningen fastlægger en ramme for udformningen af adfærdskodeks, der
har til formål at tilskynde udbydere uden for højrisikokategorien til frivilligt
at anvende højrisiko kravene. Sådanne adfærdskodeks kan også tilskynde den
frivillige anvendelse af yderligere krav, eksempelvis inden for bæredygtighed
eller mangfoldighed i udviklingsholdet.
Afsnit X, XI og XII: Afsluttende bestemmelser (artikel 70-85)
Afsnit X fastlægger forpligtelser vedrørende fortroligheden af information og
data samt fastlægger regler for udveksling af oplysninger, der er indhentet i
forbindelse med gennemførelsen af forordningen.
Samtidig indeholder afsnittet også foranstaltninger til at sikre en effektiv gen-
nemførelse af forordningen gennem sanktioner for overtrædelse af bestem-
melserne, der er effektive, står i rimeligt forhold til overtrædelsen og har af-
skrækkende virkning. Medlemslandene pålægges, at indfører regler om sank-
tioner, herunder administrative bøder, hvor der blandt andet skal tages højde
for mindre udbydere og nystartede virksomheder. Medlemslande skal med-
dele Kommissionen om disse regler. I stil med GDPR tages der dog højde for
medlemslandenes forskellige retssystemer, hvor det fastlægges, at admini-
strative bøder kan anvendes på en sådan måde, at bøderne pålægges af kom-
petente nationale domstole.
I tilfælde af manglende overholdelse vedrørende forbud i artikel 5 eller ved
manglende overholdelse af højrisiko kravene vedrørende data og datastyring
i artikel 10 kan der pålægges bøder på op til 30 mio. euro eller op til 6 procent
af den samlede globale omsætning i det foregående regnskabsår. I tilfælde af
manglende overholdelse af andre bestemmelser i forordningen kan der på-
lægges bøder op til 20 mio. euro eller op til 4 procent af den samlede globale
omsætning i det foregående regnskabsår. I tilfælde af afgivelse af ukorrekte,
ufuldstændige eller vildledende oplysninger til nationale kompetente myn-
digheder eller bemyndigede organer kan der pålægges bøder op til 10 mio.
 Rådsmøde nr. 3917 (transport, telekommunikation og energi) den 5.-6. december 2022 - Bilag 2: Samlenotat vedr. rådsmøde transport, tele og energi - tele 5-6/12-22
2638316_0016.png
16/37
euro eller op til 2 procent af den samlede globale omsætning i det foregående
regnskabsår.
Afsnit XI indeholder regler for udøvelse og delegering af beføjelser til Kom-
missionen, herunder for brugen af delegerede og gennemførelsesretsakter.
Forslaget bemyndiger Kommissionen til, hvor det er relevant, at vedtage gen-
nemførelsesretsakter for at sikre ensartet anvendelse af forordningen eller de-
legerede retsakter til opdatering eller supplering af bilag 1 til 7, herunder til
definitionen af kunstig intelligens samt listen over selvstændige højrisiko sy-
stemer.
Afsnit XII indeholder blandt andet en forpligtelse for Kommissionen om år-
ligt at vurdere behovet for en opdatering af bilag 3 og til regelmæssigt at ud-
arbejde rapporter om evalueringen og gennemgangen af forordningen.
Samtidig fastlægges det i afsnittet, at forordningen kun finder anvendelse på
højrisikosystemer, der allerede er bragt i omsætning eller taget i brug, hvis
disse systemer undergår betydelige ændringer i forhold til deres design eller
tilsigtede formål efter anvendelsesdatoen.
Forordningen vil træde i kraft 20 dage efter offentliggørelse i Den Europæiske
Unions Tidende og finde anvendelse to år efter ikrafttrædelsesdatoen. Dog
skal overensstemmelsesvurderingerne, forvaltningen samt reglerne for sank-
tioner være operationelle inden forordningens anvendelse. Derfor lægges der
op til en tidligere anvendelsesdato for de disse områder, henholdsvis tre må-
neder for overensstemmelsesvurderinger og forvaltningsstrukturen samt 12
måneder for sanktionsreglerne efter forordningens ikrafttrædelsesdato.
4.
Europa-Parlamentets udtalelser
I Europa-Parlamentet blev det 1. december 2021 besluttet at Udvalget om
det Indre Marked og Forbrugerbeskyttelse (IMCO) og Udvalget om Bor-
gernes Rettigheder og Retlige og Indre Anliggender (LIBE) har fælles
kompetence på sagen. Derudover er industri, forsknings-, og energi-, ud-
valget (ITRE), retsudvalget (JURI), og kultur og uddannelses- udvalget
(CULT) associerede udvalg.
IMCO og LIBE offentliggjorde deres fælles udkast den. 21. april og en en-
delig plenarafstemning forventes i november 2022. I IMCO er italienske
S&D medlem Brando Benifei udnævnt som ordfører, mens det i LIBE er
rumænske RENEW-medlem Dragos Tudorache.
IMCO og LIBE støtter op om den risikobaserede tilgang mens det under-
streges, at ingen kunstig intelligens skal ekskluderes fra forordningen ex-
 Rådsmøde nr. 3917 (transport, telekommunikation og energi) den 5.-6. december 2022 - Bilag 2: Samlenotat vedr. rådsmøde transport, tele og energi - tele 5-6/12-22
2638316_0017.png
17/37
ante, hverken fra definitionen af kunstig intelligens eller ved at lave undta-
gelser for visse typer af systemer. Det fremhæves, at forordningen i højere
grad skal strømlines med GDPR, samt at interessenter og civilsamfundsor-
ganisationer i højere grad skal inddrages ift. at opdatere listen over højrisi-
kosystemer, standardiseringsprocessen samt udvalgets og sandkassernes
aktiviteter.
I rapporten tilføjes ”predictive policing” til listen over forbudte anvendel-
ser, ligesom det foreslås at tilføje en række yderligere brugsscenarier til
listen over højrisikosystemer. Derudover identificeres yderligere deepfakes
og redaktionelt indhold skrevet af kunstig intelligens som systemer, der bør
underlægges både gennemsigtighedskrav og højrisiko overensstemmelses-
procedurerne.
Rapporten indeholder et nyt kapitel 3a om håndhævelse på EU-niveau. Der
lægges op til en ny håndhævelsesmekanisme til Kommissionen, som bl.a.
kan udløses hvis det vurderes, at et system vil føre til en såkaldt
”omfat-
tende brud”, der omfatter tre eller flere medlemslande. Mekanismen bygger
på modellen fra Digital Services Act. Samtidig lægges op til, at udvalget
for kunstig intelligens skal spille en større rolle, fx i at vejlede Kommissi-
onen og nationale tilsynsmyndigheder og udgøre et forum for voldgift af
tvister mellem en eller flere medlemslande. Endelig foreslås et nyt kapitel
om retsmidler for både fysiske og juridiske personer, herunder ift. retten til
at klage.
I Europa-Parlamentets Retsudvalg offentliggjorde ordføreren Axel Voss
fra EPP sin rapport i marts og en lang række ændringsforslag blev offent-
liggjort i starten af april. Voss har lagt op til at indsnævre definitionen be-
tydeligt og anlægge en mere tydelig risikobaseret tilgang. Ændringsforsla-
gene går dog i mange retninger, og det er derfor for tidligt at konkludere,
hvordan retsudvalgets endelige rapport vil falde ud.
Europa-Parlamentet forventes at nå til enighed om en holdning i starten af
2023.
5.
Nærhedsprincippet
Kommissionen vurderer, at regulering på EU-niveau er nødvendig henset
til karakteren af kunstig intelligens, der ofte er afhængig af store og varie-
rede datasæt, og der kan være integreret i ethvert produkt eller enhver tje-
neste til fri cirkulation i det indre marked.
Uden regulering på EU-niveau vurderer Kommissionen, at der er risiko for,
at medlemslande vedtager egne regler for kunstig intelligens, der potentielt
 Rådsmøde nr. 3917 (transport, telekommunikation og energi) den 5.-6. december 2022 - Bilag 2: Samlenotat vedr. rådsmøde transport, tele og energi - tele 5-6/12-22
2638316_0018.png
18/37
kan divergere eller være modstridende. Dette vil hæmme den frie bevæge-
lighed af produkter og tjenester med kunstig intelligens-systemer samt
bremse markedsoptagelsen af kunstig intelligens i EU, herunder grundet
juridiske usikkerhed og barrierer. Derudover vurderer Kommissionen, at
dette vil lede til ineffektiv beskyttelse af sikkerheden og af de grundlæg-
gende rettigheder samt EU’s værdier i de forskellige medlemslande. Af
disse grunde ser Kommissionen derfor, at EU-regulering er nødvendig for
at opnå formålet om at fremme et indre marked for lovlige, sikre og påli-
delige kunstig intelligens-systemer.
Regeringen er enig med Kommissionen i, at regulering af området bør ske
på EU-niveau, da ensartet regulering er nødvendig for realiseringen af det
digitale indre marked. Derfor vurderer regeringen på det foreliggende
grundlag, at nærhedsprincippet er overholdt.
6.
Gældende dansk ret
Der findes på nuværende tidspunkt ikke en specifik juridisk ramme for kun-
stig intelligens hverken på europæisk eller nationalt plan.
Udviklingen og anvendelsen af kunstig intelligens er dog underlagt eksi-
sterende lovgivning, der ikke nødvendigvis indeholder specifikke krav til
kunstig intelligens, men alligevel fastsætter regler om eksempelvis beskyt-
telse af grundlæggende rettigheder, herunder blandt andet ligestilling, for-
brugerbeskyttelse og databeskyttelse, samt inden for områderne såsom
asyl, migration, retligt samarbejde, finansielle tjenester samt produktsik-
kerhed. Disse har direkte indvirkning på udviklingen og anvendelsen af
kunstig intelligens.
7.
Konsekvenser
Lovgivningsmæssige konsekvenser
Forslaget vil indebære lovgivningsmæssige konsekvenser. Blandt andet vil
forslaget supplere visse eksisterende sektorretsakter inden for produkt-
samt finansområdet, hvor disse retsakter skal tage højde for højrisikokra-
vene i forbindelse med overensstemmelsesvurderinger eller risikostyrings-
procedurer. Såfremt disse sektorretsakter er implementeret i dansk lovgiv-
ning, kan det potentielt kræve lovændringer i Danmark.
Samtidig vil forslaget kræve, at Danmark indfører regler for sanktioner.
Økonomiske konsekvenser
Statsfinansielle konsekvenser
 Rådsmøde nr. 3917 (transport, telekommunikation og energi) den 5.-6. december 2022 - Bilag 2: Samlenotat vedr. rådsmøde transport, tele og energi - tele 5-6/12-22
2638316_0019.png
19/37
Det forventes, at forslaget vil medføre statsfinansielle konsekvenser, idet
udpegning eller etablering af en national tilsynsmyndighed, der er ansvarlig
for implementeringen af forordningen, vil kræve ressourcer. Tilsynsfunk-
tionen kan bygge på eksisterende strukturer, men vil kræve tilstrækkelig
teknologisk ekspertise og ressourcer. Kommissionen vurderer, at ressour-
cebehovet afhængig af den eksisterende struktur i hvert medlemsland kan
udgøre 1 til 25 fuldtidsansatte. Derudover vil det kræve ressourcer i forhold
til etableringen af det europæiske udvalg for kunstig intelligens, hvor hvert
medlemsland skal udpege en repræsentant. Der vil ligeledes opstå en for-
øgelse af ressourceforbruget hos den eller de myndigheder, der udpeges til
kompetente myndigheder, idet forordningen medfører en øget sagsmængde
eller en udvidet opgaveportefølje, herunder i forhold til den kontinuerlige
evaluering af forordningen, der er indbygget i forslaget.
Ligeledes forventes forslaget at medføre administrative byrder for offent-
lige myndigheder til efterlevelse af de krav, der påkræves i forbindelse med
højrisiko kunstig intelligens, herunder proces- og dokumentationskrav
samt krav om menneskeligt tilsyn. Samtidig kan kravene medføre statsfi-
nansielle konsekvenser for den højrisiko kunstig intelligens, der udvikles
og anvendes af offentlige myndigheder i forbindelse med kravet i den po-
litiske aftale om digitaliseringsklar lovgivning.
Regeringen er fortsat i gang med at evaluere de statsfinansielle omkostnin-
ger forbundet med udvidelsen af tilsyn hos de eksisterende myndigheder
som foreslået af Kommissionen.
Det bemærkes, at afledte nationale udgifter som følge af EU-retsakter af-
holdes inden for de berørte ministeriers eksisterende bevillingsramme, jf.
budgetvejledningens bestemmelser herom.
Samfundsøkonomiske konsekvenser
Forslaget vurderes at kunne få positive samfundsøkonomiske konsekven-
ser, såfremt de harmoniserede regler er med til at styrke tilliden samt skabe
juridisk klarhed i det indre marked for kunstig intelligens og deraf resultere
i øget optag samt forbedrede skaleringsmuligheder. Det vurderes, at det
potentielt kan have en positiv effekt på samfundsøkonomien i form af øget
produktivitet og konkurrenceevne.
Erhvervsøkonomiske konsekvenser
Forslaget forventes at medføre væsentlige administrative byrder for de om-
fattede virksomheder, herunder særligt i forbindelse med efterlevelsen af
de krav, der påkræves i forbindelse med højrisiko kunstig intelligens. Byr-
derne kan dog ikke kvantificeres nærmere på nuværende tidspunkt, da kra-
venes endelige udformning og udmøntning endnu ikke er kendt.
 Rådsmøde nr. 3917 (transport, telekommunikation og energi) den 5.-6. december 2022 - Bilag 2: Samlenotat vedr. rådsmøde transport, tele og energi - tele 5-6/12-22
2638316_0020.png
20/37
Da forslagets krav forventes at omfatte danske virksomheder, vurderes de
samlede administrative byrder at kunne have et betydeligt omfang, idet lov-
givning dækker et komplekst område, hvor anvendelsen potentielt kan fin-
des på tværs af alle sektorer. Konsekvenser for danske virksomheder vil
både omfatte udviklingen samt anvendelsen af de omfattede systemer, her-
under ligeledes proces- og dokumentationskrav. Eksempelvis kan kravet
om menneskeligt tilsyn samt efterlevelse af kravene i hele systemets livs-
cyklus medføre omkostninger i forbindelse med opkvalificering af medar-
bejdere samt årlige lønudgifter forbundet med tilsynet.
Herudover forventes forslagets gennemsigtighedsforpligtelser ved visse
systemer med begrænset risiko samt den frivillige vedtagelse af adfærds-
kodeks at medføre administrative byrder. Forbud mod visse systemer kan
derudover medføre øvrige efterlevelseskonsekvenser, idet forbud udgør en
produktionsbegrænsning for virksomheder. Det er dog uvist, hvorvidt der
er danske virksomheder, der vil være omfattet af de konkrete forbud.
Andre konsekvenser og beskyttelsesniveauet
En vedtagelse af forslaget forventes at kunne forbedre beskyttelsesniveauet
for borgere, forbrugere og samfundet som helhed som følge af, at forslaget
har til hensigt at skabe et mere ansvarligt indre marked for kunstig intelli-
gens. Dette ved at stille krav til udviklingen og anvendelsen af den del af
teknologien, der kan have negativ eller direkte skadelig indvirkning på sik-
kerhed, gældende lov samt grundlæggende rettigheder, samt ved at stille
krav om gennemsigtighed ved visse anvendelser.
8.
Høring
Forslaget har været sendt i EU-specialudvalget for konkurrenceevne, vækst
og forbrugerspørgsmål med frist for bemærkninger den 5. maj 2021. Der
er indkommet høringssvar fra Dansk Erhverv, Dansk Industri, Dansk Stan-
dard, Finans Danmark, Finansforbundet, Forbrugerrådet Tænk, Forsikring
& Pension, Ingeniørforeningen IDA, IT-Branchen og Kommunernes
Landsforening.
Generelle bemærkninger
Dansk Industri (DI)
ser Kommissionens forslag som en mulighed for, at
medlemslandene skal være de bedste i verden til at bruge data og kunstig
intelligens på en ansvarlig måde. Der er behov for at regulere området, hvil-
ket virksomhederne også har efterspurgt, men det skal ske med den rette
balance. På den ene side skal anvendelsen af kunstig intelligens fører til
beslutninger, resultater og anbefalinger, som man kan stole på. På den an-
den side skal man huske, at anvendelsen af kunstig intelligens kan være en
 Rådsmøde nr. 3917 (transport, telekommunikation og energi) den 5.-6. december 2022 - Bilag 2: Samlenotat vedr. rådsmøde transport, tele og energi - tele 5-6/12-22
21/37
afgørende faktor i løsningen af samfundsudfordringer som den grønne om-
stilling og skabe ny vækst, og at man ikke må stille urealistiske krav og
administrative byrder, der hæmmer innovationen og rammer bredere end
tiltænkt.
Dansk Standard
fremhæver, at den kommende lovgivning kan få global
effekt. Høje standarder kan være en effektiv måde at opnå indflydelse glo-
balt og kan fremme den europæiske konkurrenceevne. Virksomheder, som
vil sælge deres produkter på det attraktive europæiske marked, må udvikle
produkter som overholder europæisk lovgivning. De høje europæiske stan-
darder og produktkrav kan dermed migrere til andre dele af verden.
Finans Danmark
hilser Kommissionens udspil velkomment. Finans Dan-
mark ser store muligheder i brugen af kunstig intelligens, da det giver mu-
lighed for, at Europa kan øge velstanden for borgerne og sætte skub i væk-
sten for virksomhederne. Det er vigtigt, at der etableres en sammenhæn-
gende og robust regulering af kunstig intelligens. Det vil på den ene side
tilvejebringe gode rammer for at udvikle og udbrede kunstig intelligens, og
på den anden side sikre at borgere og forbrugere trygt kan anvende de løs-
ninger, der anvender kunstig intelligens.
Finansforbundet
er positivt indstillet over for regulering på området, hvor
der bør reguleres med udgangspunkt i europæiske værdier og beskyttelse
af mennesker. Virksomheder må redegøre for beslutninger som træffes al-
goritmisk og stå til ansvar for fejlagtige beslutninger. Teknologierne må og
skal anvendes konstruktivt og ikke til øget overvågning. Derfor skal regler
og kodekser tilsige, hvad kunstig intelligens må bruges til, og navnlig hvad
den ikke må bruges til. Transparens i anvendelsen af ethvert kunstig intel-
ligens-værktøj er ligeledes af stor vigtighed.
Finansforbundet
mener, at virksomheder bør følge et forklaringsprincip
og redegøre for de beslutninger, der træffes af algoritmer. Ansvaret ligger
entydigt hos ledelsen, hvis der træffes fejlagtige beslutninger ud fra algo-
ritmens beregninger. Virksomheden bør opstille klare retningslinjer og
grænser for værktøjerne, ligesom virksomheder skal udvikle, implementere
og følge et handlingsorienteret og praksisnært dataetisk kodeks.
Forbrugerrådet Tænk
støtter Kommissionens forslag, idet det er nødven-
digt med regler, der sikrer en dataetisk tilgang til udvikling og brug af kun-
stig intelligens i hele EU. Kunstig intelligens indgår allerede i kommerci-
elle produkter og tjenester målrettet forbrugere, ligesom kunstig intelligens
er taget i anvendelse i den offentlige sektor. Udviklingen forventes at gå
stærkt og derfor haster det med at få et regelsæt på plads, så en dataetisk
tilgang til at udvikle og anvende teknologien harmoniseres på tværs af EU.
 Rådsmøde nr. 3917 (transport, telekommunikation og energi) den 5.-6. december 2022 - Bilag 2: Samlenotat vedr. rådsmøde transport, tele og energi - tele 5-6/12-22
22/37
Ingeniørforeningen IDA (IDA)
er positive over for EU’s tilgang til regu-
lering af kunstig intelligens, når formålet blandt andet er at skabe en euro-
pæisk vej
– et alternativ til den amerikanske ”data for profit” og den kine-
siske ”data for control”. Kunstig intelligens er en ny og relativ umoden tek-
nologi, der udvikler sig hurtigt. Der er flere steder i verden sat store summer
af til forskning og udvikling med forskellige formål, der ikke nødvendigvis
er i overensstemmelse med danske eller europæiske værdier. Det er derfor
vigtigt, at myndighederne er med til at sætte demokratisk fastsatte rammer
for, hvad man vil med denne teknologi, hvad den skal bruges til, og hvad
man ikke ønsker, at den skal bruges til.
IDA
fremhæver, at kunstig intelligens og den enkelte borgers retssikkerhed
skal gå hånd i hånd. Datakvaliteten skal ligeledes være i orden. De fejl, der
lægges ind i kunstig intelligens, går igen i outputtet og i langt større skala,
end man er vant til. Derudover finder kunstig intelligens mønstre i eksiste-
rende data og gentager disse. Det vil sige, at hvis ikke man er opmærksom,
kommer man til at forstærke de uhensigtsmæssigheder og problemer, som
man allerede har i dag. IDA mener, at formålet med en regulering må være
at understøtte tillid til brug af data, så flere data kan komme ud at arbejde.
IT-Branchen
mener, at det er positivt, at EU går forrest og skaber en
ramme for regulering af kunstig intelligens som modspil til tilgangen fra
USA og Kina. Helt overordnet bliver det afgørende, at reguleringen ikke
afskrækker brugen af kunstig intelligens. For kunstig intelligens rummer
store muligheder for at gøre samfundet endnu bedre. Danske virksomheder
efterspørger klare og ensartede regler inden for kunstig intelligens, som
gælder på tværs af landegrænser og som skaber lige konkurrencevilkår.
IT-Branchen
ser, at det bliver helt centralt, hvordan resten af verden tager
imod reguleringen, så virksomhederne i EU ikke skal leve op til forskellige
regler i forskellige verdensdele. Det vil ikke kun svække virksomheders
konkurrenceevne, men det vil være en stopklods for innovation og udvik-
ling til det globale marked. I værste fald risikerer EU at blive valgt fra som
et attraktivt sted for nye startups. En forsigtig og præventiv tilgang til re-
gulering kan have en stor effekt på innovationshøjden i EU. Helt generelt
mener IT-Branchen, at regulering som udgangspunkt bør være teknologi-
neutral, og at etisk problematiske anvendelser af datadrevne løsninger ikke
kan afgrænses til kunstig intelligens.
Kommunernes Landsforening (KL)
mener, at det er relevant med en EU-
indsats til regulering af anvendelse af kunstig intelligens, og at den skal
sikre borgernes rettigheder og tillid til den offentlige sektor. Reguleringen
skal tage højde for medlemslandenes forskelligheder samt det forhold, at
diskussionerne om dataetik og kunstig intelligens er forskellige steder på
tværs af EU. KL mener, at der i den offentlige sektor er behov for klare
 Rådsmøde nr. 3917 (transport, telekommunikation og energi) den 5.-6. december 2022 - Bilag 2: Samlenotat vedr. rådsmøde transport, tele og energi - tele 5-6/12-22
2638316_0023.png
23/37
juridiske rammer og brugbare redskaber samt hjælp til at forstå og fortolke,
hvordan man må arbejde med kunstig intelligens. Det er afgørende, at gen-
nemsigtighed sikrer, at borgere kan have tillid til og kan gennemskue, at
myndigheder anvender kunstig intelligens ansvarligt.
KL
finder, at kunstig intelligens skal anvendes, hvor det kan effektivisere
og forbedre den kommunale administration og sagsbehandling, men finder
samtidig også, at det er afgørende, at beslutninger, der regulerer væsentlige
forhold for borgere, ikke alene kan træffes på baggrund af behandlinger
foretaget med kunstig intelligens. KL fremhæver ligeledes arbejdet med
signaturprojekter vedrørende anvendelse af kunstig intelligens på en række
kommunale fagområder. En kommende forordning og en efterfølgende
dansk implementering bør blandt andet tage afsæt i de konkrete kommu-
nale erfaringer og behov fra signaturprojekterne.
Specifikke bemærkninger
Forslagets anvendelsesområde og definitioner
Dansk Erhverv (DE)
bemærker, at en stor del af de problemer, som for-
ordningen er sat i verden for at løse, allerede er eller burde være dækket
under anden regulering. Bedre håndhævelse af de eksisterende regler er en
genvej til at mitigere nogle af de risici, der søges at adressere. Heri ligger
også, at der er nogle handlinger, hvor lovligheden ikke bør afgøres af, om
det er en maskine, der udfører dem, eller et menneske.
DE
mener, at forslaget bruger en uklar og uhensigtsmæssig definition på
kunstig intelligens, og der bør skelnes yderligere mellem, hvordan kunstig
intelligens anvendes. Bilag 1 inkluderer ganske almindelige statistiske
værktøjer og metoder til sandsynlighedsberegning. Med så bred en defini-
tion er der et stort antal databehandlingsværktøjer, der risikerer at falde ind
under lovgivningen, som ret beset intet har at gøre med kunstig intelligens.
Samtidig nævnes
”AI systems that continue to ’learn’ after being placed in
the market” som en særskilt kategori. Det understreger behovet for en kla-
rere forståelse af, hvad kunstig intelligens dækker over, da netop evnen til
at imitere menneskelig læring og optimering i forhold til opgaveløsning er
en del appellen ved at bruge kunstig intelligens.
DE
bemærker, at der i forslaget skelnes til formålet og konteksten for an-
vendelse af kunstig intelligens, men at der med fordel også bør skelnes
mellem algoritmer, der er designet til at kunne træffe beslutninger, samt de
mange andre måder som kunstig intelligens anvendes på.
DE
støtter desuden, at kunstig intelligens-systemer, der allerede er bragt til
markedet forud for forordningens ikrafttræden, ikke omfattes, såfremt der
ikke sker væsentlige ændringer i systemernes design eller formål.
 Rådsmøde nr. 3917 (transport, telekommunikation og energi) den 5.-6. december 2022 - Bilag 2: Samlenotat vedr. rådsmøde transport, tele og energi - tele 5-6/12-22
24/37
DI
bakker op om en risikobaseret tilgang til regulering af kunstig intelli-
gens. DI fremhæver, at med forslagets definition af kunstig intelligens, der
inkluderer brug af statistiske metoder, samt med definitionen af højrisi-
koanvendelse i produkter vil forordningen komme til at ramme mange al-
lerede etablerede digitale løsninger, hvor krav om involvering af tredje-
partskontrol vil være urimelig dyr og unødvendig, når det gælder produk-
ter. DI bemærker i den forbindelse, at de eksisterende krav allerede er om-
kostningskrævende, og de ekstra krav risikerer derved at bremse innovati-
onslysten. En løsning kunne være at indskrænke definitionen ved at ude-
lade de statistiske metoder. Alternativt kan det undtages i maskinprodukt-
forordningen og tilsvarende reguleringer.
Finans Danmark
anbefaler en risikobaseret tilgang med flere risikoni-
veauer. En risikobaseret tilgang med kun to niveauer vil sandsynligvis re-
ducere anvendelsen af kunstig intelligens. Finans Danmark ser, at der med
fordel kan søges inspiration i, hvorledes den finansielle regulering fungerer
i forhold til fintech, hvor man arbejder med en regulatorisk perimeter. Så-
dan en tilgang vil både sikre forbrugerbeskyttelsen samt understøtte inno-
vation og udvikling.
Finans Danmark
finder, at forslaget ikke sondrer tydeligt mellem kunstig
intelligens, der anvendes til at støtte menneskelige beslutninger, og den
kunstige intelligens, der fungerer autonomt. En risikobaseret tilgang bør
afstedkomme lettere regulatoriske krav til kunstige intelligenser, der kun
bruges til at hjælpe mennesker med at træffe beslutninger, hvorimod auto-
nome kunstige intelligenser skal reguleres mere indgående. Samtidig er det
vigtigt at sikre lige vilkår for alle brancher og geografier.
Finansforbundet
mener, at den valgte tilgang med horisontal lovgivning
og proportional, risikobaseret tilgang til brugen af kunstig intelligens, her-
under med angivelse af ikke tilladt kunstig intelligens-benyttelse, som går
imod EU’s værdier, virker fornuftig.
Forsikring & Pension
mener, at det er positivt, at Kommissionen lægger
op til, at reguleringen bliver risikobaseret og proportional, så der alene fo-
kuseres på højrisiko og forbudte applikationer, og at almindelige robot-au-
tomatiseringsprocesser ikke rammes af unødvendige skrappe krav. Defini-
tionen af kunstig intelligens og anvendelsesområdet for reguleringen ser ud
til at blive indskrænket. Det er positivt, fordi en bred definition af begrebet
kunstig intelligens vil ramme en lang række almindelige automatiserings-
processer, der ikke udgør nogen risiko for forbrugerne. Forsikring & Pen-
sion fremhæver, at bilag 1 referer til en række teknikker, der karakteriseres
som kunstig intelligens. Der kan dog stadig være juridisk uklarhed om,
hvorvidt et system er omfattet eller ej, hvilket bør klarlægges.
