Overføring til tredjeland

Sist oppdatert 6. juni 2026

Kort fortalt

  • Overføring til tredjeland skjer hver gang personopplysninger gjøres tilgjengelig for en virksomhet utenfor EØS – også ved ren fjerntilgang, for eksempel når en support- eller driftsleverandør i India logger seg på systemene dine.
  • Hovedregelen i GDPR kapittel V er at beskyttelsesnivået skal følge med opplysningene. Overføring krever derfor et gyldig overføringsgrunnlag.
  • Det enkleste grunnlaget er en adekvansbeslutning. Per 2026 omfatter listen blant annet Storbritannia, Sveits, Japan, Sør-Korea og – nytt fra januar 2026 – Brasil. USA dekkes bare gjennom Data Privacy Framework, og bare for sertifiserte mottakere.
  • Finnes ingen adekvansbeslutning, er standard personvernbestemmelser (SCC) det vanligste verktøyet. SCC krever en konkret overføringsvurdering etter Schrems II. Sertifisering ble et reelt alternativ i 2026, men er ennå ikke ferdig operasjonalisert.

Hva er overføring til tredjeland – og når skjer det?

Et tredjeland er ethvert land utenfor EØS. EØS består av de 27 EU-statene pluss Norge, Island og Liechtenstein. En overføring til tredjeland skjer når personopplysninger flyttes ut av – eller gjøres tilgjengelig for en aktør utenfor – dette området.

Hovedprinsippet følger av GDPR artikkel 44: vernet etter forordningen skal ikke undergraves når opplysninger behandles utenfor EØS. Beskyttelsesnivået skal med andre ord følge med dataene. Derfor kan overføring bare skje når virksomheten har et gyldig overføringsgrunnlag etter kapittel V.

I praksis skjer overføring oftere enn mange virksomheter er klar over. Typiske situasjoner er:

  • Bruk av sky- og programvaretjenester (SaaS) der leverandøren, eller leverandørens underleverandører, driftes utenfor EØS.
  • Konserninterne overføringer til mor-, datter- eller søsterselskap i et tredjeland.
  • Bruk av databehandlere og deres underdatabehandlere utenfor EØS – for eksempel for lagring, analyse eller kundeservice.
  • Kundestøtte, drift, vedlikehold og utvikling som er satt ut til leverandører i for eksempel USA, India eller Filippinene.

Det avgjørende er ikke at dataene «sendes» til et bestemt sted. Det er nok at de gjøres tilgjengelig for noen utenfor EØS. Det er nettopp dette som gjør fjerntilgang til et praktisk viktig spørsmål.

Er fjerntilgang fra utlandet (for eksempel India) en overføring?

Ja. Fjerntilgang fra et tredjeland regnes som en overføring, selv om dataene fysisk blir liggende på servere i EØS. Dette overser mange virksomheter, fordi det ikke føles som at noe «forlater» landet.

Det europeiske personvernrådet (EDPB) har avklart spørsmålet i Guidelines 05/2021 (versjon 2, vedtatt 14. februar 2023). Tre kumulative vilkår må være oppfylt for at en behandling skal regnes som en overføring til tredjeland:

  1. En behandlingsansvarlig eller databehandler («eksportøren») er omfattet av GDPR for den aktuelle behandlingen.
  2. Eksportøren utleverer ved overføring, eller gjør på annen måte opplysningene tilgjengelig, til en annen behandlingsansvarlig, felles behandlingsansvarlig eller databehandler («importøren»).
  3. Importøren befinner seg i et tredjeland – uavhengig av om importøren selv er omfattet av GDPR.

EDPB sier uttrykkelig at det er nok å oppfylle vilkår to at opplysningene gjøres tilgjengelig gjennom fjerntilgang fra et tredjeland, eller lagres i en sky utenfor EØS. Konsekvensen for outsourcing er konkret: en helpdesk, et driftsteam eller utviklere i India som logger seg på de norske systemene dine, utgjør en overføring til tredjeland og krever et overføringsgrunnlag – selv om dataene aldri kopieres ut av Norge.

Grensen går ved utlevering til en annen aktør. Er behandlingen rent intern hos den samme behandlingsansvarlige, slik at opplysningene ikke gjøres tilgjengelig for en annen behandlingsansvarlig eller databehandler, foreligger det ingen overføring i kapittel V-forstand. Det praktiske skjæringspunktet er derfor om en ekstern part – typisk en leverandør – får tilgang fra utlandet.

Hvilke overføringsmekanismer finnes?

GDPR kapittel V gir en verktøykasse av alternative grunnlag, med en innebygd rangering: adekvansbeslutning er det enkleste, deretter kommer de nødvendige garantiene i artikkel 46, og unntakene i artikkel 49 er ment som siste utvei. Oversikten under viser hovedalternativene:

Mekanisme Hjemmel Overføringsvurdering? Kort om
Adekvansbeslutning Art. 45 Nei Kommisjonen har fastslått at tredjelandet gir tilstrekkelig beskyttelse – fri flyt, som innad i EØS
Standard personvernbestemmelser (SCC) Art. 46(2)(c) Ja Det vanligste verktøyet; krever konkret vurdering og eventuelle tilleggstiltak
Bindende virksomhetsregler (BCR) Art. 46(2)(b) Ja Konserninterne overføringer; krever forhåndsgodkjenning fra tilsynsmyndighet
Sertifisering Art. 46(2)(f) Ja Nytt: Europrivacy godkjent av EDPB i 2026, men ennå ikke ferdig operasjonalisert
Unntak Art. 49 Snevre, situasjonsbestemte grunnlag (f.eks. uttrykkelig samtykke eller nødvendig for kontrakt)

Adekvansbeslutning – hvilke land gjelder per 2026?

En adekvansbeslutning er det enkleste overføringsgrunnlaget. Når Europakommisjonen har fastslått at et tredjeland gir et