 Rådsmøde nr. 3917 (transport, telekommunikation og energi) den 5.-6. december 2022 - Bilag 2: Samlenotat vedr. rådsmøde transport, tele og energi - tele 5-6/12-22
2638316_0025.png
25/37
KL
mener, at en risikobaseret tilgang i sig selv er fornuftig, men at der er
behov for en udfoldning og dialog om, hvilke kriterier der skal lægges til
grund for en bestemt risikovurdering, og at der skal være mulighed for at
kategorierne kan nuanceres af de enkelte lande. Der vil i konkrete tilfælde
være stor forskel på, hvilke formål som løsningen skal bidrage til, og der
er derfor behov for en nuanceret tilgang, der indeholder en relativt fintma-
sket risikovurdering til det enkelte projekt. Placeringen i risikogruppen og
dertilhørende forpligtelser skal tage højde for en given løsnings kombina-
tion af formål, teknologi og output. KL mener, at det på nuværende tids-
punkt er vanskeligt at vurdere konsekvenserne af forordningen, og at der er
derfor behov for dybere præciseringen af konkrete reguleringstiltag.
Forbudt praksis med hensyn til kunstig intelligens
DE
mener, at nogle af de problemer, som forslaget skal løse, allerede er
klart ulovlige. Som eksempel på kunstig intelligens, der udnytter udsatte
grupper, har Kommissionen præsenteret, at dette kan være en dukke, der
med en integreret stemmeassistent, opfordrer børn til at udføre farlige
handlinger. Uanset om denne stemmeassistent har en kunstig intelligens-
komponent eller blot er en optagelse, der afspilles ved faste intervaller, har
DE en klar formodning om, at dette allerede er dækket af eksisterende lov-
givning
og at det ellers under alle omstændigheder burde være det. Det
er med til at understrege, at Kommissionen enten er i færd med at regulere
områder, som allerede er dækket under anden lovgivning, eller at Kommis-
sionen er uklar på, hvad formålet med forordningen er. Derfor mener DE,
at der med fordel kan arbejdes på at skabe større klarhed om forordningens
intention og formål.
DE
er til dels enige i, at der kan være brug af kunstig intelligens, som strider
mod vores europæiske værdier og rettigheder, men i artikel 5 forbydes an-
vendelse af kunstig intelligens i for brede træk, således at det kan forhindre,
at teknologiens potentiale bruges til gode formål.
Forbrugerrådet Tænk
mener, at selvom kunstig intelligens kan skabe en
positiv forandring i samfundet, kan teknologien også gøre skade på det en-
kelte individ. Det sker, hvis de algoritmer, der i fremtiden kommer til at
træffe beslutninger og afgørelser, diskriminerer og dermed ikke udvikles
på betryggende vis, eller hvis den data, der anvendes til analyserne, ikke er
forsvarligt sikret. Forbrugerrådet Tænk støtter derfor, at forslaget lægger
op til at forbyde visse former for brug af kunstig intelligens, ligesom for-
slaget henviser til, at charteret for menneskerettigheder og databeskyt-tel-
seslovgivningen/GDPR skal overholdes.
Højrisiko kunstig intelligens-systemer
 Rådsmøde nr. 3917 (transport, telekommunikation og energi) den 5.-6. december 2022 - Bilag 2: Samlenotat vedr. rådsmøde transport, tele og energi - tele 5-6/12-22
26/37
DE
bemærker, at en række produkter, hvor højrisiko kunstig intelligens
indgår som komponent, blandt andet køretøjer, kun er omfattet af forord-
ningens artikel 84 vedrørende evaluering og gennemgang. Dette bør udvi-
des til at gælde alle eksisterende produktdirektiver mv., da den nuværende
opdeling, hvor nogle produktkategorier både reguleres af sektorspecifik re-
gulering og denne forordning, giver anledning til regulatorisk overlap,
uigennemsigtighed og usikkerhed for virksomhederne.
DE
bemærker, at datasæt til træning, validering og test af kunstig intelli-
gens-systemer pålægges krav om at være fri for fejl. DE støtter intentionen
om høj datakvalitet, som er fri for bias og er repræsentativ, men med de
meget store datasæt, der kræves for at kunne træne algoritmer, vil det være
tidskrævende og ressourcetungt at skulle sikre, at der ikke er en eneste fejl
i datasættet. Dette vil medføre betydelige administrative byrder for virk-
somheder og kan reducere innovation og afprøvning af nye løsninger.
DE
fremhæver, at der stilles krav om, at teknisk dokumentation bør være
opdateret. Her vil det være hensigtsmæssigt at have klare rammer for, hvor
ofte materialet skal opdateres for at leve op til dette krav. Derudover vil det
være hensigtsmæssigt med flere templates og/eller eksempler. Det gælder
både systemer til kvalitetstjek, men kan også udvides til at omfatte eksem-
pelvis teknisk dokumentation mv.
DE
fremhæver, at det vil være vanskeligt for udviklere, leverandører og
forhandlere at sikre fuld forståelse for kapacitet og begrænsninger ved et
givent kunstig intelligens-system hos den person, der har ansvar for men-
neskeligt tilsyn. En del af dette ansvar bør pålægges brugerne, ligesom det
understreger behovet for investeringer i uddannelse, kompetence- og vi-
densløft i befolkningen, efterhånden som flere medarbejdsgrupper skal
bruge forskellige former for kunstig intelligens.
DE
anser det for fornuftigt, at der stilles krav til modstandsdygtigheden i
højrisiko kunstig intelligens-systemer, men der vil altid være en mulighed
for, at der opstår fejl eller lignende, når systemet interagerer med menne-
sker. Det er ikke muligt at lave systemer, som er fuldstændigt sikrede mod
fejl 40-hændelser, og derfor er investeringer i uddannelse vigtig for at re-
ducere denne type risiko.
DE
mener desuden, at der er uklarhed, i forhold til hvornår et højrisiko
kunstig intelligens-system skal revurderes.
DI
mener, at der er behov for afklaring af definitionen af højrisikoanven-
delse i produkter. Det er uklart, om det alene er kunstig intelligens designet
til at indgå i sikkerhedskomponenter, der er omfattet, eller om det også
gælder andre anvendelser, der kræver tredjepartskontrol. Ifølge NLF skal
 Rådsmøde nr. 3917 (transport, telekommunikation og energi) den 5.-6. december 2022 - Bilag 2: Samlenotat vedr. rådsmøde transport, tele og energi - tele 5-6/12-22
27/37
lovgiver vælge de moduler til overensstemmelsesvurdering, som er rele-
vante i forhold til størrelsen af risikoen. Derfor synes det logisk at kræve
tredjepartskontrol ved højrisikoanvendelse. DI finder dog, at forslaget de-
finerer risiko omvendt, hvor en anvendelse af kunstig intelligens bliver be-
tragtet som højrisiko, hvis sektorlovgivningen stiller krav om tredjeparts-
kontrol. Det kan gælde produktkategorier, men det kan også opstå ved
manglende harmoniserede standarder. De nuværende problemer med at
harmonisere europæiske standarder kan få afgørende indflydelse på, hvilke
anvendelser af kunstig intelligens der karakteriseres som højrisikoanven-
delse. Løses problemet ikke, vil det medføre unødigt store omkostninger.
DI
fremhæver, at forslagets massive bødestørrelser stiller ekstra høje krav
til, at det skal være tale om tydelige kriterier, klarhed over hvorvidt virk-
somhederne indfrier kravene, og at reguleringen ikke rammer bredere end
tiltænkt. I forhold til selve kravene ved højrisikoanvendelse af kunstig in-
telligens bør der være mere fokus på den ønskede effekt end at stille speci-
fikke krav til at opnå den ønskede effekt. DI finder det afgørende for regu-
leringens succes og europæiske virksomhedernes konkurrenceevne, at der
arbejdes videre med forslaget på disse områder for at skabe mere klarhed.
Det er vigtigt, at reguleringen ikke rammer skævt, for bredt eller bliver
uhåndterbar for virksomhederne, når den rammer virkeligheden.
Finans Danmark
mener, at der kan forventes et løbende behov for at re-
vurdere, hvilken kunstig intelligens der er højrisiko, da teknologien er un-
der udvikling. Hvis ikke der etableres løbende justeringer, vil regulering
sandsynligvis over tid komme til at ramme skævt i forhold til formålet om
beskyttelse og innovation.
Forbrugerrådet Tænk
mener, at definitionen af højrisiko kunstig intelli-
gens ikke må være for snæver. Hvis begrebet fortolkes snævert, vil en
masse kunstig intelligens-løsninger, som forbrugerne omgiver sig med hver
eneste dag, falde uden for reglerne, og forbrugerbeskyttelsen vil alene
skulle sikres gennem frivillige retningslinjer. Forbrugerrådet Tænk mener,
at højrisiko kunstig intelligens også bør omfatte andre mulige skader eller
ulemper hos forbrugeren såsom økonomisk tab eller økonomisk diskrimi-
nation samt købs- og fastholdelsesmanipulation. Forordningens krav om
fysisk og psykisk skadevirkning bør derfor udvides.
Forsikring & Pension
finder det positivt, at Kommissionen er gået bort
fra at definere særlige sektorer som højrisikosektorer med høj regulering af
al anvendelse af kunstig intelligens inden for den pågældende sektor til
følge. Det giver bedre mening at fokusere på en risikobaseret tilgang til den
konkrete anvendelse af kunstig intelligens og alene fokusere på at sætte
rammer omkring højrisikoanvendelse for at sikre borgernes rettigheder,
 Rådsmøde nr. 3917 (transport, telekommunikation og energi) den 5.-6. december 2022 - Bilag 2: Samlenotat vedr. rådsmøde transport, tele og energi - tele 5-6/12-22
2638316_0028.png
28/37
hvor der er en reel risiko. Forsikring & Pension opfordrer til, at man fra
dansk side bakker op om dette fremadrettet.
IT-Branchen
byder opdelingen i risikokategorier velkommen, da det er
med til at skabe klarhed. Samtidig bliver det afgørende, at listen over høj-
risiko kunstig intelligens med tiden ikke vokser sig lang og uoverskuelig.
Man skal være helt skarpe på, at det kun er løsninger, hvor det er betydelig
risiko for skade, ender med at falde i kategorien højrisiko kunstig intelli-
gens. IT-Branchen mener, at der skal foreligge et klart mandat og kriterier,
før listen kan udvides med nye områder - og først efter dialog med eksperter
og virksomheder med branchekendskab.
Overensstemmelsesvurdering af højrisiko kunstig intelligens, herunder ud-
arbejdelse af standarder og fælles specifikationer
DE
bemærker, at der vil være behov for fælles standarder og specifikatio-
ner, der i dag ikke eksisterer, for at udføre overensstemmelsesvurderinger.
Forslaget giver Kommissionen opgaven med at implementere disse. DE
mener, det vil være bedre, hvis denne opgave blev løst i de regulatoriske
sandkasser, da det vil være en ny tilgang til regulering af teknologi. Det vil
samtidig give en mere permanent og veldefineret rolle til sandkasserne.
DI
ser, at når det gælder de standarder, der skal gøre det muligt at opnå
formodning om overensstemmelse med forslagets krav, vil Kommissionen
udvikle mandater til brug for det europæiske standardiseringssystem. Sam-
tidig vil forordningen finde anvendelse 30 måneder efter, at den er trådt i
kraft. DI sætter spørgsmålstegn ved, om det er realistisk, at de nødvendige
standarder er tilgængelige på det tidspunkt, samt om disse standarder også
skal harmoniseres under sektorreguleringen eller alene under forordning
om kunstig intelligens. Forslaget lægger op til, at overensstemmelsen med
kravene skal foretages i forbindelse med udarbejdelse af overensstemmel-
sesvurderingen i sektorlovgivningen. Der er derfor behov for en nærmere
analyse af, hvordan samspillet mellem denne forordning og den sektorspe-
cifikke lovgivning skal fungere i praksis.
DI og Dansk Standard
fremhæver, at der i forslaget lægges op til, at Kom-
missionen selv kan udvikle tekniske specifikationer, hvis standarder til
brug for publicering ikke udvikles tilstrækkeligt hurtigt. Reelt betyder det,
at Kommissionen får beføjelser til at udvikle detailregulering, som det el-
lers med NLF er formålet at undgå. Beføjelsen bør skrives ud af forslaget.
Alternativt bør der stilles samme krav til udvikling af de tekniske specifi-
kationer som i standardiseringsforordningen.
Dansk Standard
finder det positivt, at Kommissionen lægger op til, at høj-
risiko kunstig intelligens håndteres med NLF-tilgangen og brug af CE-
 Rådsmøde nr. 3917 (transport, telekommunikation og energi) den 5.-6. december 2022 - Bilag 2: Samlenotat vedr. rådsmøde transport, tele og energi - tele 5-6/12-22
2638316_0029.png
29/37
mærkning med henholdsvis egne erklæringer og tredjepartserklæringer.
Denne tilgang bør fastholdes.
Dansk Standard
finder det positivt, at harmoniserede standarder er til-
tænkt en vigtig rolle i forhold til at hjælpe virksomhederne med at over-
holde den nye lovgivning. Samtidig er det vigtigt, at myndigheder, som
senere skal varetage markedsovervågning på området, har forståelse for det
tekniske indhold i standarderne. Ligeledes kan det være en fordel, at de
bemyndigede organer, som skal udføre tredjepartsvurderinger, får grundigt
kendskab til de standarder, som de skal anvende.
IT-Branchen
mener, at det kommer til at kræve betydelige administrative
omkostninger for virksomhederne at skulle dokumentere og teste, at de le-
ver op til reglerne inden for højrisikoområderne. Det bliver derfor afgø-
rende, at danske og europæiske virksomheder kan forstå og agere ud fra
lovgivningen, og at virksomhederne i videst muligt omfang ikke skal ind-
sende samme dokumentation til flere instanser. Det kræver, at EU får skabt
en fleksibel lovgivningsramme uden unødigt bureaukrati. Der kan med for-
del fra national side oprettes støttefunktioner til at guide særligt de små og
mellemstore virksomheder (SMV’erne).
KL
finder det væsentligt, at ny regulering ikke påfører myndigheder bu-
reaukrati i forhold til at implementere de kommende regler. Særligt kan der
være opmærksomhed på at holde eventuelle dokumentationskrav på et mi-
nimum. Derudover fremhæver KL, at det bør anerkendes, at reguleringen
introduceres på et område, hvor der allerede sker anvendelse af teknolo-
gien. Myndighederne, herunder kommunerne, bør således sikres en til-
strækkelig frist og fleksibilitet til at forholde sig til reguleringen, så man
ikke sanktioneres for positive frontrunner indsatser. Samtidig er det cen-
tralt, at kommunernes erfaringer med konkrete løsninger indarbejdes i stan-
dardiseringsarbejdet, således at de danske myndigheders erfaringer og den
danske forvaltningstradition bliver repræsenteret i arbejdet.
Eksisterende lovgivning og NLF
DI
støtter, at kravene vedrørende højrisikoanvendelsen i produkter bygger
på principperne bag NLF. Visse steder bryder forslaget med NLF såsom
Kommissionens mulighed for at udarbejde tekniske specifikationer samt
kravet om, at udbyder skal monitorere regelefterlevelse af systemet gen-
nem hele dets livscyklus. Sidstnævnte åbner desuden en række spørgsmål
om deling af data, der kan påvirke fortrolighed og intellektuelle ejendoms-
rettigheder. DI opfordrer til, at man fra dansk side anmoder Kommissionen
om at redegøre for uoverensstemmelser med NLF-grundlaget. DI mener, at
man kun bør ændre på de grundlæggende principper bag NLF, hvis det er
absolut nødvendigt, og DI savner argumenter, der begrunder denne gen-
nemgribende ændring. Desuden vil Kommissionen som led i evaluering af
 Rådsmøde nr. 3917 (transport, telekommunikation og energi) den 5.-6. december 2022 - Bilag 2: Samlenotat vedr. rådsmøde transport, tele og energi - tele 5-6/12-22
2638316_0030.png
30/37
NLF undersøge, hvordan brug af nye teknologier påvirker NLF, hvorfor
introduktion af ændringer i dette forslag forekommer præmaturt.
DI
fremhæver, at mange EU-initiativer påvirker produkter. Hvis regelef-
terlevelse skal sikres på sigt, er det vigtigt at forholde sig til, hvordan de
forskellige lovgivninger spiller sammen, så resultatet bliver en lovgiv-
ningsmæssig ramme, der fungerer for virksomhederne.
Dansk Standard
fremhæver, at Kommissionens tilgang, der bygger på
NLF og udarbejdelsen af standarder, er en væsentlig lettere metode for
virksomhederne at efterleve samt vil være med til at skabe en agil regule-
ring, da der løbende kan justeres via tekniske standarder. Det kan i den
forbindelse være vigtigt at fastholde krav om rimelige overgangsordninger,
således at virksomheder kan nå at omstille sig til nye krav.
Dansk Standard
ser desuden positivt på, at for kunstig intelligens-kompo-
nenter, der allerede er en del af regulerede produkter med tredje-partsvur-
dering, bygges der videre på NLF-modellen med CE-mærkning. Der vil
dog være udgifter forbundet med udvidelsen af tredjepartsvurderingerne.
Samtidig bør det overvejes, hvad samspillet mellem lovgivninger kommer
til at indebære, også i relation harmoniserede standarder.
Krav om forbrugerrettigheder
Forbrugerrådet Tænk
savner, at der i regelsættet indgår forbrugerret-
tigheder, som forbrugerne kan gøre brug af, når de agerer med virksomhe-
der og myndigheder, der anvender kunstig intelligens. Forslaget henvender
sig
i
nuværende udformning først og fremmest til virksomhederne med
rammer og krav, hvorimod forbrugerbeskyttelse som et grundelement og
de rettigheder, der medfølger i den forbindelse, helt er udeladt. En forbru-
ger bør eksempelvis kunne klage direkte til virksomheden, såfremt den er
uenig i en algoritmisk afgørelse, ligesom muligheden for et menneskeligt
tilsyn/revurdering bør sikres. Uanset at GDPR indeholder en bestemmelse
om kunstig intelligens, bør en tilsvarende regel adresseres direkte i dette
forslag.
Gennemsigtighedsforpligtelser for visse systemer
Forbrugerrådet Tænk
mener, at der bør indgå et krav om, at kunstig in-
telligens-systemer rettet mod forbrugere skal deklareres.
Forsikring & Pension
fremhæver, at der fastsættes krav om, at systemer,
der skal interagere med mennesker, er designet på en måde, så det er tyde-
ligt for personen, at det er et kunstig intelligens-system, der interageres
med. I det omfang det måtte omfatte chatbots, henstilles det, at kravet ikke
bliver unødvendigt bebyrdende.
 Rådsmøde nr. 3917 (transport, telekommunikation og energi) den 5.-6. december 2022 - Bilag 2: Samlenotat vedr. rådsmøde transport, tele og energi - tele 5-6/12-22
2638316_0031.png
31/37
Foranstaltninger til støtte for innovation
DE
støtter ideen om regulatoriske sandkasser for at give bedre vilkår for
innovation. DE mener dog, at dette bør følges af medfinansiering fra EU-
budgettet og andre incitamenter, så det sikres, at der på tværs af medlems-
staterne etableres et tilstrækkeligt antal sandkasser. Derudover ser DE po-
sitivt på forslagene om at understøtte SMV’erne. Dog bør der
fastsættes en
grænse, så de mindste virksomheder og iværksættere fritages helt for at be-
tale gebyrer og lignende i forbindelse med forordningens krav.
Forvaltning og gennemførelse
Dansk Standard
mener, at det er vigtigt, at der indføres rimelige over-
gangsperioder, da der er lagt op til en ambitiøs lovgivning, der stiller store
krav til virksomheder og myndigheders kompetencer og viden på området.
Finans Danmark
støtter, at kommende tilsyn af den finansielle sektor vil
skulle foretages af de reguleringsmyndigheder, som i dag har tilsynsfor-
pligtelsen for de finansielle virksomheder. Hertil vil det være hensigtsmæs-
sigt, hvis det for dette specifikke sektortilsyn blev muligt at anvende en
mere risikobasseret tilgang, og at de finansielle tilsynsmyndigheder i højere
grad kan fravige den firkantede højrisiko og lavrisiko tilgang.
Finansforbundet
mener, at det i denne sammenhæng kan være på sin plads
med en forordning, så der sikres en helt ensartet tilgang i EU til dette vig-
tige og komplicerede område. Det må dog sikres, at medlemsstaterne ikke
hindres i at udvikle nationale tiltag for at understøtte forordningens regel-
sæt og intentioner. Finansforbundet fremhæver desuden, at meget kunstig
intelligens-software, som anvendes af virksomheder i Danmark og andre
europæiske lande, er udviklet uden for EU. Det sætter ekstra fokus på krav
om overholdelse af danske og europæiske værdier i implementeringen.
Forbrugerrådet Tænk
bemærker, at foruden klageadgang, er tilsyn og
håndhævelse en afgørende forudsætning for reglernes effekt. Det er derfor
vigtigt, at tilstrækkelige myndighedsressourcer og tidseffektiv behandling
af forbrugerklager ikke mindst over for globale teknologivirksomheder sik-
res bedre, end tilfældet er i dag efter databeskyttelsesreglerne/GDPR.
IT-Branchen
noterer, at implementeringen af forslaget er henlagt til med-
lemslandene. Det bliver afgørende, at der kommer ensartede nationale af-
gørelser i alle medlemslande, og at der ikke skabes smuthuller og gråzoner
ud fra nationale hensyn. IT-Branchen stiller spørgsmål ved, om medlems-
landene er gearet til denne nye opgave, og hvilke(n) instans(er) der skal
varetage opgaven. Det kommer til at kræve stor ekspertise i medlemslan-
dene at varetage denne opgave, blandt andet da anvendelsesområderne ud-
vikler sig over tid. Dette gør den administrative opgave med den fortlø-
bende kontrol og regulering ekstremt tung. IT-Branchen er bekymret for,
 Rådsmøde nr. 3917 (transport, telekommunikation og energi) den 5.-6. december 2022 - Bilag 2: Samlenotat vedr. rådsmøde transport, tele og energi - tele 5-6/12-22
2638316_0032.png
32/37
om alle medlemslandene har de nødvendige kompetencer, og om den
uklare nationale implementering kan skabe øget usikkerhed for virksomhe-
der på det europæiske marked.
KL
mener, at en god og effektiv implementering kræver viden og støtte.
Det er vigtigt, at forordningen skaber klarhed over, hvilke regler og for-
tolkninger der gælder. Med erfaring fra tidligere forordninger anbefales
det, at der bliver krav om støtte til myndigheder i form af hurtig hjælp til
afklaring af eventuelle spørgsmål, der følger af forordningen. På samme
måde er det centralt, at leverandører af løsninger forpligtes til at sikre over-
holdelse af reglerne i de løsninger, som de udbyder. Dermed vil de for-
mentlig have samme behov for grundig regelindføring og -afklaring.
KL
mener, at der er brug for vejledning og konkrete værktøjer til at under-
støtte reguleringen, og at disse skal være på plads inden reglerne træder i
kraft, så virksomheder og myndigheder kan sikre overensstemmelse med
lovgivningen uden overimplementering eller unødig bureaukratisk doku-
mentation. Der bør afsættes finansiering til arbejdet med disse aktiviteter.
Etablering af det europæiske udvalg for kunstig intelligens
DE
mener, at relevante interessenter skal inddrages i møderne i det euro-
pæiske udvalg for kunstig intelligens.
DI
mener, at udvalget ikke alene skal følge implementeringen af den nye
regulering for at sikre en gnidningsfri implementering, men også tage an-
svaret på sig for at sikre, at implementeringen af reguleringen understøtter
EU’s ambitioner
om at tage ny teknologi i brug til innovation, vækst og for
at skabe et bedre samfund. At skabe en god balance mellem at tage ny tek-
nologi i brug og at beskytte samfundet mod en uhensigtsmæssig udvikling
bør være en formel og prioriteret opgave for det foreslåede europæiske ud-
valg for kunstig intelligens.
Sanktioner
DE
mener, at bødestørrelsen for brud på artikel 5 vedrørende forbudte an-
vendelser virker unødvendigt højt. Det lægger to procentpoint oveni ram-
men fra GDPR og kan være en medvirkende faktor til, at virksomheder helt
fravælger at udvikle og levere kunstig intelligens til skade for europæisk
vækst og innovation.
Forsikring & Pension
noterer, at forslaget anvender et bøderegime, der
kendes fra konkurrenceretten og GDPR. Der stilles dog spørgsmålstegn
ved proportionaliteten i det foreslåede bødeniveau, der umiddelbart virker
voldsomt højt.
 Rådsmøde nr. 3917 (transport, telekommunikation og energi) den 5.-6. december 2022 - Bilag 2: Samlenotat vedr. rådsmøde transport, tele og energi - tele 5-6/12-22
2638316_0033.png
33/37
KL
mener, at det er vanskeligt at vurdere, hvilke sanktioner der vil blive
gennemført, såfremt forpligtelserne ikke overholdes. Som ved GDPR er
KL meget kritisk over for eventuelle økonomiske sanktioner til offentlige
myndigheder.
Adfærdskodeks
DE
bakker generelt op om initiativer båret af frivillighed, der kan bruges
til at promovere en ansvarlig tilgang til digitalisering, herunder kunstig in-
telligens. Her bør Danmark søge at integrere eksisterende indsatser, eksem-
pelvis den danske mærkningsordning D-mærket, og eventuelt bruge for-
ordningen som en løftestang for at udbrede mærket til resten af EU.
DI
fremhæver, at reguleringen ikke kommer til at finde anvendelse på en
lang række anvendelser af kunstig intelligens, men derfor skal virksomhe-
der ikke lade være med at tage ansvar. DI ser, at den danske mærknings-
ordning D-mærket vil være et godt eksempel på et adfærdskodeks for kun-
stig intelligens, der ikke er kategoriseret som højrisiko. DI opfordrer til, at
der fra dansk side arbejdes for, at D-mærket anerkendes som et adfærdsko-
deks for anvendelse af kunstig intelligens, der ikke reguleres som højrisiko.
Finans Danmark
mener, at den skarpe binære sondring mellem høj risiko
og lav risiko sammenholdt med adgangen til frivilligt at underlægge sig
højrisikoregulering sandsynligvis vil risikere ikke at have den ønskede
virkning. Finans Danmarks vurderer, at en mere differentieret og risiko-
baseret tilgang til reguleringen i højere grad vil styrke virksomhedernes in-
teresse for frivilligt at efterleve kravene i den nye regulering.
Finansforbundet
støtter udvikling af adfærdskodekser som et vigtigt sup-
plement til forordningens regler og intentioner. Det er samtidig vigtigt, at
tilsynsmyndigheder mv. sættes i stand til at anvende disse kodekser proak-
tivt, uden at området udvikler sig i omfang og kompleksitet på samme måde
som eksempelvis GDPR. Det er vigtigt, at tiltagene kan være effektivt ret-
ningssættende og eksempelvis facilitere transparente rapporteringer.
Delegerede retsakter
DE
bemærker, at forslaget i vid udstrækning åbner for brug af delegerede
retsakter, hvilket øger usikkerheden for de virksomheder, som lovgivnin-
gen rammer. DE er generelt af den holdning, at delegerede retsakter bør
anvendes mindst muligt.
DI
bemærker, at forordningen lægger op til, at de nærmere krav til moni-
toreringen af regelefterlevelsen skal ske i form af en delegeret retsakt. DI
har brug for mere tid til at tage stilling til, om dette er den mest hensigts-
mæssige løsning, skulle kravet blive fastholdt.
 Rådsmøde nr. 3917 (transport, telekommunikation og energi) den 5.-6. december 2022 - Bilag 2: Samlenotat vedr. rådsmøde transport, tele og energi - tele 5-6/12-22
2638316_0034.png
34/37
9.
Generelle forventninger til andre landes holdninger
I Rådet færdiggjorde man under det slovenske formandskab i andet halvår
af 2021 den første artikelgennemgang af forslaget. Det slovenske formand-
skab fremlagde en fremskridtsrapport på telerådsmødet den 3. december
2021, som identificerede en række elementer, der krævede yderligere drøf-
telse, herunder højrisikokrav, aktørforpligtelser, håndhævelse samt samspil
med eksisterende lovgivning.
Det franske formandskab satte ambitiøst fra start i første halvår af 2022 og
afsluttede den anden artikelgennemgang, og fremsatte en fremskridtsrap-
port på telerådsmødet den 3. juni 2022.
Det tjekkiske formandskab har arbejdet målrettet og effektivt efter at opnå
en generel indstilling til telerådsmødet i december 2022. Der er udarbejdet
en balanceret kompromistekst, og det er forventningen, at alle medlems-
lande vil kunne støtte den generelle indstilling på telerådsmødet den 6. de-
cember 2022. Fra dansk side kan den generelle indstilling støttes, da danske
prioriteter såsom indsnævring af definitionen og klarlægning af højrisi-
koklassificeringen er blevet efterkommet. Det samme gælder ift. fleksibili-
tet til at indrette regulatoriske sandkasser og medlemsstaternes innovati-
onsstøttende tiltag.
10.
Regeringens generelle holdning
Regeringen mener, at digitaliseringen skal tjene samfundets interesser ved,
at digitalisering bidrager til at adressere samfundets udfordringer, mens
etisk, ansvarlig og sikker digitalisering går hånd i hånd med digital vækst.
På den baggrund støtter regeringen ambitionen om at skabe et velfunge-
rende indre marked for etisk, ansvarlig og sikker kunstig intelligens.
Regeringen arbejder for, at den digitale økonomi i Europa generelt kende-
tegnes ved et højt niveau af tillid og tryghed samt en stærk digital konkur-
renceevne baseret på innovationsfremmende og teknologineutrale ramme-
vilkår, hvor gevinsterne ved regulering står mål med administrative og øko-
nomiske omkostninger for virksomhederne.
Regeringen anser kunstig intelligens som en af de afgørende teknologier til
at understøtte EU’s konkurrenceevne, velstand, grønne omstilling samt den
offentlige forvaltning. Regeringen anerkender imidlertid, at anvendelsen af
kunstig intelligens kan indebære en række risici, der kan underminere en
etisk, ansvarlig og sikker anvendelse af kunstig intelligens.
 Rådsmøde nr. 3917 (transport, telekommunikation og energi) den 5.-6. december 2022 - Bilag 2: Samlenotat vedr. rådsmøde transport, tele og energi - tele 5-6/12-22
35/37
Regeringen støtter, at risiciene ved kunstig intelligens adresseres i en euro-
pæisk lovgivningsramme. Regeringen finder det centralt, at der med forsla-
get opnås en ansvarlig og etisk anvendelse af kunstig intelligens-løsninger
og dataene bag disse.
Regeringen finder det vigtigt, at den europæiske lovgivningsramme følger
en risikobaseret, teknologineutral og proportionel tilgang, hvor graden af
forpligtelser følger graden af mulig skadevirkning. På den baggrund finder
regeringen det vigtigt at opnå en klar, principbaseret og operationel lovgiv-
ningsramme, der sikrer borgernes og forbrugernes tillid og øger beskyttel-
sen i samfundet, uden at dette unødigt hæmmer innovationsevnen eller for-
ringer konkurrenceevnen. Regeringen finder det derfor vigtigt, at der findes
den rette balance, hvor risici adresseres, samtidig med at teknologien kan
udvikles og anvendes til gavn for vores samfund samt understøtte fremti-
dens arbejdspladser og offentlige forvaltning. Regeringen finder det vig-
tigt, at der stilles krav til datakvaliteten i udvikling af højrisiko kunstig in-
telligens-systemer.
I den henseende finder regeringen det centralt, at forordningen ligger inden
for rammerne af eksisterende kompetencefordeling, herunder for så vidt
angår national sikkerhed
Regeringen finder det centralt, at forordningen ligger inden for rammerne
af eksisterende lovgivning, herunder GDPR og produktlovgivningen. Det
bemærkes, at de eksisterende regler i GDPR tilvejebringer en beskyttelse
af personoplysninger. Borgere og forbrugere (registrerede) vil således efter
de eksisterende databeskyttelsesregler kunne klage til Datatilsynet over en
behandling af deres personoplysninger. Herudover vil borgere og forbru-
gere (registrerede) kunne tilbagetrække sit samtykke i de tilfælde, hvor
samtykke udgør grundlaget for databehandling. Regeringen finder det vig-
tigt, at der sikres klarhed i forhold til samspillet mellem AI-forordningens
bestemmelser om personoplysninger og de generelle regler i GDPR, og at
dobbeltregulering så vidt muligt undgås.
Regeringen finder det vigtigt, at der anlægges en principbaseret tilgang, der
efterlader et vist manøvrerum til den specifikke tekniske løsning, samt at
der bl.a. gives mulighed for anvendelsen af harmoniserede standarder
(f.eks. ift. forpligtelser om data og datahåndtering, hvor standardisering gi-
ver mulighed for kvalitetssikring). Hertil finder regeringen det vigtigt, at
der stilles krav til datakvaliteten i udvikling af højrisiko kunstig intelligens-
systemer. En principbaseret tilgang forudsætter dog udarbejdelse af vejled-
ning på europæisk plan samt udarbejdelse af standarder, inden forordnin-
gen finder anvendelse, hvilket regeringen finder vigtigt.
 Rådsmøde nr. 3917 (transport, telekommunikation og energi) den 5.-6. december 2022 - Bilag 2: Samlenotat vedr. rådsmøde transport, tele og energi - tele 5-6/12-22
2638316_0036.png
36/37
Regeringen finder det centralt, at centrale begreber i forslaget klarlægges
og afgrænses, herunder definitionen af kunstig intelligens samt kategorise-
ringen af højrisiko kunstig intelligens. Det er vigtigt, at definitionen af kun-
stig intelligens er klar og kun omfatter det, der reelt udgør kunstig intelli-
gens.
Kategorien af højrisiko kunstig intelligens bør klart afgrænses til anvendel-
ser, der reelt kan medføre betydelig og svært genoprettelig skade. En po-
tentiel, fremtidig udbygning af højrisikokategorien skal ske på grundlag af
en konkret risikovurdering samt klare og forudsigelige kriterier. I den hen-
seende finder regeringen det vigtigt, at højrisikoanvendelserne afgrænses
til de anvendelser, der kan være ugunstige for de påvirkede aktører, herun-
der borgere og forbrugere, og arbejder for, at efterlevelsesomkostninger
står mål med gevinsterne ved regulering.
Regeringen bakker op om forbud af specifikke anvendelser af kunstig in-
telligens, hvor anvendelsen kan resultere i alvorlig, uoprettelig skade for
individer eller samfundet eller er uforenelig med gældende lovgivning eller
rettigheder, samt hvor dette ikke kan adresseres på anden vis.
I forlængelse heraf mener regeringen, at retshåndhævende myndigheders
brug af biometrisk fjernidentificering i realtid på offentlige steder i visse-
situationer, kan retfærdiggøres. Det må dog hverken resultere i generel
overvågning eller undergravning af grundlæggende rettigheder såvel som
eksisterende lovgivning. Det bemærkes dog, at forordningens regler om
retshåndhævende myndigheders brug af biometrisk fjernidentifikation i re-
altid på offentligt tilgængelige steder er omfattet af retsforbeholdet, og
Danmark er således ikke bundet heraf.
Regeringen støtter forudgående overensstemmelsesvurderinger til at sikre
efterlevelse af højrisikokravene. I den forbindelse ser regeringen positivt
på Kommissionens forslag, der blandt andet tager højde for eksisterende
lovgivning og kombinerer forskellige procedurer, herunder både intern og
tredjepartskontrol. Regeringen arbejder imidlertid for, at efterlevelsesom-
kostninger, herunder de administrative omkostninger, står mål med gevin-
sterne ved reguleringen. Samtidig er det vigtigt, at der sikres effektive ef-
terlevelsesprocedurer, herunder tilstrækkelig kapacitet samt kompetencer
til at certificere den omfattede kunstig intelligens effektivt.
Regeringen støtter enkle gennemsigtighedsforpligtelser for visse anvendel-
ser af kunstig intelligens. Målet om gennemsigtighed skal dog give mer-
værdi, og regeringen finder det vigtigt, at de omfattede anvendelser af kun-
stig intelligens klarlægges, og at gennemsigtighedsforpligtelserne er pro-
 Rådsmøde nr. 3917 (transport, telekommunikation og energi) den 5.-6. december 2022 - Bilag 2: Samlenotat vedr. rådsmøde transport, tele og energi - tele 5-6/12-22
2638316_0037.png
37/37
portionelle og ikke skaber modsatrettede hensyn i forhold til grundlæg-
gende rettigheder, da kunstig intelligens kan anvendes til at redigere ind-
hold som led i udøvelsen af informations- og ytringsfrihed.
Da det overordnede mål er at styrke etisk, ansvarlig og sikker kunstig in-
telligens, støtter regeringen udformningen af frivillige adfærdskodeks, der
kan blive et konkurrenceparameter for danske og europæiske virksomhe-
der. Regeringen arbejder for, at der bør være forskel på højrisiko kravene
og kravene i adfærdskodeks, da al kunstig intelligens ellers de facto vil
være underlagt de skærpede højrisikokrav. Frivillige adfærdskodeks kan
være et indledende skridt mod en europæisk frivillig mærkningsordning for
kunstig intelligens, som regeringen fortsat vil arbejde for.
Regeringen finder det vigtigt, at forvaltningen og håndhævelsen foregår
nationalt, hvor der bygges på eksisterende, nationale strukturer, der sikrer
en effektiv databeskyttelse og forbrugerbeskyttelse. I den henseende arbej-
der regeringen for, at medlemslandene bevarer retten til at fastlægge den
nationale organisering. Regeringen finder det vigtigt, at forslaget ikke på-
lægger medlemslandene unødige statsfinansielle omkostninger, og at ge-
vinsterne ved forslaget står mål med de administrative omkostninger. Der-
udover vil regeringen fremhæve behovet for et europæisk tilsyn til at hånd-
tere sager af en vis størrelse eller grænseoverskridende karakter.
I forlængelse heraf bakker regeringen op om etablering af et europæisk ud-
valg for kunstig intelligens, der skal sikre effektiv og ensartet håndhævelse
af de nye regler på tværs af grænserne.
Regeringen mener, at effektiv håndhævelse er vigtigt, hvis målet om at ud-
vikle og anvende etisk, ansvarlig og sikker kunstig intelligens skal nås. Re-
geringen støtter derfor indførelsen af effektive og passende sanktioner, her-
under bøder. I samme ombæring finder regeringen det vigtigt, at det nuvæ-
rende hensyn til medlemslandenes forskellige juridiske systemer bevares.
Som udgangspunkt er regeringen skeptisk over for Kommissionens forslag
om delegerede retsakter. I den forbindelse arbejder regeringen for, at an-
vendelsesområdet for potentielle, følgende retsakter med betydning for lov-
givningsmæssige og økonomiske konsekvenser klart afgrænses.
Regeringen støtter initiativer, der kan fremme innovationskraften inden for
kunstig intelligens, herunder etableringen af effektive og fleksible rammer
for regulatoriske sandkasser. Disse kan blandt andet understøtte de små og
mellemstore virksomheders efterlevelse af kravene og deraf bidrage til at
understøtte udviklingen af kunstig intelligens.
11.
Tidligere forelæggelse for Folketingets Europaudvalg
 Rådsmøde nr. 3917 (transport, telekommunikation og energi) den 5.-6. december 2022 - Bilag 2: Samlenotat vedr. rådsmøde transport, tele og energi - tele 5-6/12-22
2638316_0038.png
38/37
Forslaget blev forelagt Folketingets Europaudvalg til forhandlingsoplæg
den 3. juni 2022.
Forslaget har desuden været forelagt Folketingets Europaudvalg til orientering
den 23. september 2021 i forbindelse med forelæggelsen af konkurrenceevneråds-
mødet, den 25. november 2021 i forbindelse med forelæggelsen af telekommuni-
kationsrådsmødet d. 2. december og den 19. maj i forbindelse med telekommuni-
kationsrådsmøderne, samt til skriftlig orientering den 1. oktober 2021 i forbin-
delse med det uformelle telekommunikationsrådsmøde d. 14. oktober 2021. Der
blev oversendt grund- og nærhedsnotat den 28. juni 2021.
 Rådsmøde nr. 3917 (transport, telekommunikation og energi) den 5.-6. december 2022 - Bilag 2: Samlenotat vedr. rådsmøde transport, tele og energi - tele 5-6/12-22
2638316_0039.png
17. november 2022
EUROPA-PARLAMENTETS OG RÅDETS FORORDNING om
harmoniserede regler om fair adgang til og anvendelse af data (data-
forordningen) KOM (2022) 68
Revideret udgave af Grund- og Nærhedsnotatet oversendt d. 11. april 2022
Ændringer markeret med streg i venstre side.
1.
Resumé
Formålet med dagsordenspunktet på rådsmødet er at drøfte fremskridtsrap-
porten for dataforordningen for at få en politisk pejling på forslaget, hvilket
man fra dansk side kan støtte.
Europa-Kommissionen
(’Kommissionen’) præsenterede den 23. februar
2022 ”The Data Act” (dataforordningen). Forordningen lanceres som den
anden retsakt på baggrund af Kommissionens datastrategi, der blev fremsat
i februar 2020.
Forslaget har til formål at fremme adgangen til og anvendelsen af data,
samt at sikre retfærdighed i fordelingen af den værdi, der hidrører fra data,
herunder adressere techgiganters datamonopol. Forslagets hovedelementer
er (1) regler der skal gøre data, der er genereret ved brug af et produkt eller
en relateret tjeneste (’Internet of Things-produkter og tjenester’), tilgænge-
lige for brugeren; (2) horisontale rammer for dataindehavere, hvor disse er
retligt forpligtede til at stille data til rådighed; (3) horisontale rammer, der
skal
beskytte mikrovirksomheder og SMV’er mod urimelige aftalevilkår i
forbindelse med datadeling; (4) en harmoniseret ramme for offentlig myn-
digheders eller for EU’s institutioners, agenturers og organers adgang til og
anvendelse af virksomhedsdata, ved tilfælde af ekstraordinært behov; (5)
krav, der skal give brugere af databehandlingstjenester mulighed for at
skifte udbyder; (6) tiltag til beskyttelse mod tredjeparters ulovlige adgang
til ikke-persondata i EU.
Regeringen støtter ambitionen om at øge adgangen til og anvendelsen af
data og sikre en mere retfærdig fordeling af data, herunder adressere techgi-
ganters datamonopol. Regeringen anser adgangen til og anvendelsen af
data som et væsentligt fundament for udviklingen af digitale teknologier
og tjenester, der kan fremme vækst og innovation, og som derigennem kan
bidrage til genopretningen af økonomien og til at løse klimaudfordringen.
Regeringen mener, at digitaliseringen skal tjene samfundets interesser ved,
at digitalisering bidrager til at adressere samfundets udfordringer, mens
etisk, ansvarlig og sikker digitalisering går hånd i hånd med digital vækst.
 Rådsmøde nr. 3917 (transport, telekommunikation og energi) den 5.-6. december 2022 - Bilag 2: Samlenotat vedr. rådsmøde transport, tele og energi - tele 5-6/12-22
2638316_0040.png
40/32
Regeringen finder det vigtigt, at forordningens initiativer understøtter en
effektiv, ansvarlig og sikker adgang til og anvendelse af data, som skaber
reel værdi for borgere og virksomheder. Regeringen mener, at virksomhe-
ders datadeling og -anvendelse skal fremmes gennem etablering af klare,
forståelige og horisontale rammer for datadeling, samt gennem øget inter-
operabilitet mellem tjenester og decentraliseret dataudveksling.
Regeringen finder det essentielt, at offentlige myndigheders ret til at tilgå
virksomhedsdata til samfundsmæssige formål skal afgrænses på baggrund
af en klar definition af, hvad der udgør en offentlig nødsituation. Endvidere
mener regeringen, at offentlige myndigheders adgang til virksomhedsdata
på tværs grænser skal gå igennem de nationale myndigheder i etablerings-
landet.
Regeringen ser positivt på etablering af horisontale rammer til at beskytte
mikrovirksomheder og SMV’er mod urimelige
aftalevilkår i forbindelse
med datadeling, samt på at brugere af Internet of Things-produkter og -
tjenester får adgangsret til data. Regeringen støtter desuden hensigten om
at fremme en effektiv flytning af data mellem cloudtjenester, og at de tek-
niske udfordringer søges håndteret gennem fælles standarder og formater.
Regeringen finder, at dataøkonomien er grænseoverskridende af natur,
hvorfor tiltag til at fremme den europæiske dataøkonomi skal fungere i den
globale økonomi og respektere internationale samarbejdspartnere og han-
delsaftaler.
Regeringen vurderer, at der vil være lovgivningsmæssige og økonomiske
konsekvenser.
Sagen forelægges til orientering.
2.
Baggrund
Kommissionen har den 23. februar 2022 fremsendt forslag om dataforordnin-
gen (KOM (2022) 68). Forslaget er oversendt til Rådet den 21. marts 2022 i
dansk sprogversion. Forslaget er fremsat med hjemmel i TEUF artikel 114.
Forslaget skal vedtages af Rådet og Europa-Parlamentet efter den almindelige
lovgivningsprocedure, jf. traktatens artikel 294. Rådet træffer afgørelse med
kvalificeret flertal.
Baggrunden for forslaget er den digitale pakke, som Kommissionen fremsatte
i februar 2020, herunder særligt ”En europæisk strategi for data” (jf. grund-
og nærhedsnotat oversendt til FEU d. 27. marts 2020). Kommissionens data-
strategi beskriver retningen, formålet med og processen for initiativer for data
i perioden 2020-2025. Heraf fremgår det, at Kommissionen vil understøtte et
 Rådsmøde nr. 3917 (transport, telekommunikation og energi) den 5.-6. december 2022 - Bilag 2: Samlenotat vedr. rådsmøde transport, tele og energi - tele 5-6/12-22
2638316_0041.png
41/32
indre marked for data gennem fælles regler for dataadgang og dataanvendelse
og undersøge, under hvilke omstændigheder, virksomheder, offentlige myn-
digheder og borgere kan og bør dele data. Strategien lægger op til investerin-
ger i fælles europæiske dataområder og sammenslutning af cloudinfrastruk-
turer, som skal nedbryde juridiske og tekniske barrierer for datadeling, samt
understøtte sikker datadeling i EU.
Datastyringsforordningen blev fremsat som den første retsakt med afsæt i da-
tastrategien, og har til formål at øge tilgængeligheden af data ved dels at
styrke tilliden til datadelingstjenester og dels at indføre nye datadelingsmeka-
nismer på tværs af EU. Rådet, Kommissionen og Europa-Parlamentet nåede
til enighed om forordningen den 30. november 2021.
Kommissionen har den 15. november fremsat forslag om en retsakt om digi-
tale markeder, der har til formål at sikre åbne og retfærdige digitale markeder
i de tilfælde,
hvor digitale platforme fungerer som såkaldte ”gatekeepers”.
Med gatekeepers forstås platforme, som i høj grad påvirker rammer og regler
for både forbrugervalg og konkurrencen på de dele af markedet, hvor platfor-
mene er kontrollerende. Rådet og Europa-Parlamentet nåede til enighed om
forordningen den 24. marts 2022.
Dataforordningen er den anden retsakt, som er blevet fremsat med afsæt i
Kommissionens datastrategi.
3.
Formål og indhold
Der ventes på rådsmødet en drøftelse af formandskabets fremskridtsrapport
med henblik på at få politisk pejling på forslaget.
Dataforordningens formål er at fremme adgangen til og anvendelsen af data,
samt at sikre retfærdighed i fordelingen af den værdi, der hidrører fra data.
Forordningen skal give bedre adgang til data for forbrugere og virksomheder,
adressere techgiganters datamonopol, samt sikre at offentlige myndigheder
og EU’s institutioner, agenturer og organer kan anvende virksomhedsdata i
tilfælde af et ekstraordinært behov.
Derudover skal forslaget facilitere et lettere skift mellem databehandlingstje-
nester, såsom cloud og edgetjenester, og indføre sikkerhedsbeskyttelsesfor-
anstaltninger mod ulovlig dataadgang ved opbevaring af ikke-persondata hos
databehandlingstjenester. Endelig skal forordningen facilitere udarbejdelse af
interoperabilitetsstandarder for, at data kan genanvendes på tværs af sektorer.
Kap. 1: Anvendelsesområde og definitioner
 Rådsmøde nr. 3917 (transport, telekommunikation og energi) den 5.-6. december 2022 - Bilag 2: Samlenotat vedr. rådsmøde transport, tele og energi - tele 5-6/12-22
2638316_0042.png
42/32
Forslagets kapitel 1 indeholder generelle bestemmelser, herunder om forord-
ningens genstandsfelt og anvendelsesområde. Forordningen skal finde anven-
delse på:
a) producenter af produkter og leverandører af relaterede tjenester, som
markedsføres i EU og brugerne af sådanne produkter og tjenester
b) dataindehavere, der stiller data til rådighed for datamodtagere i EU
c) datamodtagere i EU, som dataene stilles til rådighed for
d)
offentlige myndigheder og EU’s institutioner, agenturer og organer
e) udbydere af databehandlingstjenester, der tilbyder databehandling i
EU.
Forslaget berører ikke forordning (EU) 2016/679 (persondataforordningen)
og direktiv 2002/58/EF (e-databeskyttelsesdirektivet), men bestemmelser i
denne forordning supplerer retten til dataportabilitet i henhold til artikel 20 i
persondataforordningen. Forslaget berører ikke EU-retsakter, nationale rets-
akter og internationalt samarbejde om udveksling af, adgang til og anvendelse
af data med henblik på at forebygge, efterforske, afsløre eller retsforfølge
strafbare handlinger.
Kap. 2: Datadeling mellem virksomheder og forbrugere og mellem virksom-
heder
Kapitlet giver forbrugere og virksomheder ret til at få adgang til og anvende
data, der genereres af de produkter eller relaterede tjenester, de ejer, lejer eller
leaser.
Kommissionen foreslår at forpligte producenter og leverandører af Internet of
Things-genstande (IoT-genstande) til at udforme produkter og relaterede tje-
nester på en måde, der som standard gør data let tilgængelige for brugeren.
Hvor brugerens direkte adgang til data ikke er mulig, skal dataindehavere
stille data gratis til rådighed på baggrund af en simpel anmodning.
Dertil indføres gennemsigtighedsforpligtelser, hvormed brugeren, inden der
indgås en aftale, skal oplyses om, bl.a. hvordan data kan tilgås, hvorvidt pro-
ducenten eller andre vil bruge data, samt mulighederne for klageadgang.
Dataindehaveres ret til at anvende ikke-persondata, som genereres ved brug
af et produkt eller relateret tjeneste, begrænses, idet en sådan anvendelse skal
ske på grundlag af en kontrakt med brugeren.
Derudover foreslår Kommissionen, at brugere skal have ret til at dele IoT-
genereret data med tredjeparter, hvormed dataindehaveren forpligtes til at
stille data gratis til rådighed til tredjeparter på brugerens anmodning. Hensig-
ten er, at forbrugere og erhvervsbrugere, der anvender IoT-produkter, skal
kunne drage fordel af andre reparations- og vedligeholdelsestjenester end pro-
ducentens, samt få mulighed for at få analyseret og behandlet deres data.
 Rådsmøde nr. 3917 (transport, telekommunikation og energi) den 5.-6. december 2022 - Bilag 2: Samlenotat vedr. rådsmøde transport, tele og energi - tele 5-6/12-22
2638316_0043.png
43/32
Der lægges herudover op til at kravene til producenter af IoT-produkter og
dataindehavere af IoT-data er omfattet af forordningen, hvis de udbyder tje-
nester i EU eller stiller data til rådighed i EU. Samtidig lægges der op til, at
det vil være nationale myndigheder, der håndhæver hele forordningen. Som
udgangspunkt udpeges/etableres en kompetent myndighed for dataforordnin-
gen, der skal håndhæve stort set hele forslaget inkl. krav til dataindehavere
overfor danske forbrugere eller virksomheder (enkelte aspekter af kapitlet
fsva. persondata skal dog håndhæves af datatilsynet).
Der indføres en undtagelse om, at virksomheder, der er blevet udpeget som
gatekeepere i henhold til forslaget om en retsakt om digitale markeder, ikke
må være tredjepart i henhold til dataforordningen. Gatekeepers må dermed
ikke modtage IoT-genereret data fra en bruger, eller anmode eller kommerci-
elt tilskynde brugere til at give adgang til sådanne data. Berettigede tredjepar-
ter må endvidere ikke stille data til rådighed for gatekeepers.
Hverken brugere eller tredjeparter må anvende data til at udvikle et produkt,
der konkurrerer med det produkt, som data stammer fra. Endvidere skal der
træffes de nødvendige foranstaltninger for at beskytte forretningshemmelig-
heder.
Der indføres derudover en række begrænsninger for tredjeparter angående
deres anvendelse af data og samarbejde med brugeren.
Endelig foreslår Kommissionen, at forpligtelser i kapitel 2 ikke skal finde an-
vendelse for data genereret ved brug af produkter eller relaterede tjenester,
der fremstilles eller leveres af virksomheder, der betragtes som mikrovirk-
somheder eller små virksomheder som defineret i artikel 2 i bilaget til hen-
stilling 2003/361/EF (Kommissionens henstilling om definitionen af mikro-
virksomheder, små og mellemstore virksomheder).
Kap. 3: Forpligtelser for dataindehavere, der er retligt forpligtede til at stille
data til rådighed
Kapitlet fastlægger horisontale rammer for dataindehavere, hvor disse er ret-
ligt forpligtede til at stille data til rådighed i henhold til fremtidiglovgivning,
samt i henhold til kapitel 2 i forordningen.
Der opstilles en række betingelser for dataindehavere, hvor de på baggrund
af en retlig forpligtelse skal stille data til rådighed:
(a) data skal stilles til rådighed på fair, rimelige og ikke diskrimine-
rende vilkår og på en gennemsigtig måde
(b) vilkår for at stille data til rådighed skal aftales mellem dataindeha-
ver og datamodtager
 Rådsmøde nr. 3917 (transport, telekommunikation og energi) den 5.-6. december 2022 - Bilag 2: Samlenotat vedr. rådsmøde transport, tele og energi - tele 5-6/12-22
2638316_0044.png
44/32
(c) dataindehaver må ikke diskriminere mellem sammenlignelige kate-
gorier af datamodtagere. Dataindehaver har bevisbyrden, såfremt
denne anklages for at diskriminere
(d) en dataindehaver må ikke stille data til rådighed med eneret for en
datamodtager
(e) dataholdere og datamodtagere kan ikke kræves at skulle give yder-
ligere information end, hvad er strengt nødvendigt for at bekræfte
overholdelse af de aftalte kontraktlige vilkår
(f) medmindre andet angives i EU-lov, kan en forpligtelse om at stille
data til rådighed til en datamodtager ikke medføre en forpligtelse til
at videregive forretningshemmeligheder.
Kommissionen foreslår at dataindehavere, der er retligt forpligtede til at
stille data til rådighed, kan kræve godtgørelse derfor. I den forbindelse skal
enhver godtgørelse, der aftales mellem dataindehaver og datamodtager
være rimelig, og dataindehaveren skal derfor oplyse datamodtageren
grundlaget for beregningen af godtgørelsen. Når datamodtageren er en
mikrovirksomhed eller en SMV, må den aftalte godtgørelse ikke overstige
de omkostninger, der er direkte forbundet med at stille data til rådighed for
datamodtageren. Endelig er bestemmelserne ikke til hinder for, at der i
fremtidig lovgivning fastsættes lavere kompensationsmuligheder eller ind-
føres krav, der ekskluderer dataholders mulighed for at kræve godtgørelse.
Medlemsstaterne skal ifølge forslaget certificere et tvistbilægningsorgan,
der kan bilægge tvister mellem dataindehaver og datamodtager angående
fastsættelsen af fair, rimelige og ikke-diskriminerende vilkår for dataad-
gang. Tvistbilæggelsesorganets afgørelser skal kun være bindende for par-
terne, hvis de udtrykkeligt har samtykket til den bindende karakter forud
for mæglingen.
Endelig indføres bestemmelser, der giver dataholder mulighed for at an-
vende tekniske beskyttelsesforanstaltninger til at forebygge uautoriseret
adgang til data og for at sikre overholdelse af forordningens øvrige bestem-
melser.
Kap. 4: urimelige vilkår vedrørende dataadgang og -anvendelse mellem
virksomheder
Kapitlet indfører horisontale rammer, der skal beskytte mikrovirksomheder
og SMV’er mod urimelige aftalevilkår i forbindelse med datadeling. Formålet
er at forebygge situationer, hvor en part udnytter et skævt magtbalancefor-
hold, når der indgås kontrakter om dataadgang og -anvendelse.
Det foreslås, at kontraktlige vilkår indgået om adgangen til og brugen af data
ikke skal være bindende for mikrovirksomheder og SMV’er,
hvis disse vilkår
 Rådsmøde nr. 3917 (transport, telekommunikation og energi) den 5.-6. december 2022 - Bilag 2: Samlenotat vedr. rådsmøde transport, tele og energi - tele 5-6/12-22
2638316_0045.png
45/32
er urimelige, og hvis de er ensidigt påtvunget af den anden part. Hvis det uri-
melige aftalevilkår kan adskilles fra de øvrige aftalevilkår, forbliver disse øv-
rige vilkår bindende.
Reglerne for urimelige vilkår skal kun gælde de elementer af en kontrakt, som
er relateret til at stille data til rådighed. Andre dele af samme kontrakt vil ikke
være underlagt reglerne i forordningen. Derudover finder reglerne ikke an-
vendelse for aftalevilkår om den pris, der skal betales.
Kap. 5: Tilrådighedsstillelse af data for offentlige myndigheder og unionens
institutioner, agenturer eller organer på grundlag af et ekstraordinært behov
Kapitlet vedrører fastlæggelsen af en harmoniseret ramme for offentlig myn-
digheders eller
for EU’s institutioners, agenturers og organers (herefter ’of-
fentlige myndigheder’) adgang til og anvendelse af virksomhedsdata, ved
tilfælde af et ekstraordinært behov.
Kapitlet finder ikke anvendelse for virksomheder, der betragtes som mikro-
virksomheder eller små virksomheder.
Kommissionen foreslår, at dataindehavere efter anmodning skal stille data til
rådighed for en offentlig myndighed, hos hvilken der foreligger et ekstraor-
dinært behov for at anvende de ønskede data.
Et ekstraordinært behov for data anses for at foreligge under følgende om-
stændigheder:
(a) de data, der anmodes om, er nødvendige for at reagere på en offent-
lig nødsituation
(b) dataanmodningen er begrænset i tid og omfang og er nødvendig for
at forebygge eller bidrage til genopretningen efter en offentlig nød-
situation
(c) manglen på tilgængelige data forhindrer den offentlige myndighed
i at udføre en specifik opgave i offentlighedens interesse, som ud-
trykkeligt er fastsat ved lov, og hvor
(1) den offentlige myndighed ikke har været i stand til at ind-
hente sådanne data på alternative måder, og vedtagelsen af
nye lovgivningsmæssige foranstaltninger ikke kan sikre ret-
tidig tilgængelighed, eller
(2) indhentningen af data i væsentlig grad mindsker den admi-
nistrative byrde for dataindehaveren eller andre virksomhe-
der.
Der foreslås rammer for offentlige myndigheders anmodninger om at få data
stillet til rådighed, der bl.a. stiller krav til at påvise det ekstraordinære behov,
og til at præcisere hvilke data og hvordan de skal stilles til rådighed, samt at
 Rådsmøde nr. 3917 (transport, telekommunikation og energi) den 5.-6. december 2022 - Bilag 2: Samlenotat vedr. rådsmøde transport, tele og energi - tele 5-6/12-22
2638316_0046.png
46/32
anmodninger skal stå i et rimeligt formål til behovet. Anmodninger skal så
vidt muligt vedrøre ikke-persondata.
Hvis en af EU’s institutioner eller
en offentlig myndighed i et medlemsland
vil anmode om data fra en dataindehaver etableret i en anden medlemsstat,
skal denne først underrette den kompetente myndighed for dataforordningen
i den pågældende medlemsstat og tage højde for den kompetente myndigheds
rådgivning om behov for samarbejde med nationale myndigheder med hen-
blik på at mindske den administrative byrde for dataindehaveren.
Der stilles krav til de offentlige myndigheders anvendelse af data, herunder,
at anvendelse skal være forenelig med formålet for anmodningen, og at data
skal destrueres efterfølgende. Data kan deles med enkeltpersoner eller orga-
nisationer med henblik på at udføre videnskabelig forskning eller analyse, der
er forenelig med det angivne formål, samt udarbejdelse af officielle statistik-
ker.
Der foreslås rammer for dataindehaverens efterlevelse af anmodninger og
mulighed for at afslå eller anmode om ændringer til anmodningen om tilrå-
dighedsstillelse.
Dataindehavere har ikke krav på at få godtgørelse for data, der stilles til
rådighed for at reagere på en offentlig nødsituation. Dataindehavere kan
kræve godtgørelse for at efterkomme anmodninger om data baseret på de
øvrige kategorier af ekstraordinært behov. Godtgørelsen kan ikke overstige
de omkostninger, der er afholdt for at efterkomme anmodningen plus en
rimelig margen, og dataindehaver skal fremlægge oplysninger om bereg-
ningen deraf.
I forslaget anføres, at dataforordningens bestemmelser om at stille data til
rådighed for offentlige myndigheder ikke berører de forpligtelser om at
stille data til rådighed for offentlige myndigheder, der er fastsat i anden
europæisk eller national lovgivning.
Offentlige myndigheders rettigheder i kapitel 5 må endvidere ikke udøves
med henblik på forebyggelse, efterforskning, afsløring eller retsforfølgning
af strafferetlige eller administrative overtrædelser eller fuldbyrdelse af
strafferetlige sanktioner eller told- og skatteforvaltning.
Kap. 6: Skift mellem databehandlingstjenester
Kapitlet introducerer minimumskrav for databehandlingstjenester, såsom
cloud- og edgetjenester med henblik på at give brugere af tjenesterne mu-
lighed for at skifte udbyder.
 Rådsmøde nr. 3917 (transport, telekommunikation og energi) den 5.-6. december 2022 - Bilag 2: Samlenotat vedr. rådsmøde transport, tele og energi - tele 5-6/12-22
2638316_0047.png
47/32
Kommissionen foreslår, at udbydere af databehandlingstjenester skal fjerne
handelsmæssige, tekniske, kontraktmæssige og organisatoriske hindringer
for, at deres brugere effektivt kan skifte fra én udbyder til en anden. Det
indebærer, at brugere skal kunne flytte alle deres data og digitale aktiver,
samt afslutte deres kontrakt med 30 dages varsel.
Udbyderene forpligtes til at tilbyde al den bistand og støtte, der er nødven-
dig for et vellykket skifte. Derved skal brugere efter et skift kunne opret-
holde et minimum af funktionalitet, når de anvender den nye tjeneste, hvis
den nye udbyder dækker den samme tjenestetype som den forrige. Hvor
der er tale om skifte mellem forskellige tjenestetyper eller det af andre år-
sager ikke er teknisk muligt at opretholde et minimum af funktionalitet,
skal udbyderne løse opgaven bedst muligt, bl.a. ved at anvende værktøjer
og standarder for interoperabilitet, der ventes indført på baggrund af for-
ordningen. Hvis disse værktøjer endnu ikke findes, skal udbyderen på kun-
dens anmodning eksportere alle kundens data i et struktureret og maskin-
læsbart format.
Hvor overgangsperioden på 30 dage ikke er teknisk gennemførlig, skal ud-
byderen angive en alternativ overgangsperiode, der ikke må overstige seks
måneder.
Der lægges op til, at gebyrer for at skifte af udbyder gradvis fjernes over
en treårig periode. Forslaget giver Kommissionen beføjelse til at vedtage
delegerede retsakter for at indføre en overvågningsmekanisme, hvorigen-
nem Kommissionen kan føre tilsyn med tilbagetrækningen af gebyrer.
Kap. 7: Beskyttelse af andre data end personoplysninger i internationale sam-
menhænge
Kapitlet indfører tiltag til beskyttelse mod tredjeparters ulovlige adgang til
andre data end personoplysninger i EU gennem databehandlingstjenester, der
udbydes på det indre marked.
Det foreslås, at udbydere af databehandlingstjenester skal træffe alle rimelige
tekniske, retlige og organisatoriske foranstaltninger for at forhindre statslig
adgang til ikke-persondata, hvor sådan adgang er i strid med lovgivningen.
Derved kan en forespørgsel om adgang til ikke-persondata på baggrund af en
afgørelse afsagt af en domstol, ret eller administrativ myndighed i et tredje-
land kun anerkendes og håndhæves, hvis den bygger på en international aftale
mellem tredjelandet og EU eller den relevante medlemsstat. Hvor der ikke
foreligger en sådan aftale, må databehandlingstjenesten kun efterleve anmod-
ningen hvis:
(a) tredjelandets system kræver, at afgørelsen begrundes, er af specifik
karakter, og at den skal stå i et rimeligt forhold til formålet,
 Rådsmøde nr. 3917 (transport, telekommunikation og energi) den 5.-6. december 2022 - Bilag 2: Samlenotat vedr. rådsmøde transport, tele og energi - tele 5-6/12-22
2638316_0048.png
48/32
(b) adressatens indsigelse kan prøves ved en kompetent domstol eller ret,
og
(c) den kompetente domstol har beføjelse til at tage behørigt hensyn til
retlige interesser hos den, der stiller data til rådighed.
Adressaten for afgørelsen får mulighed for at anmode om en udtalelse fra re-
levante kompetente myndigheder for at fastslå, om ovenstående betingelser
er opfyldt. Derudover foreslås det, at Kommissionen skal udarbejde retnings-
linjer for sådanne vurderinger.
Når udbyderen af en databehandlingstjeneste lovligt kan efterkomme et tred-
jelands forespørgsel om dataadgang, skal udbyderen levere så lidt data som
muligt.
Der indføres et gennemsigtighedskrav, idet udbydere af databehandlingstje-
nester skal underrette dataindehaveren om anmodningen, inden denne imø-
dekommes.
Forslaget berører hverken retsgrundlaget for anmodninger om adgang til data,
som EU-borgere eller -virksomheder er
i besiddelse af, eller EU’s ramme for
databeskyttelse og beskyttelse af privatlivets fred.
Kapitel 8: Interoperabilitet
Kapitlet indfører krav, der skal opfyldes for at fremme interoperabilitet for
dataområder og databehandlingstjenester, samt rammer for anvendelse af in-
telligente kontrakter om datadeling.
Dataområder
Forslaget introducerer en række overordnede krav til operatører af dataområ-
der med henblik på at fremme interoperabilitet for data, datadelingsmekanis-
mer og datadelingstjenester. Kravene kan være generiske eller vedrøre speci-
fikke sektorer. Kravene skal specificeres yderligere, hvilket foreslås gjort
gennem en række tiltag, herunder:
(a) tillægges Kommissionen beføjelser til at vedtage delegerede retsakter
(b) gives Kommissionen bemyndigelse til at anmode europæiske standar-
diseringsorganisationer om at udarbejde udkast til harmoniserede
standarder
(c) tillægges Kommissionen beføjelser til at vedtage fælles specifikatio-
ner ved hjælp af gennemførselsretsakter, hvis der ikke findes harmo-
niserede standarder eller Kommissionen finder, at de harmoniserede
standarder ikke er tilstrækkelige.
Endelig tillægges Kommissionen beføjelse til at vedtage retningslinjer, der
fastsætter specifikationer for interoperabilitet for driften af fælles europæiske
dataområder.
 Rådsmøde nr. 3917 (transport, telekommunikation og energi) den 5.-6. december 2022 - Bilag 2: Samlenotat vedr. rådsmøde transport, tele og energi - tele 5-6/12-22
2638316_0049.png
49/32
Databehandlingstjenester
Forslaget indeholder krav til, hvad åbne interoperabilitetsspecifikationer og
europæiske standarder for interoperabilitet mellem databehandlingstjenester
skal opnå, og hvad de skal omhandle med henblik på at understøtte forplig-
telserne, der indføres i forordningens kapitel 6.
Det foreslås at Kommissionen skal kunne anmode europæiske standardise-
ringsorganisationer om at udarbejde udkast til harmoniserede standarder for
specifikke tjenestetyper, der udbydes af databehandlingstjenester.
Intelligente kontrakter
Det foreslås, at der sættes en ramme for anvendelsen af intelligente kontrakter
til aftaler om datadeling. Det gøres ved at stille krav til leverandøren af en
applikation, der anvender intelligente kontrakter eller den person, hvis er-
hverv, forretning eller profession omfatter indførelse af intelligente kon-
trakter for andre (herefter ’leverandør af intelligente konrakter’).
Det foreslås, at Kommissionen skal kunne anmode europæiske standardise-
ringsorganisationer om at udarbejde udkast til harmoniserede standarder, der
opfylder de væsentlige krav for leverandører af intelligente kontrakter.
Kommissionen tillægges beføjelser til at vedtage fælles specifikationer ved
hjælp af gennemførelsesretsakter, hvis der ikke findes harmoniserede stan-
darder eller hvis Kommissionen finder, at de harmoniserede standarder er
utilstrækkelige.
Kapitel 9: Gennemførelse og håndhævelse
Kapitel 9 fastsætter gennemførelses- og håndhævelsesrammen med de kom-
petente myndigheder i hver medlemsstat, herunder en klagemekanisme og
sanktioner.
Kompetente myndigheder
Ifølge forslaget skal hver medlemsstat udpege én eller flere kompetente myn-
digheder, som har ansvaret for anvendelsen og håndhævelsen af denne for-
ordning. Medlemsstaterne kan oprette en eller flere nye myndigheder eller
forlade sig på eksisterende myndigheder. Den kompetente myndighed skal ud
over at føre tilsyn og håndhæve forordningens tiltag, bl.a. informere om for-
ordningen, behandle klager, samarbejde med kompetente myndigheder i an-
dre medlemsstater og overvåge den teknologiske udvikling på området.
De uafhængige tilsynsmyndigheder, der er ansvarlige for at føre tilsyn med
anvendelsen af persondataforordningen, bliver ansvarlige for at overvåge an-
vendelsen af denne forordning for så vidt angår beskyttelsen af personoplys-
ninger.
 Rådsmøde nr. 3917 (transport, telekommunikation og energi) den 5.-6. december 2022 - Bilag 2: Samlenotat vedr. rådsmøde transport, tele og energi - tele 5-6/12-22
2638316_0050.png
50/32
Hvis en medlemsstat udpeger mere end én kompetent myndighed, skal der
udpeges en koordinerende kompetent myndighed, og de kompetente myndig-
heder skal samarbejde med hinanden, samt med den tilsynsmyndighed, der er
ansvarlig for at overvåge anvendelsen af persondataforordningen.
Klageadgang
Fysiske og juridiske personer får ret til at indgive klage til den relevante kom-
petente myndighed i den medlemsstat, hvor vedkommende har sit sædvanlige
opholdssted, arbejdssted eller forretningssted, hvis personen mener, at ved-
kommendes rettigheder i henhold til forordningen er blevet krænket.
Sanktioner
Medlemsstaterne skal fastsætte regler om sanktioner, der skal anvendes i
tilfælde af overtrædelser af forordningen. Sanktionerne skal være effektive,
stå i et rimeligt forhold til overtrædelsen og have afskrækkende virkning.
Eksisterende myndigheder, der har ansvaret for persondataforordningen og
forordning (EU) 2018/1725 (forordning om beskyttelse af fysiske personer
i forbindelse med behandling af personoplysninger i Unionens institutio-
ner, organer, kontorer og agenturer) får mulighed for at sanktionere i for-
hold til udvalgte forpligtelser.
Model for aftalevilkår
Det foreslås, at Kommissionen udvikler og anbefaler brugen af en ikkebin-
dende model for aftalevilkår for dataadgang og -anvendelse for at bistå par-
terne med at udarbejde og forhandle kontrakter med afbalancerede kon-
traktlige rettigheder og forpligtelser.
Kapitel 10: Sui generis-retten i henhold til direktiv 1996/9/EF
Kapitlet reviderer direktiv 96/9/EF (Databasedirektivet). Det foreslås, at
sui generis-retten
i databasedirektivets artikel 7 ikke skal finde anvendelse
for databaser, der lagrer data genereret af brugere af forbundne enheder
eller tjenester.
Sui generis-retten
tilsiger, at en databases fremstiller har ret
til at forbyde udtræk og genanvendelse deraf fra databasen. Databasedirek-
tivets
sui-generis-ret
vil dermed ikke hindre brugernes effektive udøvelse
af deres ret jf. kapitel 3 til at få adgang til og anvende IoT-genereret data.
4.
Europa-Parlamentets udtalelser
I Europa-Parlamentet blev det 31. marts 2022 besluttet, at industri, forsk-
nings-, og energi-, udvalget (ITRE) har kompetence på sagen. Derudover
er Udvalget om det Indre Marked og Forbrugerbeskyttelse (IMCO), Udval-
get om Borgernes Rettigheder og Retlige og Indre Anliggender (LIBE), og
 Rådsmøde nr. 3917 (transport, telekommunikation og energi) den 5.-6. december 2022 - Bilag 2: Samlenotat vedr. rådsmøde transport, tele og energi - tele 5-6/12-22
2638316_0051.png
51/32
Retsudvalget (JURI) associerede udvalg. I ITRE er det spanske EPP-med-
lem, Pilar del Castillo, udnævnt som ordfører.
Udvalgene er blevet enige om en ansvarsfordeling, hvor IMCO har kom-
petence for krav til databehandlingstjenester, JURI har kompetence på de
aspekter, der angår beskyttelse af forretningshemmeligheder, LIBE har
kompetence på beskyttelse af persondata og fundamentale rettigheder,
mens ITRE har det overordnede ansvar for forslaget. Udvalgene er ved at
behandle de første udkast og en endelig plenarafstemning forventes i marts
2023.
5.
Nærhedsprincippet
Kommissionen vurderer, at forslaget er i overensstemmelse med nærheds-
princippet. Det er Kommissionens opfattelse, at den grænseoverskridende ka-
rakter af anvendelsen af data ikke kan behandles effektivt på nationalt niveau,
og at fragmentering som følge af forskelle i nationale regler bør undgås, da
det vil føre til manglende gennemsigtighed, manglende retssikkerhed og uøn-
sket forumshopping. Kommissionen vurderer endvidere, at der er behov for
en ensartet ramme i hele EU forsvarende aftalevilkår for datadeling mellem
virksomheder, forpligtelser for producenter af IoT-produkter og for
cloudcomputingtjenester, samt datadeling mellem virksomheder og myndig-
heder. Samtidig argumenterer Kommissionen for, at forslaget vil bidrage til
realiseringen af et indre marked for data, der kan give datadrevne virksomhe-
der lige vilkår og fremme innovation og konkurrence.
Regeringen vurderer samlet set, at forslaget er i overensstemmelse med nær-
hedsprincippet.
6.
Gældende dansk ret
Ophavsretslovens §71 vil skulle revideres for at tage højde for forordningens
forslag om at revidere databasedirektivets artikel 7 på baggrund af forordnin-
gen.
7.
Konsekvenser
Lovgivningsmæssige konsekvenser
Det følger af forordningens artikel 35, stk. 1, at artikel 7 i databasedirektivet
ikke finder anvendelse for databaser, der lagrer data genereret af brugere af
forbundne enheder eller tjenester. Dermed skal ophavsretsloven revideres
på baggrund af forordningen.
 Rådsmøde nr. 3917 (transport, telekommunikation og energi) den 5.-6. december 2022 - Bilag 2: Samlenotat vedr. rådsmøde transport, tele og energi - tele 5-6/12-22
2638316_0052.png
52/32
Der kan være love fra andre ministerområder, som endnu ikke er blevet
identificeret, der vil blive påvirket af forordningen.
Bestemmelserne i forslaget har klare snitflader til eksisterende og kom-
mende retsakter og derfor bør omfanget af sammenhæng til anden EU-re-
gulering undersøges nærmere.
Økonomiske konsekvenser
Statsfinansielle konsekvenser
Det forventes, at forslaget vil medføre statsfinansielle konsekvenser, idet
udpegning eller etablering af en national myndighed, der er ansvarlig for
implementeringen af forordningen, vil kræve ressourcer. Der vil ligeledes
være øgede udgifter forbundet med håndhævelsen af forordningen hos den
eller de myndigheder, der udpeges til kompetente myndigheder, idet for-
ordningen forventes at medføre en øget sagsmængde og en udvidet opga-
veportefølje, herunder i forhold til tilsynsfunktion, rådgivende opgaver, be-
handling af klager og sanktionering.
Afledte nationale udgifter som følge af EU-retsakter afholdes inden for de
berørte ministeriers eksisterende bevillingsramme, jf. budgetvejledningens
bestemmelser herom. Såfremt det viser sig, at det ikke er muligt at holde
udgifterne inden for eksisterende bevillinger, vil håndteringen af udgifterne
skulle afklares særskilt.
Samfundsøkonomiske konsekvenser
Forslaget vurderes at kunne få positive samfundsøkonomiske konsekven-
ser, såfremt reglerne er med til at understøtte udviklingen af et indre mar-
ked for data, der fremmer adgangen til og anvendelsen af data og medfører
øget datadreven innovation.
Omvendt kan forslaget have negative samfundsøkonomiske konsekvenser,
såfremt de nye krav og forpligtelser for erhverv skaber en uhensigtsmæssig
incitamentstruktur, fx at forslaget modsat hensigten fjerner incitamenterne
for at indsamle og lagre data, eller hvis forpligtelserne til portabilitet mel-
lem databehandlingstjenester fx medfører krav om høj opstartsbetaling el-
ler umuliggør flytning af organisationers komplekse cloudløsninger, resul-
terende i mindre optag af cloudløsninger.
Erhvervsøkonomiske konsekvenser
Forslaget forventes at medføre administrative byrder for de omfattede virk-
somheder. Forpligtelserne forbundet med at stille IoT-data til rådighed ven-
tes at medføre løbende omkostninger for producenter og leverandører af
IoT-genstande, samt omstillingsomkostninger til opsætning af tekniske in-
 Rådsmøde nr. 3917 (transport, telekommunikation og energi) den 5.-6. december 2022 - Bilag 2: Samlenotat vedr. rådsmøde transport, tele og energi - tele 5-6/12-22
2638316_0053.png
53/32
frastrukturer og ændring af skriftlige aftaler, herunder kontrakter. Derud-
over forventes administrative byrder forbundet med, at virksomhederne
kan påkræves at dele data med offentlige myndigheder i EU, særligt da
virksomhederne ikke vil kunne kræve godtgørelse i tilfælde hvor myndig-
hederne skal bruge data til at reagere på en nødsituation. Udgifter hermed
vil bl.a. afhænge af, hvor bredt en ”offentlig nødsituation” fortolkes. Der
forventes endvidere udgifter for databehandlingstjenester relateret til efter-
levelse af interoperabilitetskrav og beskyttende foranstaltninger mod ulov-
lig og uautoriseret dataadgang. Endvidere kan der være byrder på baggrund
af tilsyn med de omfattede virksomheder, hvilket må antages at indebære
dokumentationsforpligtelser. Endelig kan den konkrete udmøntning af krav
og standarder indeholdt i delegerede- og gennemførselsretsakter medføre
administrative byrder.
Samtidig kan forslaget føre til en lettelse af byrder relateret til større afta-
lemæssig retfærdighed ved datadeling mellem virksomheder, strømlining
af offentlige myndigheders adgang til virksomhedsdata, og lettere skifte af
databehandlingstjenester. Særligt mikrovirksomheder og SMV’er ventes at
drage fordel af forslaget, idet de vurderes at få bedre aftalevilkår, bedre
adgang til IoT-data til lavere omkostninger, og idet de samtidig er undtaget
flere af forpligtelserne i forordningen. Derudover kan brugerens adgangsret
til IoT-data og ret til at overføre data til tredjeparter være med til at fore-
bygge fremkomsten af nye typer af techgiganter, der sidder inde med data-
monopol. Endelig kan forslaget fremme et konkurrencepræget udbud af
eftersalgsservice for virksomhedsbrugere og fremme virksomheders data-
baserede innovation, ligesom udelukkelsen af gatekeepers kan stille det øv-
rige erhvervsliv bedre i konkurrencen overfor techgiganterne.
Andre konsekvenser og beskyttelsesniveauet
En vedtagelse af forslaget skønnes ikke at berøre beskyttelsesniveauet i Dan-
mark.
Ud over de økonomiske konsekvenser, kan forslaget medføre afledte posi-
tive effekter for samfundet, da øget datadeling mellem virksomheder og
mellem virksomheder og offentlige myndigheder kan bidrage til at løse
samfundets problemer, herunder fx klimaudfordringen. Derudover frem-
mes forbrugerforhold, idet forbrugere får en ret til at anvende data, de ge-
nererer ved brug af en IoT-genstand, samt større valgfrihed af databehand-
lingstjenester. Endelig kan virksomheders datadeling med myndigheder bi-
drage til at reagere på offentlige nødsituationer.
8.
Høring
 Rådsmøde nr. 3917 (transport, telekommunikation og energi) den 5.-6. december 2022 - Bilag 2: Samlenotat vedr. rådsmøde transport, tele og energi - tele 5-6/12-22
54/32
Forslaget har været sendt i høring i EU-specialudvalget for konkurrence,
vækst og forbrugerspørgsmål med frist for bemærkninger den 31. marts 2022.
Der er indkommet høringssvar fra Dansk Erhverv, Dansk Industri, Danske
Rederier, Finans Danmark, Finansforbundet, Forbrugerrådet TÆNK, Ingeni-
ørforeningen, IT-Branchen, samt Kommunernes Landsforening.
Generelle bemærkninger
Dansk Erhverv (DE)
bakker op om tiltag, der understøtter den europæiske
dataøkonomi og gør det nemmere at dele og bruge data både i den private og
den offentlige sektor. Forslagets intention om at styrke datadeling mellem
virksomheder og henholdsvis forbrugere, andre virksomheder og offentlige
myndigheder, samt intentionen om at gøre det nemmere for virksomheder at
skifte mellem udbydere af cloudtjenester anses som udmærket. DE finder dog
ikke, at de valgte policy-redskaber er hensigtsmæssige, hvorfor DE mener, at
forslaget med fordel kan gentænkes på flere afgørende områder. DE mener,
at deling af data bør ske på frivillig basis. DE har mange eksempler på, hvor-
dan der indenfor branchefællesskaber eller fagområder etableres samarbejde
om at dele data, ligesom data deles mellem virksomheder i værdikæden inden
for en række sektorer. Derfor bør forslaget afholde sig fra at indføre lovkrav
om datadeling, og bør i stedet se på muligheder for at etablere incitaments-
strukturer for datadeling og udbredelse af bedste praksis fra datadelingsfæl-
lesskaber, der fungerer godt. DE bakker op om, at forslaget ikke påvirker da-
tabeskyttelsesforordningen, som skal respekteres i forbindelse med deling af
data. Anonymisering eller udskillelse af personhenførbare data fra ikke-per-
sonhenførbare data kan i mange tilfælde pålægge erhvervslivet væsentlige
byrder og omkostninger, eftersom mange erhvervsdrivendes behandling af
data sker til opfyldelse af kundeformål, hvor det netop er vigtigt, at data kan
knyttes til en konkret kunde eller bruger. DE kan derfor ikke støtte eventuelle
krav om, at erhvervslivet skal kunne udskille eller opdele personhenførbare
data fra ikke-personhenførbare data, som led i at data skal stilles til rådighed
for andre erhvervsdrivende eller offentlige myndigheder.
DE
mener, at forslaget med dets bestemmelser om tilrådighedsstillesle af
data for offentlige myndigheder forsøger at komme et problem til livs, der
efter DE’s overbevisning ikke er et reelt problem. Bl.a. under Covid-19
pandemien har samarbejdet mellem den offentlige og private sektor vist sit
værd. Virksomhederne har i den forbindelse indgået aktivt og delt data på
forespørgsel fra myndighederne, hvilket efter DE’s overbevisning er forlø-
bet forbilledligt. DE undres over, at Kommissionen ønsker at bruge res-
sourcer på at etablere et helt nyt bureaukratisk rammeværktøj for datade-
ling i krisesituationer, når erfaringerne fortæller, at en sådan datadeling lø-
ber af stablen uden problemer, når der er behov derfor.
 Rådsmøde nr. 3917 (transport, telekommunikation og energi) den 5.-6. december 2022 - Bilag 2: Samlenotat vedr. rådsmøde transport, tele og energi - tele 5-6/12-22
55/32
Dansk Industri (DI)
bakker op om, at man med forslaget få tydeligere regler
for adgang til data og datadeling. Det kan være med til at skabe rammerne for
en egentlig databaseret økonomi i EU. Det vil afhjælpe en række situationer,
hvor købere af et givet produkt er begrænset i deres handlemuligheder, fordi
de ikke har adgang til de data, produktet genererer. DI bemærker dog, at
”data” som her reguleres, dækker
over mange forskellige typer data, herunder
blandede datasæt, hvoraf persondata allerede er omfattet af persondataloven.
Der kan derfor være behov for at præcisere forslaget i forhold til, hvilke typer
data, der er tale om, så reglerne tilpasses forholdende i den enkelte sektor. DI
bemærker, at det ikke fremgår tydeligt på alle fronter, hvordan forslaget spil-
ler sammen med anden lovgivning på området, herunder generel konkurren-
ceret, datastyringsforordningen, samt Kommissionens forslag til retsakt om
digitale markeder, retsakt om digitale tjenester, forordningsforslag om har-
moniserede regler for kunstig intelligens, forordningsforslag om europæiske
editions- og sikringskendelser om elektronisk bevismateriale i straffesager,
samt forordningsforslag vedrørende respekt for privatlivets fred og beskyt-
telse af persondata ved elektronisk kommunikation, NIS2 og den kommende
regelbog for cloudtjenester, samt forhandlinger med USA om Privacy Shield
og Cloud Act. Det gælder fx i forhold til virtuelle assistenter. DI mener der-
udover, at det er uklart, hvad der forventes af virksomheder, der betragtes som
databehandlere under persondataforordningen.
Danske Rederier
bemærker, at dansk skibsfart er blandt verdens mest avan-
cerede og allerede i dag benytter sig af data fx i forbindelse med avancerede
operationssystemer. Danske Rederier mener, at en regulering på området er
vigtig for skibsfarten, der netop nu er i gang med en transformation til digitale
og forbundne skibe bl.a. gennem brugen af datadrevne IoT-teknologier.
Skibsfarten har som global industri brug for globale rammer for deling og
brug af data, hvorfor det er vigtigt, at forslaget ikke fører til konkurrencefor-
vridning mellem EU og non-EU skibe. Danske Rederier er i færd med at un-
dersøge forslagets betydning og sammenhæng med anden regulering og ser
frem til at bidrage med mere detaljerede bemærkninger.
Finans Danmark (FIDA)
mener, at en stærk europæisk dataøkonomi kan
give nye muligheder for borgere og virksomheder og styrke innovation og
vækst i samfundet. FIDA er derfor glade for, at der på EU-niveau med forsla-
get bliver bedre adgang til deling af data. For at realisere dette, mener FIDA
dog, at det er nødvendigt at opfylde to væsentlige forudsætninger: 1) datade-
lingen skal udvides til at omfatte flere sektorer, herunder for at sikre, at data-
deling sker på tværs af sektorer og 2) brugeren skal sættes i centrum, og der
skal kun ske deling af persondata efter brugerens udtrykkelige tilsagn. FIDA
mener, at forslaget kun lægger op til en øget datadeling for IoT-produkter og
relaterede tjenester, hvorfor forslaget må forventes at få en forholdsvis be-
grænset effekt på datadelingen på tværs af sektorer. For ikke unødigt at sinke
 Rådsmøde nr. 3917 (transport, telekommunikation og energi) den 5.-6. december 2022 - Bilag 2: Samlenotat vedr. rådsmøde transport, tele og energi - tele 5-6/12-22
56/32
udviklingen af europæisk dataøkonomi, er der behov for, at forslaget bredes
ud til at omfatte flere sektorers data.
Finansforbundet
mener, at det er afgørende, at datadeling i og på tværs af
sektorer sker under rimelige, ensartede og ikke-diskriminerende forhold. Da-
tastrømme bør i fremtiden ikke kun ensrettes en type virksomhed til en anden,
men bør kunne flyde begge veje. Finansforbundet mener, det er et paradoks,
at fx pengeinstitutter med højeste datasikkerhedsniveauer skal dele data uden
samtidig at sættes i stand til at modtage data fra fx
datadrevne SMV’ere. For-
slaget bør bidrage til at adressere den ulige konkurrence, der er skabt med
PSD2. Finansforbundet mener, at de finansielle områder i forvejen er højt
reguleret og bemærker, at forslaget på det finansielle område kan medføre
øget lovgivning og administrative byrder, der hindrer det tilsigtede potentiale.
Finansforbundet bemærker, at det er omkostningsfuldt at skabe forsvarlige
rammer for at kunne dele data sikkert, og der er derfor behov for, at der sikres
en forretningsmodel, der både skaber incitament for at dele data sikkert, men
også for at sikre, at den delte data er af høj kvalitet.
Forbrugerrådet TÆNK
mener, at forslaget kan være med til at forbedre
forbrugeres retstilling på det digitale marked og øge konkurrencen blandt
virksomheder. Hvor databeskyttelsesloven skal sikre forbrugernes indsigt i
og kontrol med egne data, kan forslaget især understøtte rettigheden om da-
taportabilitet, som fremgår af databeskyttelseslovens artikel 20, men som ind-
til videre har haft en begrænset anvendelse i praksis.
Ingeniørforeningen (IDA)
er overordnet meget positive overfor forslaget.
IDA mener, at forslaget vil gøre det lettere for forbrugerne at få adgang til og
overføre data fra de digitale produkter og tjenester, som er blevet en del af de
fleste danskeres hverdag. Det er vigtigt for både tillid til digitalisering generelt
og lyst og nysgerrighed overfor nye digitale produkter og tjenester, at forbru-
gere sikres adgang til egne data og den bedst mulige handlekraft i forhold til
at håndtere egne data. Det handler om at sikre størst muligt overblik over og
rettighed til egne data. IDA mener, at det er positivt, at der med forslaget sik-
res bedre innovation og et nødvendigt og længe ønsket brud med de helt store
techvirksomheders reelle monopol på data. Det giver en mere fair platform
for nye innovative og fx dataetiske startups, der har som mål at tilbyde for-
brugerne alternative digitale muligheder, og et stigende ønske blandt dan-
skerne om at få mere kontrol over egne data. IDA er positiv overfor forslaget
om at forhindre store gatekeeper virksomheder i at få kommerciel fordel af
den adgang til datadeling, som gives til virksomheder, offentlige myndighe-
der og forbrugere. Dette er en forudsætning for at nå målet om at styrke kon-
kurrencen. IDA finder imidlertid, at det er nødvendigt, at lovgivningen sikrer,
at der er en grundlæggende beskyttelse af forbrugeren, så det bliver et kollek-
tivt fremfor et individuelt ansvar at beskytte privatlivets fred og grundret-
tighederne i persondataforordningen. IDA mener endvidere, at det er positivt,
 Rådsmøde nr. 3917 (transport, telekommunikation og energi) den 5.-6. december 2022 - Bilag 2: Samlenotat vedr. rådsmøde transport, tele og energi - tele 5-6/12-22
2638316_0057.png
57/32
at forbrugerne får klageadgang og reglerne er bødesanktioneret, idet det dog
bemærkes, at der kun opnås den ønskede effekt, hvis der sikres en effektiv
håndhævelse af lovgivningen.
IT-Branchen
er overordnet positiv over for de politiske mål om at tilskynde
en højere grad af datadeling. Forslaget kan være med til at indfri de markante
gevinster, der ligger i den europæiske dataøkonomi, og danske virksomheder
kan få en hjemlig markedsplads på storskala-niveau, når der tales data og kun-
stig intelligens. Offentlige instanser ligger ligeledes inde med store data-
mængder, der med fordel kan fordeles på tværs af EU til gavn for innovation
og vækst. I forhold til de private virksomheder mener IT-Branchen, at dette
mål bedre kan realiseres ved hjælp af frivillige, markedsstyrede løsninger, ba-
seret på internationale anerkendte standarder og normer, samt klare retnings-
linjer og incitamenter til øget datadeling. At indføre strenge obligatoriske krav
til produktdesigns i en dataøkonomi, der på flere markeder fortsat er i sin tid-
lige udvikling, kan markant skade Europas digitale udvikling.
Kommunernes Landsforening (KL)
bemærker, at forslagets ambition er en
større grad af datadeling, der samtidigt skal være i overensstemmelse med
persondataforordningen, hvilket anses som helt essentielt. Datadrevet inno-
vation forventes at give store fordele for bl.a. borgerne i form af bedre og
smartere løsninger og produkter, der tager udgangspunkt bl.a. i individets ret-
tigheder, således at borgernes tillid opretholdes. KL bakker overordnet set op
om hensynet bag forordningen bl.a. pga. et stigende behov for klarhed i for-
hold til dataadgang, således at udviklingen ikke primært drives af tech-virk-
somheder, men i højere grad af hensyn til det offentliges rolle og opgaver,
samt hensyn til borgerne. Det er i den forbindelse som udgangspunkt positivt,
at forslaget ser ud til at lette skift af cloudleverandører, samt at der lægges op
til en regulering af udleveringsanmodninger fra tredjelande. Overordnet set
hæfter KL sig dog ved, at forslaget er uklart i forhold til roller og konsekven-
ser for offentlige myndigheder, herunder kommunerne og de data, som kom-
munerne behandler. Særligt er det uklart, om offentlige myndigheder kan og
i givet fald i hvilket omfang de vil være omfattet af begreberne "udbydere af
databehandlingstjenester" og "dataindehaver". Dette er centralt for forståelsen
for forslagets anvendelsesområde og for
KL’s konkrete spørgsmål til denne.
I den udstrækning, at de mulige konsekvenser for offentlige myndigheder
ikke er hensigten, bør det fremgå mere eksplicit af definitioner, afgrænsninger
med videre. I det tilfælde at hensigten fx er at påvirke relationen i forhold til
data mellem myndighed og borger, bør dette beskrives tydeligere, således, at
KL og øvrige har mulighed for at forholde sig konkret til forslagets konse-
kvenser.
Specifikke bemærkninger
Anvendelsesområde og definitioner
 Rådsmøde nr. 3917 (transport, telekommunikation og energi) den 5.-6. december 2022 - Bilag 2: Samlenotat vedr. rådsmøde transport, tele og energi - tele 5-6/12-22
2638316_0058.png
58/32
DE
mener, at forslaget med fordel kan blive meget tydeligere afgrænset, og
at det nuværende anvendelsesområde ikke har en klar logik eller tydelig be-
grundelse forsvarende hvilke produkter og tjenester, der omfattes i forhold til
krav om brugeradgang til IoT-data.
F&P
bemærker, at der er flere steder i forslaget anvendes begreber fra andre
EU-retsakter, uden at der direkte henvises til disse, ligesom flere begreber
ikke defineres i forslaget. F&P mener, at det, henset til risikoen for høje bøder
for manglende overholdelse, er væsentligt, at der ikke er tvivl om definitio-
nerne, samt rækkevidden af de enkelte bestemmelser.
IT-Branchen
mener, at anvendelsesområdet er for bredt, og at flere af defi-
nitionerne er uklare og giver anledning til en vis grad af usikkerhed om hvor-
når og i hvilke situationer, bestemmelserne finder anvendelse. Det vil med-
føre utilsigtede konsekvenser, der ikke er i overensstemmelse med forslagets
formål. I forhold til anvendelsesområdet undtages tjenester, der i langt de fle-
ste tilfælde har og kan tilbyde mange af de samme funktioner, som de omfat-
tede tjenester tilbyder., hvilket virker uklart og arbitrært. IT-Branchen mener,
at udviklingen af værktøjer for dataadgang vil komme til at kræve en komplet
omstrukturering af produkter, hvorfor det kun bør finde anvendelse ved data,
hvor producenten eller udbyderen af en tjeneste har mulighed for at få adgang
til eller identificere data. I forhold til definitioner fremhæver IT-Branchen, at
det er uklart, hvad der menes med ”funktionel ækvivalens” i sammenhæng
med bestemmelser om skift af databehandlingstjeneste. Denne bør blive for-
tolket snævert for at sikre, at resultatet ikke er en udjævning eller kommerci-
alisering af de databehandlingstjenester, der udbydes. IT-Branchen fremhæ-
ver også definitionen af ”relateret tjeneste” i forhold til IoT-produkter,
idet
begrebet kan tolkes meget bredt og dermed inkludere databehandlingstjene-
ster, da de fleste enheder vil være cloud-baseret. Der kan stilles spørgsmåls-
tegn ved, om relaterede tjenester blot bør fjernes fra forslagets anvendelses-
område.
Datadeling mellem virksomheder og forbrugere og mellem virksomheder
DI
er forstående overfor, at der foreslås en meget klar og tydelig ret til egne
data. DI er enige i, at det er nødvendigt for dataøkonomien med klare regler
for, hvornår man ejer data og ikke mindst har adgang til data. Det sikrer, at
databrugere kan anvende data, og at der for alvor kan skabes en dataøkonomi
baseret på data fra de produkter, de anvender. DI mener dog ikke, at der skal
være tale om en universal og uindskrænket ret, eller at data nødvendigvis skal
kunne tilgås gratis. Hvis adgangsretten til data skal fremme formålet om en
dataøkonomi, er det vigtigt, at den begrænses på en række væsentlige punkter,
samt at der arbejdes på at skabe de rette incitamenter for at dele data.
 Rådsmøde nr. 3917 (transport, telekommunikation og energi) den 5.-6. december 2022 - Bilag 2: Samlenotat vedr. rådsmøde transport, tele og energi - tele 5-6/12-22
59/32
DI
mener for det første, at retten til data ikke må følges op af en begrænsning
på prisen for data, da det i praksis vil betyde, at omkostningen i stedet lægges
på det produkt, man vil sælge. Hermed begrænses dataholders valg af forret-
ningsmodel. De dataholdere, der hellere vil sælge produkter med underskud
i forventning om indtægter på et eftermarked, herunder salg af data, bliver
begrænset, hvilket særligt gælder når databruger kan videreformidle data til
dataholderens konkurrenter. Imod forslagets formål om en datadrevet øko-
nomi, begrænses incitament til at udvikle produkter, der genererer data, idet
data skal stilles til rådighed uden kompensation. DI vurderer derfor, at forsla-
get risikerer at hæmme den digitale innovation i EU. DI foreslår, at virksom-
hederne skal have lov at kræve kompensation for at stille data til rådighed for
brugerne, hvilket som minimum skal dække over omkostningerne ved at stille
data til rådighed. For det andet, mener DI, at reglerne til beskyttelse af forret-
ningshemmeligheder bør uddybes for at bevare virksomhedernes incitament
til at innovere, herunder er det uhensigtsmæssigt, at beskyttelsen af forret-
ningshemmeligheder er forskellig, alt efter om data leveres til brugeren eller
tredjepart. Forslaget bør indføre mere robust beskyttelse eller helt undtage
forretningshemmeligheder med reference til direktivet om forretningshem-
meligheder. For det tredje, mener DI, at det bør præciseres, at virksomheder
kun er forpligtet til at stille rådata til rådighed, hvormed det må være op til
den enkelte bruger at bearbejde data. Det bør dertil tydeliggøres, at der kun er
tale om de data, som i dag opsamles fra produktet, fremfor alle data, som
potentielt kan genereres. DI støtter en ret til adgang til de data, brugeren ge-
nererer med de ovenfor anførte begrænsninger. Endvidere bemærker DI, at
forslagets regel om at tredjeparter ikke må anvende modtaget IoT-data til at
udvikle et konkurrerende produkt, vil være svær at håndhæve i praksis og vil
kunne give anledning til mange tvister.
F&P
mener, at det skal være mere tydeligt, hvilke rettigheder dataindehave-
ren har i forhold til forretningshemmeligheder. Det kunne være ønskeligt,
hvis dataindehaveren havde en vis indflydelse på og kan begrænse hvem de
deler deres forretningshemmeligheder med og i hvilket omfang. F&P mener,
at det skal sikres og kontrolleres, at IoT-data ikke misbruges til fremstilling
af konkurrerende produkter. Derudover skal det afklares, hvad det betyder for
eksisterende nationale løsninger, at det anføres, at medlemsstaterne ikke må
vedtage eller stille yderligere krav i forhold til adgangsretten for IoT-data.
F&P
bemærker, at flere af bestemmelserne har et indhold, der minder om
rettigheder efter persondataforordningen. I nogle tilfælde tilfører forslaget et
ekstra lag til de eksisterende rettigheder fra persondataforordningen, som fx
er tilfældet med retten til dataportabilitet. F&P mener, at opfyldelsen af ret-
tighederne efter persondataforordningen er tidskrævende, hvorfor det bekym-
rer, at introduktionen af yderligere og lignende forpligtelser kan blive admi-
nistrativt meget tungt for dataindehaverne. Hertil kommer, at adgangen til
 Rådsmøde nr. 3917 (transport, telekommunikation og energi) den 5.-6. december 2022 - Bilag 2: Samlenotat vedr. rådsmøde transport, tele og energi - tele 5-6/12-22
60/32
IoT-data også i nogle situationer skal stilles til rådighed for tredjeparter, hvil-
ket kan give udfordringer i forhold til samtidig at skulle efterleve persondata-
forordningen. Kravet om, at data skal stilles til rådighed på en let og sikker
måde og hvor hensigtsmæssigt direkte, finder også anvendelse for persondata,
hvilket betyder, at persondataforordningen også skal efterleves ved produk-
tets udformning eller levering af tjenesten. Det vil formodentlig kunne med-
føre større krav til de tekniske løsninger og dermed øget ressourceforbrug. Da
de fleste løsninger leveres i forskellige samarbejdsmodeller med store tekno-
logileverandører, er effektiv adgang til data vigtigt, hvis formålet med reg-
lerne skal opnås. Ellers er risikoen, at brugerne får rettighederne om dataad-
gang, men ikke kan udnytte data selv. Endvidere er der udfordringer relateret
til at få dokumenteret samtykket fra brugeren, hvor tredjeparter indhenter data
fra dataindehaveren, idet dette ikke specificeres i forslaget. Det er derudover
uklart, hvordan det skal sikres, at data ikke anvendes af tredjeparten til egne
formål.
FIDA
bemærker, at bankerne i dag allerede deler betalingsdata med tredje-
parter i henhold til betalingstjenestedirektivet (PSD2). FIDA mener, at forsla-
get risikerer at uddybe de asymmetrier for dataadgang, som bankerne i dag
står overfor og medføre konkurrenceforvridning pga. krav om obligatorisk
deling i nogle sektorer kontra frivillige eller mindre omfattende krav i andre.
Et første skridt kunne være at øge portabilitet af data fra teleselskaber, forsy-
ningsselskaber og e-handel, hvilket vil lette større genbrug af data på tværs af
sektorer og åbne muligheder for nye og forbedrede produkter og tjenester.
FIDA mener, at der er behov for klare og ensartede regler for datadeling.
Uden klare principper for, hvordan data deles på en standardiseret og auto-
matisk måde, bliver det vanskeligt at realisere ambitionerne. Derudover giver
det en økonomisk skævvridning mellem brancher, da fx bankerne skal bruge
ressourcer på at stille data til rådighed via API’er, mens andre sektorer ikke
skal. Med hensyn til sikre datadelingsmekanismer, er API’er at foretrække,
da de rummer en række fordele, herunder at garantere maksimal interaktion,
fjerne adgangsbarrierer og muliggøre direkte og realtids dataadgang. Der er
behov for at definere tydeligere, hvilke data der deles og i hvilken form. End-
videre er der behov for klarhed i forhold til ansvar for data, hvor der fx i PSD2
er klarhed over ansvaret for data, når den deles med tredjeparter. FIDA finder
dog, at det er positivt, at deling af data med gatekeeper platforme begrænses,
og at der ikke må udbydes en konkurrerende tjeneste baseret på de data, som
deles.
Finansforbundet
mener, at særligt dataetikken bliver relevant med kravet
om, at produkter skal følge designprincipper om let adgang til data for virk-
somheder og i visse tilfælde offentlige myndigheder. Hvor der i forslaget læg-
ges vægt på gennemsigtighed over for tredjepart om, hvilke data, der er til-
gængelig i et produkt, og hvordan de tilgås, bør der tilsvarende lægges vægt
på dataetik fx transparens og overblik over for forbrugerne. Finansforbundet
 Rådsmøde nr. 3917 (transport, telekommunikation og energi) den 5.-6. december 2022 - Bilag 2: Samlenotat vedr. rådsmøde transport, tele og energi - tele 5-6/12-22
61/32
mener endvidere, at hvor den underliggende tese i forslaget er at sikre forbru-
gerne kontrol over egen data ved at give dem ret til at flytte data fra en virk-
somhed til en anden, er der samtidig risiko for, at det omvendt over tid, kan
reducere overblik og følelsen af kontrol. Det bør derfor overvejes, hvordan
denne rettighed udmøntes i praksis over for forbrugerne, og hvordan forbru-
geren kan sikres et overblik over de data, der er delt over tid, samt hvordan
samtykke trækkes let og effektivt tilbage. Overblikket over, hvor der er givet
samtykke til opsamling, opbevaring, brug og videreformidling eller salg af
data er svær at etablere. Der kunne med fordel afsøges løsninger til at skabe
forståeligt overblik og nutidsbillede af den enkeltes aktuelle datasituation.
Forbrugerrådet TÆNK
mener, det er positivt, at forbrugerne får styrkede
rettigheder i forhold at få adgang til, bruge og overføre de data, som deres
digitale produkter og tjenester indsamler og genererer. I praksis er IoT-data
ofte ikke let tilgængelige for forbrugerne, som har begrænsede muligheder
for at portere IoT-data. En vigtig problemstilling, som forslaget bør kunne
afhjælpe, er fx at sikre, at digitale el-biler fremover skal dele data med selv-
stændige værksteder, som hidtil har været forhindret i at konkurrere på lige
vilkår, fordi de ikke har haft adgang til bilproducenternes data. Ligeledes vil
forslaget kunne åbne for små startups, som fx er optagede af dataetik, og som
ønsker at innovere i data ved at give forbrugerne indsigt i og kontrol med,
hvilke data de har liggende hos techgiganter. Dermed kan dataindsamling
blive mere gennemsigtig og anvendelig for forbrugerne, og nye virksomheder
kan drage nytte af data, som især techgiganter profilerer af at råde over i dag.
Forbrugerrådet TÆNK
støtter, at forslaget forhindrer gatekeeper virksom-
heder i at få kommerciel fordel af den adgang til datadeling, som forslaget
giver brugerne, idet forslaget skal styrke konkurrencen ved at lade andre end
techgiganterne få adgang til deres data og bryde gatekeepernes datamonopol
lidt op. Forbrugerrådet ser positivt på, at forbrugerne med loven får klagead-
gang og reglerne er bødesanktioneret, idet Forbrugerrådet dog bemærker, at
effektiv håndhævelse er essentiel for, at regelsættet får betydning i praksis.
Forbrugerrådet Tænk
er meget optaget af, at den øgede adgang til at dele
og innovere pba. data ikke blot genererer mere data på endnu flere hænder,
særligt hvad angår persondata, som også er omfattet af forslaget. Forslagets
formål skal udøves i respekt for de grundlæggende rettigheder til privatliv og
databeskyttelse efter databeskyttelsesloven. Det betyder, at forslaget skal
sikre, at forbrugerne ikke kan samtykke sig ud af grundlæggende beskyttel-
sesregler efter databeskyttelsesloven, samt at en given indtægt for videresalg
af egne data ikke skal kunne underminere intentionerne i databeskyttelseslo-
ven.
 Rådsmøde nr. 3917 (transport, telekommunikation og energi) den 5.-6. december 2022 - Bilag 2: Samlenotat vedr. rådsmøde transport, tele og energi - tele 5-6/12-22
2638316_0062.png
62/32
IT-Branchen
bemærker, at forslagets bestemmelse om videregivelse af for-
retningshemmeligheder til brugere, tredjeparter og offentlige organer forud-
sætter en opretholdelse af fortrolighed om forretningshemmeligheder. Det er
iøjnefaldende og problematisk, at det ikke af bestemmelsen fremgår, på hvil-
ken måde dataindehaverens interesser vil blive beskyttet, eller hvordan data-
indehaveren vil blive gjort bekendt med, at forretningshemmeligheder er ble-
vet kompromitteret. IT-Branchen mener, at det vil være praktisk vanskeligt,
hvis bevisbyrden for, at et sådant misbrug har fundet sted, påhviler den oprin-
delige dataindehaver. IT-Branchen finder det besynderligt, at foranstaltninger
angående forretningshemmeligheder differentierer, afhængigt af, hvorvidt
modtageren er bruger eller tredjepart.
Forpligtelser for dataindehavere, der er retligt forpligtede til at stille data
til rådighed
F&P
finder det betænkeligt, at det ikke er præciseret, hvad der ligger i, at
dataindehavere kan kræve ”rimelig” kompensation. Der bør præciseres,
hvilke elementer, der kan indgå i denne beregning, herunder omkostninger
ved udvikling, indsamling og opbevaring af data.
FIDA
hilser forslagets indførelse af horisontale principper, der gælder når
dataindehavere forpligtes til at dele data i fremtidige initiativer, meget vel-
kommen, navnlig princippet om kompensation. Hvis der skal skabes en eu-
ropæisk dataøkonomi, er det væsentligt, at der er en forretningsmodel for
alle part i datadelingen, dvs. både for den virksomhed, som deler data, og
for den virksomhed, der anvender data. Der er i den forbindelse behov for
en mere præcis beskrivelse af, hvad der menes med ”rimelig kompensa-
tion” og principper for at
fastsætte dette.
IT-Branchen
mener, at forslaget pålægger dataindehavern en urimelig be-
visbyrde, idet denne skal kunne bevise at betingelserne for at gøre data til-
gængeligt er ikkediskriminerende, når en virksomhed anser betingelserne
for at være diskriminerende. Det er uklart, hvorfor datamodtagere skal have
ret til at fremsætte generelle påstande uden at underbygge deres argumen-
ter.
Urimelige vilkår vedrørende dataadgang og -anvendelse mellem virksom-
heder
F&P
mener, at det bør afklares, hvordan ”urimeligt vilkår” skal fortolkes i
forhold til dansk lovgivning og aftaleloven.
KL
bemærker, at når kommunerne anvender techgiganters sociale medier,
påtvinges de at acceptere techgiganternes kommercielle videreanvendelse
 Rådsmøde nr. 3917 (transport, telekommunikation og energi) den 5.-6. december 2022 - Bilag 2: Samlenotat vedr. rådsmøde transport, tele og energi - tele 5-6/12-22
2638316_0063.png
63/32
af data ud fra aftalevilkår, som ikke er til forhandling, og hvor styrkefor-
holdet mellem techgiganterne og kommunerne misbruges. KL mener, at
det vil være oplagt, at disse aftalevilkår adresseres i kapitlet om urimelige
vilkår vedrørende dataadgang og -anvendelse mellem virksomheder.
Tilrådighedsstillelse af data for offentlige myndigheder og unionens instituti-
oner, agenturer eller organer på grundlag af et ekstraordinært behov
DE
mener, at der bør indtænkes sikkerhedsforanstaltninger, som beskytter
virksomhederne mod uretmæssige forespørgsler fra myndigheder, samt at
det bør være mere tydeligt præcis hvilke kriterier, der skal være opfyldt,
før en situation kan betegnes som en offentlig nødsituation.
DI
noterer sig, at der gives ret til, at myndigheder kan forlange data, som
ikke ellers er tilgængelige på markedet, fra private parter. Det bemærkes,
at det er uklart hvornår noget er en nødsituation. Ydermere gives ret til at
kræve private data udleveret såfremt, det er en afgrænset lovfæstet opgave
i offentlighedens interesse. DI mener, at det vil give meget vide rammer,
for at bede private virksomheder om at udlevere data til myndighederne,
og DI bakker således ikke op om dette i sin nuværende form. Det bør kon-
kretiseres yderligere, hvornår der kan stilles krav om at udlevere data. I den
forbindelse mener DI, det er vigtigt, at den klageinstans, der udpeges til at
afgøre sager om udlevering af offentlige data, er uafhængig og har indsigt
i, hvornår der er tale om data, der indeholder forretnings-hemmeligheder.
Envidere mener DI, at det er uhensigtsmæssig, hvis man vil fremme en da-
taøkonomi, at offentlige myndigheder ikke skal betale markedsprisen for
adgang til data. Kompensation bør lægges så tæt op af markedspris som
muligt ved at se på prisen for sammenlignelige typer af data. DI foreslår, at
prisfastsættelsen sker ved fri forhandling.
FIDA
mener, det er et positivt skridt, at der indføres en harmoniseret
ramme for datadeling mellem virksomheder og myndigheder, men mulig-
hederne for at dele data med henblik
på ”ekstraordinære behov i tilfælde af
at udføre en specifik opgave i offentlighedens interesse” er for brede og
skal præciseres yderligere. Det er også vigtigt at præcisere hvilken type
data, virksomhederne skal dele. FIDA finder det uhensigtsmæssigt, at der
kan fastsættes nationale regler parallelt med EU-reglerne. Eksistensen af
en offentlig nødsituation bestemmes i henhold til de respektive procedurer
i medlemsstaterne eller relevante internationale organisationer, hvilket in-
debærer en risiko for fragmentering. I forslaget skelnes mellem forskellige
scenarier for at stille data til rådighed, og hvor data til imødegåelse af en
offentlig nødsituation stilles gratis til rådighed, begrænses dataindehave-
rens kompensation i de to andre scenarier til de marginale omkostninger
ved at levere data. Forslaget anerkender således, at der er en balance, der
skal drages mellem offentlige og private interesser, men det er bekymrende,
 Rådsmøde nr. 3917 (transport, telekommunikation og energi) den 5.-6. december 2022 - Bilag 2: Samlenotat vedr. rådsmøde transport, tele og energi - tele 5-6/12-22
2638316_0064.png
64/32
at der skelnes mellem hvad der er nødvendigt, og hvad der kunne være be-
lejligt. FIDA mener endvidere, at det er uklart, hvordan forslaget spiller
sammen med allerede eksisterende krav til virksomhederne om at levere
data til offentlige myndigheder, og om det fremover vil være muligt at få
betaling på flere områder. Der er endvidere behov for klarhed over, hvor-
dan kompensation skal opgøres.
IT-Branchen
bemærker, at forslaget giver offentlige organer mulighed for
at indhente data i tilfælde, hvor der er tale om et ”ekstraordinært behov”,
mens der ikke inkluderes sikkerhedsforanstaltninger for dataindehaveren i
tilfælde af uhensigtsmæssig brug af data, som kan skade dataindehaveren.
IT-Branchen er således bekymret for, at forslaget giver en bred statslig ad-
gang til data uden nogen specifikke former for sikkerhedsforanstaltninger.
KL
mener ikke, at kommunerne skal betale på markedsvilkår for at få ad-
gang til data hos private aktører i nødsituationer. KL mener endvidere, at
det ikke virker rimeligt, at leverandøren kan afslå en dataanmodning med
henvisning til at anmodningen ikke er skreveet tilstrækkeligt klart, koncist
og i et almindeligt sprog, idet sådanne krav kan medføre procesbenspænd i
reelle nødsituationer.
Skift mellem databehandlingstjenester
DE
mener, Kommissionen ikke i tilstrækkelig grad anerkender det kom-
plekse forhold, som kendetegner markedet for cloudtjenester. DE bakker
fuldt op om at fjerne unødvendige barrierer for, at virksomheder kan skifte
leverandør, men det fremstår i forslaget, som om det at skifte cloudleveran-
dør er en simpel dataoverførsel. Det bemærkes, at der bl.a. er stor forskel
på typen af tjenester, de forskellige leverandører stiller til rådighed, data-
mængden og -arkitekturen, samt at den kontraktuelle fordeling af ansvar
mellem kunde og leverandør medfører, at kunde-leverandør forholdet på
dette marked er kendetegnet ved et stort behov for teknisk rådgivning og
projektstyring. Disse forhold bør afspejles i forslaget.
DI
støtter formålet om at gøre det nemmere for brugerne at skifte udbydere.
DI finder dog, at tidsrammen for at kunne flytte data er urealistisk, såfremt
der er tale om store kontrakter med en stor mængde data. Bestemmelserne
for skifte og portabilitet bør derfor nuanceres ud fra type og omfang af data.
I forslaget distingveres mellem krav til leverandører af infrastruktur-tjene-
ster (fx IAAS for cloudtjenester), som typisk er højt standardiserede og
kommercialiserede, og softwaretjenester (som PaaS eller SaaS), der typisk
er mere komplekse og skræddersyede. DI mener, at det er vigtigt at holde
fast i denne distinktion og udbrede den til de øvrige artikler om skifte og
portabilitet. Man bør være opmærksom på, hvornår der stilles krav til funk-
tionel ækvivalens, hvilket kan give mening for IaaS-tjenester, der mere er
 Rådsmøde nr. 3917 (transport, telekommunikation og energi) den 5.-6. december 2022 - Bilag 2: Samlenotat vedr. rådsmøde transport, tele og energi - tele 5-6/12-22
2638316_0065.png
65/32
et standard vareprodukt, mens det ikke giver mening ved PaaS eller SaaS,
hvor man alene kan overføre data, ikke funktioner. Hvis kravet om at opnå
funktionel ækvivalens efter et skift også gælder ved overførsel af data fra
softwaretjenester, vil det i sidste ende kunne betyde, at alle cloududbydere
af softwaretjenester skal anvende ens teknologi eller dataformater. Det vil
resultere i øget ensartethed i softwareudbuddet og dermed færre valgmu-
ligheder for kunderne. Det kan på sigt skade innovationen blandt europæi-
ske virksomheder og brugere. DI ser derfor gerne, at begrebet ”funktionel
ækvivalens”
som minimum defineres klart i forslaget.
IT-Branchen
bemærker, at forslaget har en legitim ambition om at fjerne
forhindringer for, at cloudkunder skifter leverendør. Dog mener IT-Bran-
chen, at forslagets forsøg på at sammenligne skift af cloudtjeneste med en
relativt enkel migration af lagrede data eller gratis portabilitets-operationer
i henhold til persondataforordningen ikke afspejler de mange forskellige
cloudtjenester, datamængden og datakompleksiteten, det delte ansvar mel-
lem cloududbydere og kunder, samt behovet for specialiseret teknisk assi-
stance og projektledelse. Denne rigide tilgang vil have utilsigtede konse-
kvenser for konkurrencen og innovationen.
KL
ser umiddelbart positivt på fastsættelsen af krav til skift mellem data-
behandlingstjenester, idet KL finder, at det vil gøre det lettere for kommu-
nerne at skifte fra cloudleverandører, der ikke vil kunne opfylde de skær-
pede krav til tredjelandsoverførlser, som følger af persondataforordningen
og Screms II-dommen.
Beskyttelse af andre data end personoplysninger i internationale sammen-
hænge
DI
bemærker, at forslaget sætter rammer for internationale overførsler af data.
DI mener, at det i den forbindelse er vigtigt, at bestemmelserne er i overens-
stemmelse med anden regulering af internationale dataoverførsler, herunder
den nye aftale om Transatlantic Data Privacy Framework.
IT-Branchen
noterer sig, at forslaget indeholder bestemmelser om tekniske,
juridiske og organisatoriske tiltag for at undgå overførsel eller adgang til ikke-
persondata opbevaret i EU. Det mener IT-Branchen kan være diskrimine-
rende overfor cloudtjenesteudbydere etableret i EU, som kan være underlagt
love i en anden jurisdiktion, som kan være i strid med EU-lov. Af den årsag
mener IT-Branchen, at det kan påvirke større datastrømninger, idet det vil
være en forudsætning, at der foreligger en forudgående juridisk vurdering af
en potentiel konflikt med EU-lovgivning. Alt dette taget i betragtning vil for-
mentlig svække EU-virksomheders muligheder for vækst og for at konkurrere
internationalt, da det begrænser deres valg af teknologi og EU’s innovations-
kapacitet.
 Rådsmøde nr. 3917 (transport, telekommunikation og energi) den 5.-6. december 2022 - Bilag 2: Samlenotat vedr. rådsmøde transport, tele og energi - tele 5-6/12-22
2638316_0066.png
66/32
KL
vurderer, at de udfordringer, kommunerne har med tredjelandes udleve-
ringsanmodninger i forhold til persondata, med forslaget umiddelbart også vil
komme til at gælde øvrige oplysningstyper. Dog mener KL, at det er positivt,
at man med forslaget forsøger at undgå en Schrems II-sag på øvrige typer data
ved at regulere udleveringsanmodninger. KL bemærker, at undtagelsesbe-
stemmelserne er uklare.
Interoperabilitet
DI
støtter, at forslaget lægger op til større interoperabilitet mellem forskellige
cloudtjenester. DI mener, at de tekniske elementer deri er vigtigt for at opnå
interoperabilitet i praksis, hvorfor specifikationerne for interoperabilitet bør
fastlægges i dialog med virksomhederne og andre relevante aktører. Yder-
mere bør de afspejle internationale standarder og praksis på området.
Dansk Standard (DS)
bemærker, at forslaget bygger på principperne i det
såkaldte New Legislative Approach. Denne metode går ud på, at et direktiv
eller en forordning udformes som rammelovgivning som i brede vendinger
beskriver de essentielle krav, og at der identificeres europæiske standarder,
som, når de efterleves, kan give formodning om overensstemmelse med
lovgivningen. På den måde defineres de essentielle krav, mens de tekniske
specifikationer defineres i harmoniserede standarder. Dette er væsentlig
lettere for virksomhederne end at skulle dokumentere, at de efterlever lov-
givningen direkte, fordi der ikke står noget i loven om, hvordan man rent
teknisk lever op til lovens krav, og benyttes især af mindre virksomheder.
Når der kommer nye varetyper på markedet eller når ny teknologi skaber
øgede risici eller mulighed for større sikkerhed, kan de tekniske standarder
løbende revideres og godkendes af Kommissionen. Der bliver færre behov
for at justere lovgivningen, som derved bliver agil. Det kan i den forbin-
delse være vigtigt at fastholde krav om rimelige overgangsordninger, såle-
des at virksomheder kan nå at omstille sig til nye krav, med alt hvad det
indebærer for både produktionsprocesser og dokumentation.
Dansk Standard
mener, at det er uheldigt, at Kommissionen giver sig selv
mulighed for at udstede fælles tekniske specifikationer ved brug af delege-
rede retsakter og derved detailregulere området. Denne mulighed bør be-
grænses, så den kun anvendes, hvis Kommissionen har forsøgt at anmode
om harmoniserede standarder, og proceduren gøres transparent, således at
der fx skal gennemføres en bred offentlig høring, hvor alle interessenter har
mulighed for at bidrage, som det er tilfældet når der udvikles harmonise-
rede standarder. Kommissionen har i sin standardiseringsstrategi fra fe-
bruar 2022 annonceret, at man vil lave en ensartet tilgang til denne pro-
blemstilling på tværs af lovgivningsområder. Det er uklart, om forslaget vil
være omfattet af den nye horisontale tilgang.
 Rådsmøde nr. 3917 (transport, telekommunikation og energi) den 5.-6. december 2022 - Bilag 2: Samlenotat vedr. rådsmøde transport, tele og energi - tele 5-6/12-22
2638316_0067.png
67/32
FIDA
mener, at der er behov for en præcisering af samspillet mellem bestem-
melserne om interoperabilitet i datastyringsloven og forslaget.
Finansforbundet
mener, at forsvarende de udpegede fælles europæiske da-
taområder, vil et fælles europæisk finansielt dataområde kunne bidrage til in-
novation, den grønne omstilling og styrke integrationen af europæiske kapi-
talmarkeder. Drivkraften for delingen af data bør dog først og fremmest være
forbrugerens interesse. Der skal derfor sikres positive og gavnlige forhold for
forbrugerne, samt et balanceret hensyn til både datasikkerhed, -beskyttelse og
dataetik.
KL
ønsker klarhed over, hvorvidt de krav, der stilles til "operatører af data-
områder" gælder de kommunale systemer. KL vurderer, at operatører af da-
taområder skal leve op til en række krav til beskrivelse af indhold, struktur og
tekniske værktøjer til at stille oplysninger til rådighed. Umiddelbart flugter
denne type beskrivelseskrav godt med den måde, danske myndigheder og
kommuner har arbejdet med IT-arkitektur gennem længere tid. Dog bemær-
ker KL, at særlige europæiske krav kan medføre en merudgift og et ressour-
cetræk, der kan føre til krav om økonomisk kompensation. KL bemærker her-
udover, at der sker et abstraktionsskred, hvor visse punkter har et teknologi-
neutralt afsæt, mens der samtidig rettes krav direkte mod en konkret teknologi
i form af intelligente kontrakter, hvilket forekommer som et unaturligt spring
indenfor rammerne af den konkrete regulering. Tilsvarende bemærkning kan
knyttes til den meget løsningsrettede regulering af interoperabilitet for data i
cloudbaserede løsninger. KL mener, at det forekommer udfordrende, hvis det
bærende element i forslaget er, om data befinder sig i en cloud fremfor ek-
sempelvis on-premise. KL vurderer, at der ved udarbejdelse af europæiske
standarder sikres indflydelse fra nationale standardiseringsorganer, hvortil
KL henleder opmærksomheden på det mangeårige arbejde med fællesoffent-
lig standardisering gennemført i dansk regi med udvikling af både fælleskom-
munale og fællesoffentlige standarder og arkitekturkrav og -regler.
Gennemførelse og håndhævelse
Dansk Standard
noterer sig, at der lægges op til en ambitiøs lovgivning,
der stiller store krav til virksomheders og myndigheders kompetencer og
viden på området, hvorfor det er vigtigt, at der indføres rimelige overgangs-
perioder.
Finansforbundet
mener, at forslaget forudsætter øget nationalt og europæ-
isk tilsyn og den nødvendige finansiering. Der kan som eksempel på finan-
siering til øget tilsyn findes inspiration i den danske finansielle sektors til-
synsmodel, hvor Finanstilsynet er forankret under en offentlig myndighed,
men fuldt finansieret af det finansielle områdes virksomheder.
 Rådsmøde nr. 3917 (transport, telekommunikation og energi) den 5.-6. december 2022 - Bilag 2: Samlenotat vedr. rådsmøde transport, tele og energi - tele 5-6/12-22
2638316_0068.png
68/32
IT-Branchen
bemærker, at håndhævelsen er delt mellem forskellige tilsyns-
myndigheder og overlades til de individuelle medlemsstater. IT-Branchen er
bekymret for, at denne skønsbeføjelsestilgang vil resultere i forskellige prak-
sisser i de respektive medlemslande, hvilket ikke stemmer overens med am-
bitionen om at skabe en harmoniseret retlig ramme.
KL
bemærker, at kommunerne ingen kommercielle interesser har i data, og
kommunerne bør derfor ikke kunne bødesanktioneres i medfør af forslaget.
Sui generis-retten i henhold til direktiv 1996/9/EF
KL
savner klarhed over, hvorvidt det har betydning for kommunerne, at
sui
generis-retten
ikke finder anvendelse på databaser, hvor brugernes ret til udø-
velse af deres adgangsret til IoT-data forhindres.
9.
Generelle forventninger til andre landes holdninger
Der er fortsat flere udeståender, herunder i forhold til:
hvornår der foreligger et ekstraordinært behov for data hos offentlige
myndigheder
hvorvidt mikro- og små virksomheder skal undtages krav om datade-
ling
hvor strenge kravene skal være til interoperabilitet mellem databehand-
lingstjenester, og
hvilke krav der skal stilles angående overførsler af ikke-persondata til
tredjeparter.
På telerådsmødet den 6. december vil det tjekkiske formandskab præsen-
tere en fremskridtsrapport. Efter rådsmødet ventes formandskabet at frem-
sætte et tredje kompromisforslag.
10.
Regeringens generelle holdning
Regeringen hilser forslaget om en dataforordning velkommen og støtter am-
bitionen om at øge adgangen til og anvendelsen af data og sikre en mere ret-
færdig fordeling af data, herunder adressere techgiganters datamonopol. Re-
geringen anser således adgangen til og anvendelsen af data som et væsentligt
fundament for udviklingen af digitale teknologier og tjenester, der kan
fremme vækst, innovation og konkurrenceevne, og som derigennem kan bi-
drage til genopretningen af økonomien og til at løse klimaudfordringen.
Regeringen mener, at digitaliseringen skal tjene samfundets interesser ved, at
digitalisering bidrager til at adressere samfundets udfordringer, mens etisk,
 Rådsmøde nr. 3917 (transport, telekommunikation og energi) den 5.-6. december 2022 - Bilag 2: Samlenotat vedr. rådsmøde transport, tele og energi - tele 5-6/12-22
2638316_0069.png
69/32
ansvarlig og sikker digitalisering går hånd i hånd med digital vækst. Regerin-
gen arbejder for, at den digitale økonomi i Europa generelt kendetegnes ved
et højt niveau af tillid og tryghed, samt en stærk digital konkurrenceevne ba-
seret på innovationsfremmende og teknologineutrale rammevilkår, uden unø-
dige byrder og barrierer.
Regeringen støtter målet om at stille flere data til rådighed for anvendelse og
ser forslaget som en vigtig mulighed for at fremme en datadrevet europæisk
økonomi. Regeringen finder det vigtigt, at forordningens initiativer understøt-
ter en effektiv, ansvarlig og sikker adgang til og anvendelse af data, som ska-
ber reel værdi for borgere og virksomheder. Endvidere mener regeringen, at
virksomheders datadeling og -anvendelse skal fremmes gennem etablering af
klare, forståelige og horisontale rammer for datadeling, samt gennem øget
interoperabilitet mellem tjenester og decentraliseret dataudveksling.
Regeringen støtter hensigten om at etablere horisontale rammer for datade-
ling, der efter behov kan suppleres af sammenhængende sektorspecifik regu-
lering. Regeringen ser positivt på, at der etableres horisontale rammer for ob-
ligatorisk datadeling, der skal finde anvendelse ved fremtidig sektorspecifik
regulering. Der er behov for nærmere afklaring af de individuelle betingelser,
herunder hvorvidt vilkårene for at kræve godtgørelse er tilstrækkeligt klare.
Generelt skal afklaring også bidrage til at konkretisere de økonomiske kon-
sekvenser
Regeringen bakker op om etablering af horisontale rammer, der skal beskytte
mikrovirksomheder og SMV’er mod urimelige aftalevilkår i forbindelse
med
datadeling. Det skal sikres, at den konkrete udformning af rammerne opnår
den rette balance mellem at favne potentielle urimelige vilkår og give tilstræk-
kelig juridisk klarhed. Regeringen hilser yderligere initiativer til fremme af
frivillig datadeling velkommen.
Regeringen ser positivt på, at brugere af IoT-genstande og -tjenester får en
adgangsret til data, der genereres af de produkter, de ejer, lejer eller leaser,
samt mulighed for at dele disse data med tredjeparter. Regeringen er enig i, at
en regulatorisk omfordeling af data genereret af flere parter skal baseres på
klare vilkår og gennemsigtighed. Regeringen vil have fokus på, at incitamen-
tet for at indsamle og lagre data ikke fjernes.
Regeringen er enig i, at der kan være fordele ved, at offentlige myndigheder
får adgang til virksomhedsdata til gavn for almenvellet særligt i samfunds-
mæssige kriser, men regeringen finder det essentielt, at en sådan adgangsret
afgrænses til de situationer, hvor der foreligger et specifikt formål på bag-
grund af en offentlig nødsituation. Endvidere skal der være en klar definition
af, hvad der udgør en offentlig nødsituation, herunder at der skal være tale om
 Rådsmøde nr. 3917 (transport, telekommunikation og energi) den 5.-6. december 2022 - Bilag 2: Samlenotat vedr. rådsmøde transport, tele og energi - tele 5-6/12-22
2638316_0070.png
70/32
en overhængende og midlertidig krise. Regeringen finder, at offentlige myn-
digheders adgang til og indsamling af oplysninger fra virksomhedsorganisa-
tioner eller virksomheder skal ske gennem en rimelig, forudsigelig, nem og
transparent proces. Endvidere mener regeringen, at alene de kompetente
myndigheder i den medlemsstat, en dataindehaver er etableret i, bør kunne
kræve data stillet til rådighed på baggrund af dataforordningen, så adgang til
virksomhedsdata på tværs grænser går igennem de nationale myndigheder.
Regeringen mener, at øget dataportabilitet, der sikrer en effektiv flytning af
data mellem forskellige systemer og tjenester, er nødvendig for at forbedre
markedet for cloudtjenester til fordel for både borgere, virksomheder og of-
fentlige myndigheder. Regeringen støtter grundlæggende forslagets tilgang,
hvor de tekniske udfordringer relateret til interoperabilitet mellem cloudtje-
nester søges håndteret gennem fælles standarder og formater. Regeringen fin-
der det imidlertid vigtigt, at forpligtelserne til tjenesterne er teknisk realiser-
bare for både brugere og omfattede tjenester, og at der ikke skabes uhensigts-
mæssige incitamentsstrukturer samt øget afhængighed af techgiganternes di-
gitale infrastruktur.
Regeringen arbejder for, at systemer og tjenester, der kan behandle, dele og
give adgang til data, bygger på fælles standarder og kan arbejde på tværs af
hinanden. Derfor støtter regeringen forslagets bestræbelser på at styrke inter-
operabilitet for data, hvor regeringen vil have fokus på at sikre fri og åben
deltagelse i europæiske dataområder og decentral databehandling. Endvidere
finder regeringen, at der er behov for klarhed over de beføjelser, Kommissi-
onen tillægges til at udforme delegerede og implementerende retsakter, samt
standarder i udmøntningen af bestemmelserne.
Regeringen finder, at dataøkonomien er grænseoverskridende af natur, hvor-
for tiltag til at fremme den europæiske dataøkonomi skal fungere i den glo-
bale økonomi og respektere internationale samarbejdspartnere og handelsaf-
taler.
Regeringen mener, at effektiv håndhævelse er vigtigt for at opnå ambitio-
nerne med forslaget. I den forbindelse finder regeringen, at der kan blive be-
hov for, at sager af en vis størrelse eller grænseoverskridende karakter hånd-
teres af et europæisk tilsyn. Regeringen vil arbejde for, at der ikke indføres
unødige byrder for det offentlige i forbindelse med tilsyn og håndhævelse.
11.
Tidligere forelæggelse for Folketingets Europaudvalg
Sagen har været forelagt Folketingets Europaudvalg til orientering den 19.
maj 2022. Der blev oversendt grund- og nærhedsnotat den 11. april 2022.
 Rådsmøde nr. 3917 (transport, telekommunikation og energi) den 5.-6. december 2022 - Bilag 2: Samlenotat vedr. rådsmøde transport, tele og energi - tele 5-6/12-22
2638316_0071.png
Forslag til EUROPA-PARLAMENTETS OG RÅDETS FORORD-
NING om horisontale cybersikkerhedskrav til produkter med digitale
elementer og om ændring af forordning (EU) 2019/1020, KOM (2022)
454
1.
Resumé
17. november 2022
Formålet med drøftelsen på rådsmødet er at få en første politisk pejling fra
medlemslandene på basis af formandsskabets fremskridtsrapport. Forhand-
lingerne er på et tidligt stadie, og regeringen kan byde drøftelsen velkommen.
Forordningsforslaget fastsætter horisontale cybersikkerhedskrav for produ-
center og udviklere af produkter med digitale elementer med henblik på at
højne cybersikkerhedsniveauet på tværs af EU. Kravene skal gøre produkter,
der er forbundet til internettet, sikrere, og gøre producenter ansvarlige for
cybersikkerhed gennem hele produktets livscyklus. Forordningen skal også
forbedre forbrugernes adgang til information om cybersikkerhed.
I forslaget lægges der op til at fastsætte en række krav, der skal sikre et mini-
mumsniveau for cybersikkerhed i produkter. Der er lagt op til at specificere
kravene yderligere gennem harmoniserede standarder, der skal udvikles i
samarbejde med industrien. Kommissionen har udarbejdet en liste over sær-
ligt kritiske produkter, der skal certificeres af en tredjepart, før de kan sælges
på det indre marked. Der lægges op til, at Kommissionen får bemyndigelse
til at specificere og opdatere denne liste.
Både erhvervsliv og medlemsstater har overordnet taget positivt imod forsla-
get. Det gælder særligt det høje ambitionsniveau, hvor forslaget dækker pro-
duktområdet bredt. Der ses dog et behov for yderligere klarhed over forord-
ningens anvendelsesområde, fx i forhold til om digitale tjenester og processer
er omfattet.
Forslaget kan medføre behov for ændring af gældende regler for tilsyn med
produktsikkerhed. Det vurderes, at forslaget vil medføre omkostninger for
virksomhederne og få statsfinansielle konsekvenser som følge af nye forplig-
telser for myndighederne.
Regeringen hilser forslaget og det høje ambitionsniveau velkomment. Kra-
vene bør finde en passende balance mellem et højt cybersikkerhedsniveau,
den digitale udvikling samt omkostninger for erhvervslivet.
2.
Baggrund
 Rådsmøde nr. 3917 (transport, telekommunikation og energi) den 5.-6. december 2022 - Bilag 2: Samlenotat vedr. rådsmøde transport, tele og energi - tele 5-6/12-22
2638316_0072.png
72/24
Europa-Kommissionen (Kommissionen) har den 15. september 2022 frem-
sat et forslag til en forordning om horisontale cybersikkerhedskrav til pro-
dukter med digitale elementer
4
(herefter ’forslaget’). Forslaget har til for-
mål at fastsætte fælles krav til cybersikkerhed i alle produkter med digitale
elementer
5
(herefter ’produkter’) for at øge cybersikkerheden på tværs af
EU og styrke det indre markeds funktion.
Forslaget blev oversendt til Rådet i dansk sprogversion den 24. oktober
2022. Forslaget har retsgrundlag i artikel 114 TFEU, som indeholder be-
stemmelser om vedtagelse af foranstaltninger med henblik på at sikre det
indre markeds oprettelse og funktion. Forslaget behandles efter den almin-
delige beslutningsprocedure og vedtages med kvalificeret flertal i Rådet.
Kommissionen er i stigende grad blevet opmærksom på, at cybersikkerhe-
den i EU bør styrkes, og har i 2020 udarbejdet en strategi på området
6
.
Strategiens fokus er at sikre et globalt og åbent internet og samtidig be-
skytte borgernes sikkerhed, grundlæggende rettigheder og friheder. Der er
i de senere år igangsat en række tiltag herom, fx regulering af kritisk infra-
struktur, radioudstyr, certificering af cybersikkerhedsprodukter samt styr-
kelse af cybersikkerhed på tværs af Unionen.
Forslaget bunder i, at selvom brugen af produkter med digitale elementer
(inkl. software) er stærkt stigende, er cybersikkerheden i disse produkter
ofte lav eller ikke eksisterende. Det udgør en betydelig risiko, der overord-
net kan sammenfattes således:
1. Produkterne kan anvendes som springbræt til at få adgang til netværk,
som de er koblet på, og derved også til andre systemer, som er forbun-
det til disse netværk. Det kan fx være, at man får adgang til servere via
et web-kamera, en mobiltelefon eller en robotstøvsuger, som er forbun-
det til det samme netværk.
2. Produkter, der er kompromitterede, kan i nogle tilfælde bruges til ko-
ordinerede storskalaangreb. Fx kan mange produkter sættes til samti-
digt at rette en datastrøm mod en bestemt modtager for at overbelaste
modtagerens system, der derved ikke kan fungere som tiltænkt. Det kan
fx være handelsplatforme, myndighedsportaler eller andre digitale tje-
nester, der bliver gjort ubrugelige eller utilgængelige.
Dette kaldes ”Di-
stributed Denial of Service”
-angreb (DDoS).
4
KOM (2022) 454
EUROPA-PARLAMENTETS OG RÅDETS FORORDNING
om horisontale cybersikkerhedskrav til produkter med digitale elementer og om ændring af forord-
ning (EU) 2019/1020)
5
Defineret som: ethvert software- eller hardwareprodukt og dets fjerndatabehandlingsløsninger, her-
under software- eller hardwarekomponenter, der skal bringes i omsætning separat
6
JOIN (2020) 18
Final - EU's strategi for cybersikkerhed for det digitale årti
 Rådsmøde nr. 3917 (transport, telekommunikation og energi) den 5.-6. december 2022 - Bilag 2: Samlenotat vedr. rådsmøde transport, tele og energi - tele 5-6/12-22
2638316_0073.png
73/24
Disse risici øger omkostningerne for brugerne og samfundet og skyldes
ifølge Kommissionens undersøgelser primært:
1. Et lavt niveau af cybersikkerhedsforanstaltninger og utilstrækkelige
sikkerhedsopdateringer
2. En utilstrækkelig forståelse for cybersikkerhed hos brugerne og hertil
utilstrækkelig adgang til information om cybersikkerhed i produkter,
som forhindrer brugerne i at vælge sikre produkter og bruge dem på en
sikker måde.
Kommissionens konsekvensanalyse viser, at 60 procent af alle sikkerheds-
brud i de kritiske sektorer såsom sundhed og telekommunikation skyldes
sårbarheder i hardware og software. En lignende andel af forbrugerproduk-
ter har kritiske sårbarheder. Vellykkede cyberangreb blev estimeret til at
koste ca. 41 milliarder danske kroner globalt i 2021
7
.
Der opdages ca. 20.000 nye digitale sårbarheder hvert eneste år. De kan
true sikkerheden i eksisterende produkter, da sårbarhederne ikke var kendt,
da produkterne blev lavet. Derfor ser Kommissionen et behov for, at regu-
leringen tager hånd om denne udfordring gennem produktets livscyklus.
Det betyder fx, at produktet løbende opdateres, når der findes nye sårbar-
heder.
Ifølge Kommissionen er der en række strukturelle forhold som gør, at ny
EU-regulering er særlig relevant på området:
Markedet efterspørger ikke aktivt cybersikkerhed, og leverandørerne
prioriterer det derfor ikke nødvendigvis. Dertil er der et vist pres mod
bunden, hvor det handler om at producere billigt og udvikle hurtigt
og ikke nødvendigvis gennemlyse alle de komponenter, et produkt
består af, med hensyn til cybersikkerhed.
Cybersikkerheden i produkter går på tværs af landegrænser, da pro-
dukter fremstillet i ét land ofte bruges i andre lande. Hændelser kan,
inden for få minutter, spredes over hele det indre marked.
Cybersikkerheden i de fleste hardware- og softwareprodukter er i øje-
blikket ikke omfattet af EU-lovgivning. Især behandler den nuvæ-
rende EU-ret ikke cybersikkerheden af software, der ikke indgår i et
fysisk produkt, som fx computerspil og andre programmer. Det er
selvom cybersikkerhedsangreb i stigende grad retter sig mod sårbar-
heder i disse produkter, hvilket forårsager betydelige samfundsmæs-
sige og økonomiske omkostninger.
7
Kilde: Europa-Kommissionens
Fælles Forskningscenter (JRC), 2020: “Cybersecurity
Our Digi-
tal Anchor, a European perspective”,
s. 7.
 Rådsmøde nr. 3917 (transport, telekommunikation og energi) den 5.-6. december 2022 - Bilag 2: Samlenotat vedr. rådsmøde transport, tele og energi - tele 5-6/12-22
2638316_0074.png
74/24
Forordningen skal harmonisere EU's regler og undgå overlappende krav på
området for cybersikkerhed. Forordningen skal især supplere NIS2-direk-
tivet
8
, som for nylig blev vedtaget af Europa-Parlamentet og Rådet.
Radioudstyr vil også være dækket af forslaget. Indtil forordningen er for-
handlet færdig og træder i kraft, er raditioudstyr reguleret af en delege-
rede retsakt
9
under radioudstyrsdirektivet
10
om cybersikkerhed, der vil
blive ophævet efterfølgende.
3.
Formål og indhold
Formålet med drøftelsen på rådsmødet er at få en første politisk pejling i
forhold til forslaget baseret på formandskabets fremskridtsrapport.
Hovedformålene med forslaget er at øge cybersikkerheden i EU og for-
bedre det indre markeds funktion. Dette skal ske ved at:
strømline og supplere de eksisterende regler; og
forhindre yderligere fragmentering af cybersikkerhedskravene til pro-
dukter med digitale elementer gennem en horisontal forordning.
Dette skal overordnet opnås gennem horisontale krav til cybersikkerheden
i produkter og krav til, at producenter tager sikkerhed seriøst gennem hele
produktets livscyklus. Derudover skal der være de rette betingelser for, at
brugerne kan tage hensyn til cybersikkerhed, når de udvælger og bruger
produkter med digitale elementer.
I forslaget lægger Kommissionen op til at tage udgangspunkt i den såkaldte
’Ny Metode’
11
. Det betyder, at forordningen fastlægger nogle overordnede
krav, som efterfølgende skal detaljeres i en række harmoniserede standar-
der. Derved kan reguleringen holdes på et overordnet niveau og samtidig
bliver industrien involveret i udarbejdelsen af de detaljerede tekniske krav
igennem standardiseringsorganisationerne.
Produkter er som udgangspunkt alene underlagt producenternes egen eva-
luering af, hvorvidt de lever op til kravene. Kommissionen har dog udar-
8
2020/0359 (COD): Forslag om foranstaltninger til sikring af et højt fælles cybersikkerhedsniveau
i hele Unionen og om ophævelse af direktiv (EU) 2016/1148
9
2022/30/EU
10
2014/53/EU
11
New Legislative Framework: vedtaget i 2008, har til formål at forbedre det indre marked for varer
og styrke betingelserne for at bringe en bred vifte af produkter på EU-markedet. Det er en pakke af
foranstaltninger, der har til formål at forbedre markedsovervågningen og øge kvaliteten af overens-
stemmelsesvurderinger. Det tydeliggør også brugen af CE-mærkning og skaber en værktøjskasse
med foranstaltninger til brug i produktlovgivningen. Den Ny Metode er også anvendt i andre igang-
værende forslag, fx i AI-forordningen (2021/0106(COD)) og Maskinforordningen
(2021/0105(COD)).
 Rådsmøde nr. 3917 (transport, telekommunikation og energi) den 5.-6. december 2022 - Bilag 2: Samlenotat vedr. rådsmøde transport, tele og energi - tele 5-6/12-22
2638316_0075.png
75/24
bejdet en liste over produkter, der har en særlig kritisk karakter eller anven-
delse, som vil være underlagt krav om egentlig certificering. Det kan fx
være routere. Forslaget dækker ikke produkter, som allerede er underlagt
cybersikkerhedskrav i eksisterende sektorspecifikke EU-regler, fx medi-
cinsk udstyr, luftfart og køretøjer. Forslaget dækker heller ikke produkter,
der udelukkende udvikles til nationale sikkerhedsformål eller militære for-
mål, eller produkter, der er specifikt designet til at behandle klassificerede
oplysninger.
Kapitel I: Almindelige bestemmelser
Forslaget fastsætter nogle væsentlige krav
12
til produkter med digitale ele-
menter, for at de må gøres tilgængelige på markedet i EU:
a) krav til design, udvikling og produktion og forpligtelser for producen-
ter, udviklere, importører og distributører med hensyn til cybersikker-
hed;
b) krav til de processer for håndtering af sårbarheder, som producenter
skal indføre for at sikre cybersikkerheden i produktets livscyklus; og
c) regler om markedsovervågning og håndhævelse.
Forslaget finder anvendelse på produkter med digitale elementer hvis an-
vendelse omfatter en dataforbindelse til en anden enhed eller et netværk.
Software er omfattet, også når det ikke indgår i et fysisk produkt. Tjenester
er som udgangspunkt ikke omfattet, men fjerndatabehandling
13
(fx cloud-
løsninger) er inkluderet, hvis de udgør en del af et omfattet produkt.
Forslaget etablerer specifikke procedurer for at foretage vurderinger af, om
’kritiske produkter’ lever op til reglerne. Kritiske produkter er fx antivirus-
programmer. Kritiske produkter inddeles i klasse I og II, alt efter hvor kri-
tiske de er for cybersikkerheden. Klasse II anses som de mest kritiske og
omfatter bl.a. operativsystemer og firewalls til industriel brug. Produkterne
klassificeres efter produktets betydning for cybersikkerheden generelt,
samt hvorvidt produktet indgår i kritiske sammenhænge, som fx de sam-
fundskritiske sektorer efter NIS-direktivet.
Kapitel II: Forpligtigelser for økonomiske aktører
Forslaget indeholder krav og forpligtelser for producenter, importører og
distributører, som er tilpasset i forhold til deres rolle og ansvar i forsynings-
kæden. Produkter må kun gøres tilgængelige på markedet, hvis de opfylder
de væsentlige cybersikkerhedskrav, der er fastsat i forordningen, forudsat
at de er korrekt leveret, installeret og vedligeholdt og anvendes til det til-
sigtede formål eller på måder, som med rimelighed kan forudses.
12
13
”essential requirements”, jf. bilag 1 til forordningen.
Defineret som: enhver databehandling på afstand, som softwaren er designet og udviklet til af
fabrikanten eller under fabrikantens ansvar, hvis fravær ville forhindre produktet med digitale ele-
menter i at udføre en af sine funktioner
 Rådsmøde nr. 3917 (transport, telekommunikation og energi) den 5.-6. december 2022 - Bilag 2: Samlenotat vedr. rådsmøde transport, tele og energi - tele 5-6/12-22
2638316_0076.png
76/24
Ifølge de ‘væsentlige krav’ skal producenterne tage højde for og udvise den
fornødne omhu i forhold til cybersikkerhed i forbindelse med design, ud-
vikling og produktion af produkter med digitale elementer. Producenterne
skal også sørge for sikkerhedsinformation til kunder og for sikkerhedssup-
port (fx software-opdateringer) på en hensigtsmæssig måde samt opfylde
krav til håndtering af sårbarheder.
Forslaget stiller også forpligtelser
til producenter om rapportering til EU’s
cybersikkerhedsagentur (ENISA) vedr. kendskab til aktivt udnyttede sår-
barheder eller hændelser, der indvirker sikkerheden i produkter med digi-
tale elementer. Rapportering skal ske senest 24 timer efter kendskab, hvor-
efter ENISA videresender rapporteringen til relevante CSIRT'er
14
. Forbru-
gere af produktet med digitale elementer skal ligeledes underrettes om hæn-
delsen, herunder også modtage information om mitigerende handlinger de
kan foretage
Kapitel III: Overensstemmelse af produkter med digitale elementer
Produkter, som er i overensstemmelse med harmoniserede standarder eller
fælles specifikationer, formodes at være i overensstemmelse med de væ-
sentlige krav i forordningen, uden at det kræver certificering af en tredje-
part.
Kommissionen kan vedtage fælles specifikationer ved hjælp af gennemfø-
relsesretsakter i tilfælde, hvor:
1. Der ikke findes harmoniserede standarder
2. Disse standarder er utilstrækkelige
3. Standarderne er unødigt forsinkede i standardiseringsproceduren,
eller
4. Kommissionens anmodning om udarbejdelse af standarder ikke er
blevet imødekommet af de europæiske standardiseringsorganisati-
oner.
Desuden formodes produkter at leve op til reglerne, hvis de er blevet certi-
ficeret, eller der er udstedt en EU-overensstemmelseserklæring eller attest
i henhold til en europæisk cybersikkerhedscertificeringsordning
15
. Certifi-
ceringsordningerne opfylder kun forslagets krav, hvis Kommissionen har
taget stilling til det i en gennemførelsesretsakt.
Producenten skal foretage en vurdering af, om produktet og producentens
proces for håndtering af sårbarheder er i overensstemmelse med reglerne.
Producenten skal følge en af de procedurer, der er fastsat i bilag VI. Produ-
center af kritiske produkter i klasse II skal inddrage en tredjepart i deres
14
15
Computer Security Incident Response Team
Jf. Cyber Security Act (CSA), forordning 2019/881/EU om ENISA (EUs Agentur for Cybersik-
kerhed) og om cybersikkerhedscertificering af informations- og kommunikationsteknologi.
 Rådsmøde nr. 3917 (transport, telekommunikation og energi) den 5.-6. december 2022 - Bilag 2: Samlenotat vedr. rådsmøde transport, tele og energi - tele 5-6/12-22
2638316_0077.png
77/24
overensstemmelsesvurdering, mens produkter i klasse I kan undtages fra
dette krav, hvis de anvender harmoniserede standarder.
Kapitel IV: Notifikation af overensstemmelsesvurderingsorganer
Forslaget indeholder en række krav til de nationale myndigheder med an-
svar for organer, som kan foretage overensstemmelsesvurderinger; de så-
kaldte bemyndigede organer
16
. Medlemsstaterne skal udpege en bemyndi-
gende myndighed, som er ansvarlig for at indføre og gennemføre de nød-
vendige procedurer for vurdering og notifikation af bemyndigede organer
samt overvågning af disse.
Kapitel V: Markedsovervågning og håndhævelse
I overensstemmelse med den gældende forordning for markedsovervåg-
ning og produktoverensstemmelse
17
skal de nationale markedsovervåg-
ningsmyndigheder udføre markedsovervågning i den pågældende med-
lemsstat. Medlemsstaterne kan vælge at udpege enhver eksisterende eller
ny myndighed som markedsovervågningsmyndighed, herunder eksiste-
rende nationale kompetente myndigheder under NIS2 eller udpegede nati-
onale cybersikkerhedscertificeringsmyndigheder efter artikel 58 i Cyber-
sikkerhedsforordningen
18
. Virksomhederne anmodes om at samarbejde
fuldt ud med markedsovervågningsmyndighederne og andre kompetente
myndigheder.
I tilfælde af manglende efterlevelse kan myndighederne:
1. Kræve, at producenten bringer overtrædelserne til ophør og eliminerer
risikoen
2. Forbyde eller begrænse adgangen til markedet for produkt
3. Beordre, at produktet trækkes tilbage fra markedet eller tilbagekaldes
fra kunderne.
Myndighederne skal samtidig kunne pålægge virksomheder, der ikke over-
holder reglerne, sanktioner.
Kapitel VI: Delegerede beføjelser og udvalgsprocedure
For at sikre, at lovgivningen kan tilpasses om nødvendigt, bemyndiges
Kommissionen til at vedtage
delegerede retsakter
19
til:
opdatering af listen over kritiske produkter i klasse I og II i bilag III og
præcisering af definitionerne af disse produkter;
præcisering af, om en begrænsning eller udelukkelse er nødvendig for
produkter, der er omfattet af anden EU-lovgivning, som stiller krav om
samme beskyttelsesniveau som dette forslag;
16
17
I overensstemmelse afgørelse 768/2008/EF om fælles rammer for markedsføring af produkter.
2019/1020/EU
18
Cyber Security Act, forordning 2019/881/EU
19
Jf. artikel 290 i Traktaten om Den Europæiske Unions Funktionsmåde (TEUF)
 Rådsmøde nr. 3917 (transport, telekommunikation og energi) den 5.-6. december 2022 - Bilag 2: Samlenotat vedr. rådsmøde transport, tele og energi - tele 5-6/12-22
2638316_0078.png
78/24
tildeling af mandat til certificering af visse meget kritiske produkter
med digitale elementer baseret på de kriterier, der er fastsat i forord-
ningen; og
præcisering af, hvad EU-overensstemmelseserklæringen som mini-
mum skal indeholde, og supplering af de elementer, der skal indgå i
den tekniske dokumentation.
Kommissionen tillægges desuden beføjelser til at vedtage
gennemførelses-
retsakter
med henblik på at:
præcisere formatet for eller typen af oplysninger i producenternes for-
pligtelse om rapportering af sårbarheder og udarbejdelse af en liste
over softwarekomponenter, der skal gives informationer om;
præcisere de europæiske cybersikkerhedscertificeringsordninger, der
kan anvendes til at påvise overensstemmelse med forordningens væ-
sentlige krav eller dele heraf;
vedtage ’fælles specifikationer’ i tilfælde af manglende standarder;
fastsætte tekniske specifikationer for CE-mærkningen; og
vedtage korrigerende eller restriktive foranstaltninger på EU-plan un-
der ekstraordinære omstændigheder, der berettiger et hurtigt indgreb
for at bevare et velfungerende indre marked.
Kapitel VII: Fortrolighed og sanktioner
Forslaget pålægger alle parter tavshedspligt omkring oplysninger og data,
der indhentes under udførelsen af deres opgaver og arbejde omfattet af for-
ordningen.
For at sikre en effektiv håndhævelse fastsætter forslaget, at markedsover-
vågningsmyndigheder skal have beføjelse til at pålægge eller anmode om,
at de nationale domstole pålægger bøder for overtrædelse af reglerne i for-
ordningen. er. På samme måde fastsætter forordningen maksimumsni-
veauer for bøder.
Producenter kan således straffes med bøde, hvis de ikke opfylder forord-
ningens væsentlige cybersikkerhedskrav og forpligtelserne i artikel 10
(producentens forpligtelser) og 11 (rapporteringsforpligtelser). Bøderne
kan være på op til ca. 112 millioner danske kroner eller 2,5 procent af en
virksomheds samlede globale årsomsætning i det foregående regnskabsår,
alt efter hvilket beløb der er størst. Tilsvarende kan manglende overhol-
delse af andre forpligtelser straffes med bøde på op til ca. 75 millioner dan-
ske kroner eller op til 2 procent af den samlede globale årsomsætning.
Ukorrekte, ufuldstændige eller vildledende oplysninger til bemyndigede
organer og markedsovervågningsmyndigheder som svar på en anmodning
kan straffes med bøder på op til ca. 37 millioner danske kroner eller op til
1 procent af den samlede globale årsomsætning.
 Rådsmøde nr. 3917 (transport, telekommunikation og energi) den 5.-6. december 2022 - Bilag 2: Samlenotat vedr. rådsmøde transport, tele og energi - tele 5-6/12-22
2638316_0079.png
79/24
I forslaget er der indsat mulighed for, at medlemsstaterne kan beslutte, om
og i hvilket omfang offentlige myndigheder skal kunne pålægges bøder.
Kapitel VIII: Transition og afsluttende bestemmelser
Forordningen vil finde anvendelse 24 måneder efter dens ikrafttrædelse,
med undtagelse af rapporteringspligten for producenter (artikel 11), som
ville gælde fra 12 måneder efter datoen for ikrafttrædelse.
4.
Europa-Parlamentets udtalelser
I Europa-Parlamentet har udvalget for industri, transport, forskning og energi
(ITRE) hovedansvaret for forslagets behandling. Der er på nuværende tids-
punkt ikke udarbejdet en holdning til forslaget.
5.
Nærhedsprincippet
Kommissionen vurderer, at forslaget er i overensstemmelse med nærheds-
princippet.
Det er Kommissionens opfattelse, at den generelle grænseoverskridende
karakter af cybersikkerhed, de stigende risici og antallet af sikkerhedshæn-
delser, som har afsmittende virkninger på tværs af grænser, sektorer og pro-
dukter, betyder, at målene for dette forslag ikke effektivt kan nås af med-
lemsstaterne alene. Kommissionen vurderer desuden, at nationale tilgange
til at løse problemerne, og især tilgange, der indfører obligatoriske krav, vil
skabe yderligere juridisk usikkerhed og barrierer på det indre marked. Så-
ledes mener Kommissionen, at handling på EU-plan er nødvendig for at
sikre en høj grad af tillid blandt brugerne. Endelig påpeger Kommissionen,
at forslaget også vil gavne det digitale indre marked og det indre marked
generelt ved at give retssikkerhed og lige vilkår for producenter af produk-
ter med digitale elementer.
Regeringen er samlet set enig i Kommissionens vurdering af, at forslaget
er i overensstemmelse med nærhedsprincippet.
6.
Gældende dansk ret
Gældende dansk produktlovgivning indeholder ikke regler, der direkte re-
gulerer cybersikkerhed. Det er på nuværende tidspunkt ikke klart, hvorle-
des forslaget er relateret til lovgivning såsom Lov om net- og informations-
sikkerhed for domænenavnssystemer og visse digitale tjenester
20
, samt
20
Lov nr. 436 af 08/05/2018, der implementerer EU direktiv (EU) 2016/1148 (NIS)
 Rådsmøde nr. 3917 (transport, telekommunikation og energi) den 5.-6. december 2022 - Bilag 2: Samlenotat vedr. rådsmøde transport, tele og energi - tele 5-6/12-22
2638316_0080.png
80/24
GDPR
21
. Produktloven
22
indeholder generelle regler om, hvilke krav
mange produkter skal leve op til, før de gøres tilgængeligt på markedet.
Hertil kommer regler i mere sektorspecifik produktlovgivning. Reglerne
fra dette forslag vil supplere disse.
7.
Konsekvenser
Lovgivningsmæssige konsekvenser
En ny forordning om horisontale krav til cybersikkerheden i produkter med
digitale elementer vil være direkte gældende i dansk ret. En vedtagelse af
forslaget kan, afhængigt af hvilke(n) myndighed(er) der får ansvaret for
reglerne, medføre behov for tilpasning af bestemmelser om kontrolbeføjel-
ser og sanktioner i eksisterende dansk lovgivning, som fx Produktloven
22
.
Det er endnu ikke besluttet, hvordan forslaget skal implementeres, og hvor-
dan myndighedsopgaverne skal fordeles.
Økonomiske konsekvenser
Statsfinansielle konsekvenser
Det forventes, at forslaget vil få statsfinansielle konsekvenser. Omkostnin-
gerne kan omfatte:
1. oprettelse af nye myndigheder eller nye opgaver til eksisterende myn-
digheder;
2. kendskab til og oplæring i de nye krav til eksisterende eller nye myn-
digheder, og
3. tilsyn og håndhævelse af de nye krav, herunder løbende som en del af
livscyklustilgangen.
På sigt kan der opstå omkostningsbesparelser takket være en horisontal til-
gang til cybersikkerhedskrav, så der fx ikke skal håndhæves efter flere re-
gelsæt parallelt for forskellige produkttyper eller sektorer. Det er under for-
udsætning af, at der opereres med et begrænset antal standarder, der ud-
mønter de konkrete cybersikkerhedskrav.
Der kan ligeledes være løbende omkostninger i form af yderligere tilsyn og
håndhævelse af de nye krav, såfremt offentlige produkter eller tjenester,
der indgår i, anvendes af eller eksisterer i konkurrence med produkter fra
kommercielle aktører, er omfattet.
Kommissionen estimerer i sin konsekvensanalyse, at de sammenlagte år-
lige meromkostninger for tilsynsmyndighederne, vil beløbe sig til ca. 57
21
EUROPA-PARLAMENTETS OG RÅDETS FORORDNING (EU) 2016/679 af 27. april 2016
om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri
udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om
databeskyttelse)
22
Lov nr. 799 af 9. juni 2020
 Rådsmøde nr. 3917 (transport, telekommunikation og energi) den 5.-6. december 2022 - Bilag 2: Samlenotat vedr. rådsmøde transport, tele og energi - tele 5-6/12-22
81/24
milliarder danske kroner i hele EU. Det bemærkes, at afledte nationale ud-
gifter som følge af EU-retsakter afholdes inden for de berørte ministeriers
eksisterende bevillingsramme, jf. budgetvejledningens bestemmelser
herom.
Samfundsøkonomiske konsekvenser
Forslaget vurderes at kunne få både positive og negative samfundsøkono-
miske konsekvenser.
Det vurderes, at kravene vil være med til at løfte cybersikkerhedsniveauet
for produkter på det indre marked. Dette vil kunne medføre en reduktion af
cybersikkerhedshændelser og cyberkriminalitet, og dermed løfte cybersik-
kerhedsniveauet på tværs af EU, herunder i Danmark. Det vil have positive
økonomiske konsekvenser og tillige øge beskyttelsen af fundamentale ret-
tigheder, særligt for privatlivs- og persondatabeskyttelsen. Forslaget vil bi-
drage til at myndigheder, virksomheder og borgere er bedre beskyttet i cy-
berspace.
Omvendt kan forslaget få negative samfundsøkonomiske konsekvenser, så-
fremt de nye krav og forpligtelser for producenterne skaber uhensigtsmæs-
sige omkostninger, fx i form af høje certifikationsomkostninger, overlap af
forskellige standarder eller lange produktgodkendelsesprocesser. Det vil
især have betydning for SMV’er og iværksættervirksomheder og kan i sid-
ste ende påvirke udbuddet og prisen på de omfattede produkter.
Erhvervsøkonomiske konsekvenser
Det forventes, at forslaget vil medføre økonomiske og administrative kon-
sekvenser for dansk erhvervsliv. Særligt må det forventes, at de nye pro-
duktkrav vil medføre øgede udgifter til design og produktion, samt løbende
vedligeholdelse og opdateringer som følge af livscyklustilgangen. Ligele-
des forventes krav til rapportering, uddybende brugerinformation og sær-
ligt certificering at bidrage til omkostninger.
Kommissionen estimerer i konsekvensanalysen, at de samlede omkostnin-
ger for overholdelse forventes at blive op til ca. 216 mia. danske kroner for
alle softwareudviklere og hardwareproducenter i EU. Kommissionen skøn-
ner, at forslaget hovedsageligt vil betyde øgede omkostninger for virksom-
heder, herunder producenter, distributører og importører, til produktudvik-
ling gennem hele livscyklussen, informationsmateriale til slutbrugere,
overensstemmelsesvurderinger og rapporteringsforpligtelser.
Således estimerer Kommissionen, at udgifter til produktudvikling vil stige
med godt 30,5 procent. Det anslås dog, at ca. 50 procent af producenterne
allerede lever op til minimumskravene og derfor vil opleve mindre eller
ingen merudgifter. Udgifter til dokumentation og rapportering forventes at
 Rådsmøde nr. 3917 (transport, telekommunikation og energi) den 5.-6. december 2022 - Bilag 2: Samlenotat vedr. rådsmøde transport, tele og energi - tele 5-6/12-22
2638316_0082.png
82/24
stige med ca. 9 procent. De overensstemmelsesvurderinger, som producen-
terne selv skal foretage, forventes at koste ca. 137.000 danske kroner for
det gennemsnitlige produkt med et digitalt element, og tredjepartsvurderin-
ger for kritiske produkter ca. 186.000 danske kroner. Sidstnævnte vil ifølge
Kommissionens vurdering alene udgøre ca. 10 procent af alle omfattede
produkter.
Omvendt skønnes det også, at erhvervslivet vil nyde godt af et højere cy-
bersikkerhedsniveau med færre sikkerhedshændelser og dertil hørende tab
af omsætning og omdømme. I Kommissionens konsekvensanalyse anslås
det, at forordningen kan reducere cybersikkerhedshændelser med 20-30
procent, hvilket svarer til ca. 1-2 milliarder danske kroner i årlige tab. Li-
geledes forventes horisontale regler på tværs af EU at lette visse byrder,
som følge af anden lovgivning, herunder fx NIS2. Desuden kan det være
med til at lette adgangen til det indre marked og udjævne konkurrencefor-
dele mellem store og små virksomheder. Det skyldes bl.a., at det på nuvæ-
rende tidspunkt i højere grad er store virksomheder, som har råd og mulig-
hed for at sikre sig mod og modvirke skader fra cybersikkerhedshændelser.
Med afsæt i Kommissionens estimater har Erhvervsstyrelsen udført en ind-
ledende estimering af de forventede administrative omkostninger for dan-
ske producenter af produkter med digitale elementer. Erhvervsstyrelsens
foreløbige skøn er, at forslaget vil medføre administrative omstillingsom-
kostninger på ca. 1 milliarder danske kroner og løbende administrative om-
kostninger på ca. 175 millioner danske kroner om året. Beregningen skal
dog tages med flere betydelige forbehold. For det første er de estimerede
omkostninger baseret på en antagelse om, at danske virksomheder vil af-
holde samme omkostninger til at efterleve reglerne som andre europæiske
virksomheder. Dernæst antages det i Kommissionens beregninger, som Er-
hvervsstyrelsens skøn bygger på, at enhver omfattet producent vil lancere
ét produkt med digitale elementer årligt, hvilket formentlig resulterer i en
underestimering af de forventede administrative omkostninger. Afslut-
ningsvis omfatter beregningerne ikke distributører og importører, som også
kan forventes at opleve øgede administrative omkostninger.
Andre konsekvenser og beskyttelsesniveauet
Det forventes, at forslaget vil øge cybersikkerheden i Danmark, til gavn for
både virksomheder og forbrugere, men også for den nationale sikkerhed De
horisontale cybersikkerhedskrav forventes at mindske antallet af sårbarhe-
der og angrebsflader, og dermed også mindske antallet af hændelser i pro-
dukter med digitale elementer, der placeres på det indre marked, igennem
hele deres livscyklus. Cybersikkerhedslovgivning der sætter krav til alle
produkter med digitale elementer vil derfor bidrage til at myndigheder,
virksomheder og borgere er bedre beskyttet i cyberspace.
 Rådsmøde nr. 3917 (transport, telekommunikation og energi) den 5.-6. december 2022 - Bilag 2: Samlenotat vedr. rådsmøde transport, tele og energi - tele 5-6/12-22
2638316_0083.png
83/24
Forslaget forventes derudover at forbedre beskyttelsen af grundlæggende
rettigheder og friheder såsom privatlivets fred, beskyttelse af personoplys-
ninger eller personlig værdighed og integritet. Således forventes det, at ho-
risontale cybersikkerhedskrav vil bidrage til sikkerheden af personoplys-
ninger ved at beskytte fortroligheden, integriteten og tilgængeligheden af
oplysninger i produkter med digitale elementer.
8.
Høring
Forslaget har været sendt i høring i EU-specialudvalget for konkurrence-
evne, vækst og forbrugerspørgsmål med frist for bemærkninger den 14. ok-
tober 2022. Der er indkommet høringssvar fra Dansk Erhverv, Dansk In-
dustri, Landbrug & Fødevarer, Forsikring & Pension, Finans Danmark og
Forbrugerrådet Tænk.
Generelle bemærkninger
Dansk Erhverv (DE)
støtter som udgangspunkt fælleseuropæiske tiltag,
der sikrer høje standarder for kvalitet i europæiske produkter, hvilket er
med til at øge efterspørgslen på europæiske produkter og skabe en konkur-
rencefordel. Dog ser DE også, at de ekstra omkostninger forbundet med
sikkerhedskravene kan få priserne på europæiske digitale produkter til at
stige i et omfang, der skader mulighederne for at eksportere udenfor EU.
Dansk Industri (DI)
ser behovet for at styrke cybersikkerheden af produk-
ter, og bakker op om horisontal lovgivning baseret på Ny Metode princip-
perne, som er kendt for virksomhederne. DI sætter pris på, at Kommissio-
nen med sit forslag i høj grad har lyttet til industriens ønsker, og er derfor
overordnet positivt stemt overfor forslaget. Samtidig ses behov for at til-
passe forslaget, så det bliver mere klart, hvad, hvilke virksomheder skal,
hvornår og hvordan. DI pointerer, at forslaget vil kræve meget af virksom-
hederne, der f.eks. som noget nyt, skal forholde sig til livcyklusperspekti-
vet, og software som et selvstændigt produkt.
DI sætter endvidere pris på, at forslaget forholder sig til det kludetæppe af
lovforslag, der regulerer produkters cybersikkerhed, og tillægger det stor
betydning, at det samme produkt kun omfattes af et regelsæt ift. cybersik-
kerhed. Samtidig ses det, at den løsning, som forslaget opstiller, er kompli-
ceret og sårbar i forhold til ændringer, der kan ske under forhandling af
denne og anden lovgivning. DI opfordrer derfor regeringen til at have fokus
på, at intentionen om én lovgivning opretholdes under forhandlingerne. DI
er særligt glade for, at forslaget lægger op til, at den delegerede retsakt un-
der radioudstyrsdirektivet kan trækkes tilbage, når forordningen finder an-
vendelse.
 Rådsmøde nr. 3917 (transport, telekommunikation og energi) den 5.-6. december 2022 - Bilag 2: Samlenotat vedr. rådsmøde transport, tele og energi - tele 5-6/12-22
2638316_0084.png
84/24
Landbrug & Fødevarer (L&F)
bemærker, at forslaget har stor opmærk-
somhed i fødevareklyngen og agroindustrien. Man anser det overordnet for
positivt at rydde op i kludetæppet af regler på cyberområdet og forhåbent-
ligt dække nogle lovgivningshuller til anden lovgivning såsom maskindi-
rektivet
23
og radioudstyrsdirektivet
24
. Yderligere fleksibilitet ift. imøde-
kommelse af en mulig implementeringsfrist i 2026 efterlyses for at redu-
cere industriens udgifter ikke mindst i brancher med mindre produktvolu-
men som fx agroindustrien.
Forsikring & Pension (F&P)
glæder sig over ambitionen om at hæve ni-
veauet af cybersikkerhed i EU via nye fælles cybersikkerhedsstandarder,
der ses som et vigtigt skridt i den rigtige retning. F&P påpeger dog, at for-
sikringsbranchens brug af digitale produkter vil blive styret af DORA
25
, og
at sektoren derfor ikke bør være omfattet af forordningens krav. Af hensyn
til de mange EU-lovgivningsinitiativer på området, mener F&P, at det er
vigtigt, at der sikres en ensartethed i retsakterne, særligt ift. begrebsdefini-
tioner og anvendelsen af disse. F&P påpeger, at forsikringsbranchen helt
konkret bidrager til sikkerheden i digitale produkter ved at tilbyde forsik-
ringsdækning. Det er dog en forudsætning, at brugeren/virksomheden kan
påvise, at vedkommende har sikret de digitale produkter. Det er desuden
vigtigt, at brugeren har iværksat en række tiltag, så risiko for cyberangreb
reduceres.
Finans Danmark (FIDA)
ser positivt på ambitionerne i forslaget. FIDA
ser et stigende behov for at udbrede kravene til beskyttelse af stadigt mere
netværksforbundne miljøer mod cybersikkerhedshændelser, og særligt på
de områder, der involverer hele forsyningskæder. Det anses som nødven-
digt, at der etableres konkrete implementeringsforventninger for it-sikker-
heden for de produkter
og indlejrede systemer
der introduceres på mar-
kedet af hardwarefabrikanter, softwareudviklere, distributører og importø-
rer (fra tredjelande). Ambitionen med forordningen, både politisk og øko-
nomisk, bør ifølge FIDA være at realisere et "globalt benchmark" på dette
område.
Forbrugerrådet Tænk (TÆNK)
ser overordnet meget positivt på forsla-
get, der kan være med til at sikre, at produkter med digitale elementer, som
forbrugere køber, har et højt niveau af sikkerhed. Dog ses der også proble-
matiske aspekter af forslaget, herunder produkters levetid og risikoklassi-
ficeringen samt forbrugeres klageadgang. TÆNK mener, at disse aspekter
bør søges ændret, så forbrugernes retsstilling sikres og forbrugertilliden til
produkter med digitale elementer ikke risikerer at blive forringet.
23
24
Forslag til forordning om maskinprodukter, 2021/0105(COD)
Direktiv 2014/53/EU
25
Digital Operational Resilience Act, 2020/0266(COD)
 Rådsmøde nr. 3917 (transport, telekommunikation og energi) den 5.-6. december 2022 - Bilag 2: Samlenotat vedr. rådsmøde transport, tele og energi - tele 5-6/12-22
2638316_0085.png
85/24
Specifikke bemærkninger
Anvendelsesområde
DE
er betænkelige ved at omfatte så mange meget forskellige produkttyper,
bl.a. af hensyn til de begrænsede erfaringer med CE-mærkning af software,
og finder det ikke helt klart, hvad der er inkluderet
særligt ift. Software-
as-a-Service (SaaS). Derfor mener DE, at det bør overvejes at begrænse
forslagets anvendelsesområde til IoT-enheder i første omgang, eller som
minimum gøre lovteksten mere klar ift. de forskellige typer af digitale pro-
dukter, der findes på markedet.
DI
påpeger, at forslaget etablerer en ny kategori af produkter med digitale
elementer, der ikke tidligere har været defineret, hvorfor det er vigtigt at
forholde sig til, hvad definitionerne dækker over, og hvordan de spiller
sammen. DI ser også, at anvendelsesområdet er meget bredt, men anerken-
der vigtigheden af at regulere software og produkter gennem hele deres
livscyklus. Dette skal dog ifølge DI tilpasses Ny Metode bedst muligt. DI
sætter pris på, at forslaget undtager software som tjenesteydelse, hvilket
man mener ville have gjort det umuligt at udvikle de nødvendige underlæg-
gende harmoniserede standarder, indenfor rimelig tid. Samtidig er DI enige
i Kommissionen vurdering af, at kravene i NIS2 tager højde for de største
udfordringer, når det gælder tjenesteydelser.
Definitioner
F&P
finder det væsentligt, at definitionerne af nøglebegreber er de samme
på tværs af den europæiske lovgivning. F.eks. introduceres med AI forord-
ningen begreber såsom “developer”, “deployer”, “user”, “operator” og
“provider”, som også har betydning i relation til forslaget, hvorfor brugen
af begreberne må strømlines på tværs af retsakterne for at undgå unødig
kompleksitet og modsætninger i den samlede lovgivning.
DE
mener, at det skal sikres, at der ikke er forskelle i definitionerne mellem
de forskellige reguleringer, herunder de definitioner af “produkter”, “soft-
ware”, “IoT” mv., der blandt andet findes i produktsikkerhedslovgivningen
(NLF samt GPSR), produktansvarslovgivningen (den kommende revision
af produktansvarsdirektivet) samt IPR-lovgivningen.
Økonomiske aktørers forpligtelser
TÆNK
henviser til, at forslaget tidsbegrænser en fabrikants forpligtelserne
til et produkts levetid eller i op til 5 år, afhængigt af hvad der er kortest.
Det påpeges, at en lang række produkter med digitale elementer, som fx
nyere vaskemaskiner, har en levetid på mere end 5 år. Man ser det som
uhensigtsmæssigt og ude af trit med den grønne omstilling, at brugere risi-
kere efter 5 år ikke længere at have et sikkert produkt. TÆNK foreslår, at
 Rådsmøde nr. 3917 (transport, telekommunikation og energi) den 5.-6. december 2022 - Bilag 2: Samlenotat vedr. rådsmøde transport, tele og energi - tele 5-6/12-22
2638316_0086.png
86/24
ordlyden ændres, så fabrikanter forpligtes til at sikre produkter (inkl. sik-
kerhedsopdateringer) i hele deres levetid og mindst 5 år
afhængigt af,
hvad det længst. Endvidere mener man, at det skal sikres, at sikkerhedsop-
dateringerne er forståelige og brugervenlige, da målet med forslaget ellers
ikke vil blive opnået i praksis.
Produktkrav
DE
mener, at listen med krav til digitale produkter er for generisk formu-
leret (fx ”secure
by default configuration”)
og i høj grad åben for fortolk-
ning. Man ser det for mere hensigtsmæssigt at formulere mere konkrete
krav til forskellige produkttyper. Ligeledes bør kravet om sikringen i hele
produktets
livscyklus
konkretiseres, da forskellige typer af digitale produk-
ter har forskellig levetid, og krav til fx tilgængelighed af sikkerhedsopda-
teringer og support således afhænger af produkttypen. DE er også bekym-
rede for konsekvenserne af forslagets krav, særligt for SMV’er og startups,
hvor det er vigtigt, at kunne udvikle og afprøve et produkt i tidligt stadie
for se, om det er kommercielt bæredygtigt. Ekstra omkostninger i den ind-
ledende udvikling og eventuelle ventetider for at få produkter godkendt kan
være en barriere for innovation og iværksætteri, og bør derfor adresseres i
lovbehandlingen.
DI
finder det positivt, at forslaget definerer et fælles minimumsniveau for
produkters cybersikkerhed, der kan bygges oven på med speciallovgivning.
Desuden er det positivt, at kravene bygger på og supplerer krav, der bliver
gældende under den delegerede retsakt under radioudstyrsdirektivet, som
vil gøre det lettere at implementere reglerne i virksomhederne. Ligeledes
ses produktkravene som udgangspunkt relevante, dog med behov for præ-
ciseringer. Størst udfordringer ser DI’s medlemmer
umiddelbart ift. kra-
vene i bilag I, del 1, pkt. 2 og 3e. De er positive over for ”dataminimering”
(pkt. 3e), men i tvivl om, hvad kravet betyder i praksis i forhold til, hvem
der skal gøre hvad. Samtidig bør kravet sammentænkes med kravene til
datadeling i dataforordningen. Når det gælder kravet om kun at levere pro-
dukter uden ”udnyttelige
sårbarheder”
(pkt. 2) hæfter de sig ved, at det
ikke er muligt i praksis, hvis man løbende skal beholde sine produkter på
markedet. Det tager tid at udvikle de opdateringer, der skal til, når der f.eks.
identificeres sårbarheder i software. For at vide om kravene fungerer i prak-
sis er der behov for udvikling af ”use cases” både generelt, og for software
i særdeleshed.
DI bakker op om proceskrav ved håndtering af sårbarheder (bilag I, del 2),
hvor der dog bør tages højde for de risici, der er forbundet med at informere
om sårbarheder (hackerangreb), så f.eks. bør krav om information ”uden
ophold”
modificeres. Offentliggørelse af hvordan sårbarheder er blevet
håndteret anses desuden som en konkurrenceparameter, der kan blive kom-
promitteret. I relation til Ny Metode ser DI også behov for præcisering af,
 Rådsmøde nr. 3917 (transport, telekommunikation og energi) den 5.-6. december 2022 - Bilag 2: Samlenotat vedr. rådsmøde transport, tele og energi - tele 5-6/12-22
87/24
hvordan livscykluskravene håndhæves, da det er nyt i en produktsammen-
hæng. Desuden kræver efterlevelse af kravene, at man holder sig orienteret
om sårbarheder, hvorfor DI mener, at dette måske også burde være et krav.
Også når det gælder krav om information og brugsvejledning (bilag II) er
der brug for præciseringer og ”use cases”, ligesom der er behov for et ef-
tersyn i forhold til Ny Metode-principperne. Samtidig bør det sikres, at
”software bill of materials” beskyttes mod misbrug, og den bør som ud-
gangspunkt sidestilles med teknisk dokumentation i anden produktlovgiv-
ning, og kun udleveres på foranledning af markedsovervågningsmyndighe-
den.
Endelig er DI enig i, at notifikationer kan være relevante, men er samtidig
optaget af, at de bliver rimelige og udviklet på en sådan måde, at de også
tager højde for de notifikationer, der skal foretages i henhold til NIS2. Det
hænger sammen med, at mange af de samme produkter også reguleres på
”enheds” niveau under NIS2. Som det ser ud i forslaget skal notifikatio-
nerne foretages til forskellige aktører med forskellige tidsfrister. DI stiller
desuden spørgsmålstegn ved, om ENISA vil være den rette til at varetage
opgaven vedrørende produkterne, når det ikke er tilfældet for ”enhederne”
under NIS2.
FIDA
anfører, at der skal skabes gennemsigtighed for, at et digitalt produkt
overholder et fastlagt cybersikkerhedsniveau. Dette vil stille krav til ud-
formning af formelle/standardiserede produktblade for hvert digitalt pro-
dukt eller tjeneste. FIDA mener, at det som minimum bør beskrive de for-
anstaltninger, der skal være implementeret for at bidrage til et tilfredsstil-
lende og sammenligneligt niveau af cyberrobusthed.
Standarder, certificering og produktkategorisering
DE
mener, at Kommissionens mulighed for at anvende delegerede retsak-
ter til at udvide listen i bilag III, skaber unødvendig usikkerhed for fabri-
kanter af digitale produkter, og at de omfattede produktkategorier derfor
bør bestemmes endeligt i selve lovbehandlingen.
DI
finder det positivt, at Kommissionen bakker op om brug af modul A
(selvevaluering) ved overensstemmelsesvurdering, der vil sikre mere kapa-
citet hos 3. partscertificeringsudbydere til de virksomheder, der ikke har
den fornødne modenhed til at foretage vurderingerne selv. Man har dog
svært ved at gennemskue, hvorfor specifikke produkter er kategoriseret
som kritiske, og de kriterier, der ligger bag. DI bemærker, at betingelserne
i artikel 6 er meget forskelligartede og giver anledning til et stort manøvre-
rum for Kommissionen. DI så gerne, at betingelserne blev skærpet, og det
blev tydeligere hvordan den risikobaserede tilgang er tænkt.
 Rådsmøde nr. 3917 (transport, telekommunikation og energi) den 5.-6. december 2022 - Bilag 2: Samlenotat vedr. rådsmøde transport, tele og energi - tele 5-6/12-22
88/24
DI ser med bekymring på, at produktkategorierne først skal defineres et år
efter, forordningen træder i kraft, og et år før den finder anvendelse. DI
opfordrer til en proces, der minder om den, man har haft ved forhandling
af maskinforordningen, hvor listerne med kritiske produkter som udgangs-
punkt er så korte som muligt, og løbende kan udvikles hvis det er nødven-
digt ud fra mere restriktive krav. DI er fx uforstående overfor, hvorfor IoT-
industriapplikationer altid er kritiske. Ofte har fabrikanten ikke et overblik
over, hvor deres produkter ender, og det samme produkt kan have både
privat og industriel anvendelse. DI stiller også spørgsmålstegn ved, at ro-
botter betegnes som kritiske i kategori II. Endelig ses der behov for præci-
seringer, fx af at kategoriseringen kun relaterer sig til cybersikkerhedsrisici
i forbindelse med overvågningsudstyr. Det samme gør sig gældende for
produkter, der består af komponenter, der tilhører en højere kategori end
slutproduktet.
DI er tillige bekymrede over de mulige konsekvenser af, at hhv. harmoni-
serede standarder, tekniske specifikationer og certificeringsordninger un-
der ENISA, sidestilles. Dette kan underminere tilliden til det etablerede
standardiseringssystem og medføre udvikling af tekniske specifikationer i
ikke transparente, ikke inklusive, og ikke demokratiske processer, og risi-
kerer at resultere i standarder, der ikke tager højde for international state-
of-the art. DI finder derfor, at Kommissionens mulighed fro at udvikle tek-
niske specifikationer bør begrænses mest muligt, og der bør stilles proces-
krav hertil, ligesom der bør tages stilling til, hvilke typer af forsinkelser i
standardiseringssystemet, der kan begrunde udvikling af tekniske specifi-
kationer. DI opfordrer regeringen til at lægge pres på Kommissionen i for-
hold til at udvikle principper for tekniske specifikationer, der ensrettes på
tværs af lovområder, der tager ovenstående i betragtning. Parallelt hermed
ser DI, at der bør arbejdes på at forbedre transparens og inklusion ved ud-
vikling af certificeringsordninger under ENISA.
DI har også bekymringer i forhold til, om det er muligt, at nå at udvikle de
nødvendige standarder i forhold til, hvornår loven finder anvendelse, og
opfordrer til, at man allerede nu igangsætter arbejde, der forholder sig til
hvordan et mandat, der sikrer hurtigst mulig udvikling af standarder, kunne
skrues sammen.
FIDA
fremfører, at der skal skabes de nødvendige standardiserede vurde-
ringskriterier og effektiviteten af de implementerede sikkerhedsforanstalt-
ninger. FIDA ser, at sådanne vurderinger skal fastlægges i forhold til den
enkelte produktkategori.
TÆNK
finder det uhensigtsmæssigt, at nogle af de produkter, der fremgår
af bilag III, klasse II, som særligt kritiske, er gjort industrispecifikke
fx
firewalls, routers, modems m.fl. Man henviser til, at mange cybersikker-
hedsproblemer ved sådanne produkter også gør sig gældende ved privat
 Rådsmøde nr. 3917 (transport, telekommunikation og energi) den 5.-6. december 2022 - Bilag 2: Samlenotat vedr. rådsmøde transport, tele og energi - tele 5-6/12-22
2638316_0089.png
89/24
brug, hvorfor de også bør underkastes 3. partsevaluering af cybersikker-
hedselementerne, når det bruges privat. Specifikt foreslår TÆNK, at ordet
”industrial” slettes fra klasse I og II, og der i klasse II (15) tilføjes ”and
smart home devices”.
FIDA
påpeger, at en overvejende del af digitale forbrugerprodukter i dag
fremstilles uden for EU. Således ser FIDA mulighed for at øge ambitions-
niveauet og gøre forordningen mere virkningsfuld, ved at stille krav om, at
alle leverandører, også leverandører fra tredjelande, som ikke kan doku-
mentere, at de opfylder EU’s minimumskrav for den pågældende produkt-
kategori, ikke kan få tilladelse til at sælge deres produkter i denne kategori
i EU.
Tilsyn, håndhævelse, og sanktioner
DI
finder det positivt, at forslaget lægger op til, at cybersikkerhed skal falde
ind under markedsovervågningsforordningen. Samtidig hæfter DI sig ved
de potentielt væsentligt højere bødestørrelser, og sætter spørgsmålstegn
ved rimeligheden, særligt når det gælder krav, der ikke direkte relaterer sig
til cybersikkerhed. Ydermere påpeger DI, at mange af produkterne er inte-
greret i vigtige og væsentlige enheder under NIS2, så de også kan sanktio-
neres i den sammenhæng. Det bør sikres, at man ikke kan pålægges flere
sanktioner for samme forseelse.
DI ser, at der, hvis intentionerne i forslaget skal kunne gennemføres i prak-
sis, er behov for kapacitets-opbygning hos markedsovervågningsmyndig-
hederne og de bemyndigede organer. DI opfordrer derfor de relevante myn-
digheder til at bidrage til arbejdet med udvikling af standarder under radio-
udstyrsdirektivet og stillingtagen til kommende mandat for standarder un-
der dette lovforslag. Samtidig er det vigtigt at udvikle en model, hvor hånd-
hævelse af NIS2 og produktlovgivningen spiller sammen, så de eksiste-
rende ressourcer udnyttes bedst muligt, og der sikres størst mulig kvalitet i
arbejdet.
TÆNK
savner et krav om, at virksomheder, der bringer produkter med
digitale elementer på markedet, skal forpligtes til at have effektive og fyl-
destgørende interne klagehåndteringsmekanismer. Forbrugere skal således
sikres mulighed for at klage over et produkt, sideløbende med at markeds-
overvågningsmyndigheden fører tilsyn med produkterne, ligesom forbru-
gerne skal have adgang til at klage over den beslutning, som myndigheden
har truffet. Sådanne klagesager skal tillige kunne efterprøves ved admini-
strative organer og domstole.
9.
Generelle forventninger til andre landes holdninger
Forslaget har alene været igennem første artikelgennemlæsning i Rådets
horisontale arbejdsgruppe for cyber. Således er der indtil nu fortrinsvist
 Rådsmøde nr. 3917 (transport, telekommunikation og energi) den 5.-6. december 2022 - Bilag 2: Samlenotat vedr. rådsmøde transport, tele og energi - tele 5-6/12-22
2638316_0090.png
90/24
stillet tekniske spørgsmål til teksten. Samtlige lande har fortsat undersøgel-
sesforbehold og ikke givet officielle holdninger tilkende.
Forslaget er dog generelt blevet velmodtaget i Rådet, men der er også en
række spørgsmål til bl.a. anvendelsesområdet, samspillet med anden lov-
givning samt det mandat EU’s cybersikkerhedsagentur ENISA tildeles med
reguleringen.
Danmark har sammen med Nederlandene og Tyskland fremsendt et non-
papir den 12. september (inden forslagets fremsættelse), med fokus på at
sikre et bredt anvendelsesområde, og sammenhæng til anden lovgivning,
herunder ved at bruge Ny Metode og sammenhængende standardisering på
tværs af produktgrupper.
10.
Regeringens generelle holdning
Regeringen ser overordnet positivt på forslaget om at skabe et minimums-
niveau for cybersikkerhed i produkter med digitale elementer og software
via horisontal EU-lovgivning. Regeringen er enig med Kommissionen i, at
der i høj grad er brug for sådanne regler for at imødegå cybertruslen.
Regeringen hilser ligeledes det høje ambitionsniveau velkommen, om end
man dog gerne så, at anvendelsesområdet blev klarere og endnu bredere.
Således så regeringen gerne, at digitale processer og kommercielle tjenester
var omfattet i forslaget, da sårbarheder i forhold til cybersikkerhed i højere
og højere grad udnyttes gennem disse, men også for at forslaget kan om-
favne udviklingen på området, og dermed bliver fremstidssikkert.
Regeringen synes, at reglerne bør finde en passende balance mellem et højt
beskyttelsesniveau, den digitale udvikling samt omkostninger for erhvervsli-
vet.
Regeringen vil arbejde for, at der stilles balancerede krav ud fra en risiko-
baseret tilgang, så kravene står mål med de ønskede effekter.
Regeringen finder det vigtigt, at centrale begreber i forslaget afklares. Der
er behov for yderligere at præcisere afgrænsningen af produkter, der und-
tages for forordningens anvendelsesområde, herunder for så vidt angår mo-
torkøretøjer samt offentlige produkter/tjenester, som indgår i, anvendes af
eller eksisterer i konkurrence med produkter fra kommercielle aktører. Ge-
nerelt skal afklaring også bidrage til at konkretisere de økonomiske konse-
kvenser. Ligeledes mener regeringen, at Kommissionens beføjelser til at
udstede delegerede retsakter skal afgrænses.
 Rådsmøde nr. 3917 (transport, telekommunikation og energi) den 5.-6. december 2022 - Bilag 2: Samlenotat vedr. rådsmøde transport, tele og energi - tele 5-6/12-22
2638316_0091.png
91/24
Regeringen er tilfreds med, at forordningen er bygget op efter Ny Metode,
idet der fastsættes væsentlige krav i forordningen, som skal udmøntes tek-
nisk via harmoniserede standarder i samarbejde med industrien. Det er vig-
tigt, at Kommissionens bemyndigelse til at udstede tekniske specifikationer
afgrænses til tilfælde, hvor der ikke er en standard. Det skal samtidigt være
tydeligt, at det er en sidste udvej.
Generelt er det vigtigt for regeringen, at lovgivningen fastholder sin hori-
sontale karakter, og at standarderne holdes generelle. De detaljerede sik-
kerhedskrav bør integreres i et mindre antal standarder på tværs af produk-
ter, eller de samme krav bør som minimum gå igen på tværs af de produkt-
specifikke standarder. Desuden er det vigtigt, at evt. nye tekniske standar-
der udvikles i god tid, inden forordningen finder anvendelse.
Regeringen ønsker, at det gøres tydeligere i forordningen, hvad der ligger
til grund for udvælgelsen af kritiske produkter. Regeringen ønsker samti-
digt at få klargjort omfanget af Kommissionens bemyndigelser til at udar-
bejde, udbygge og opdatere denne liste og kriterierne herfor. Regeringen er
skeptisk over for at den nærmere specificering af listen skal ske igennem
fremtidige delegerede retsakter.
Regeringen mener, at der bør sikres sammenhæng og undgås unødvendige
overlap mellem gældende og fremtidig regulering, herunder NIS2-direkti-
vet, eIDAS-forordningen, forordningen om kunstig intelligens, maskinfor-
ordningen og forordning for det europæiske sundhedsdataområde (EHDS).
Det skal samtidig være så klart som muligt, hvilken lovgivning sikkerheden
i et givent produkt eller tjeneste er reguleret under. Der skal samtidig ikke
opstå huller eller overlap i beskyttelsen.
Regeringen finder det vigtigt, at forslaget ikke bliver en hindring for en
sikker udbredelse af etisk og ansvarlig anvendelse af kunstig intelligens.
Det er også helt centralt for regeringen at bevare forslagets fleksibilitet i
forhold til valg af sanktioner, således at medlemsstaterne ikke forpligtes til
at indføre administrative bøder.
Endelig er regeringen forbeholden overfor at udvide ENISAs beføjelser,
herunder særligt ENISA’s kompetencer til tilstrækkeligt at håndtere og vi-
dereformidler indrapporteringer fra producenter sikkerhedsmæssigt for-
svarligt og effektivt. Regeringen tager derudover også forbehold for Kom-
missionens kommende forslag til en cyberforsvarsmeddelelse for EU og
dennes eventuelle sammenspil med nærværende forslag.
11.
Tidligere forelæggelse for Folketingets Europaudvalg
 Rådsmøde nr. 3917 (transport, telekommunikation og energi) den 5.-6. december 2022 - Bilag 2: Samlenotat vedr. rådsmøde transport, tele og energi - tele 5-6/12-22
92/24
Sagen har ikke tidligere været forelagt for Folketingets Europaudvalg.
 Rådsmøde nr. 3917 (transport, telekommunikation og energi) den 5.-6. december 2022 - Bilag 2: Samlenotat vedr. rådsmøde transport, tele og energi - tele 5-6/12-22
2638316_0093.png
93/24
Rådskonklusioner vedr. fremtidssikring af europæisk transport på in-
dre vandveje (NAIADES III)
Nyt notat
KOM-dokument foreligger ikke.
1. Resumé
På rådsmødet (Transport, Telekommunikation og Energi) 5. og 6. decem-
ber 2022 vil rådskonklusionerne vedr. transport ad indre vandveje være på
dagsordenen til godkendelse. Rådskonklusionerne tager afsæt i Kommissi-
onens handlingsplan for at flytte mere godstransport til indre vandveje og
at føre sektoren i retning af klimaneutralitet i 2050 ved hjælp af klimafore-
byggelse og -tilpasning samt sikring af rammevilkårene for sektoren. Fra
dansk side støtter man formålet om grøn omstilling af transportsektoren,
herunder transport ad indre vandveje, så længe der ikke foretages til-
tag/ændringer, der giver lande som Danmark en ny pligt til at implemen-
tere reglerne om indre vandveje.
2. Baggrund
Kommissionen har den 24. juni 2021 med meddelelsen
”NAIADES III:
fremtidssikring af transport
ad indre vandveje”
fremsat en handlingsplan
for transport ad indre vandveje for 2021-2027 (KOM(2021) 324). Med ud-
gangspunkt i handlingsplanen har det tjekkiske EU-formandskab udarbej-
det forslag til rådskonklusioner.
Formålet med Kommissionens handlingsplan er at flytte mere godstrans-
port til indre vandveje og at føre sektoren i retning af nul drivhusgasemis-
sioner senest i 2050. Kommissionen lægger i handlingsplanen op til, at man
vil støtte projekter til udvikling af infrastrukturen i indlandshavne og sejl-
løb samt justere kravene til fartøjer, der sejler på indre vandveje.
Konteksten for handlingsplanen er den europæiske grønne pagt, som fast-
sætter et ambitiøst mål om at flytte en betydelig del af de 75 pct. af den
indenlandske fragt, der i øjeblikket transporteres ad vej, over til indre vand-
veje og jernbaner.
3. Formål og indhold
Med rådskonklusionerne skitseres der en række områder, hvor transport ad
indre vandveje skal forbedres og effektiviseres. Konkret opfordres der i
rådskonklusionerne til, at der i sektoren for indre vandveje fokuseres på
klimaforebyggelse og -tilpasning, herunder flådefornyelse og infrastruktur.
Der lægges endvidere op til at efterse rammevilkårene for sektoren herun-
der ift. digitalisering, arbejdstageres forhold og kvalifikationer.
 Rådsmøde nr. 3917 (transport, telekommunikation og energi) den 5.-6. december 2022 - Bilag 2: Samlenotat vedr. rådsmøde transport, tele og energi - tele 5-6/12-22
94/24
Der lægges i konklusionerne op til, at der tages hensyn til de forskellige
medlemsstaters interne forhold samt at der tilvejebringes finansieringen til
initiativerne både i eksisterende EU-programmer samt i medlemslandene.
4. Europa-Parlamentets holdning
Europa-Parlamentets holdning til konklusionerne foreligger ikke.
5. Nærhedsprincippet
Ikke relevant.
6. Gældende dansk ret og forslagets konsekvenser
Rådskonklusionerne har ikke i sig selv lovgivningsmæssige konsekvenser.
7. Konsekvenser
Rådskonklusionerne har ikke i sig selv økonomiske konsekvenser.
8. Høring
Forslaget til rådskonklusioner om NAIADES III - Fremme af en fremtids-
sikret transport ad indre vandveje i Europa blev sendt i specialudvalgshø-
ring i Skibsfartspolitisk specialudvalg med frist den 8. september 2022.
Der er modtaget høringssvar fra Danske Havne. Danske Havne stiller sig
positiv over for tiltag, der vil øge nærskibsfarten og mængden af gods på
sø. Danske Havne efterspørger mere fokus på klimatilpasning.
9. Generelle forventninger til andre landes holdninger
Der forventes opbakning til rådskonklusionerne fra medlemslandene
navnlig fra lande med en betydelig transport ad indre vandveje.
De medlemslande, der ikke har indre vandveje, forventes at lægge vægt på,
at rådskonklusionerne ikke indeholder tiltag, der forpligter disse lande til
at implementere reglerne om indre vandveje.
10. Regeringens generelle holdning
Danmark har ikke indre vandveje i EU-retlig forstand, og man har i Dan-
mark valgt at regulere skibsfarten efter den internationale regulering fastsat
af IMO (FN’s søfartsorganisation) samt EU’s søsikkerhedsregler
som
f.eks. reglerne for passagerskibe.
Fra dansk side støtter man formålet om grøn omstilling af transportsekto-
ren, herunder transport ad indre vandveje, så længe der ikke foretages til-
tag/ændringer, der giver lande - som Danmark - en ny pligt til at implemen-
tere reglerne om indre vandveje.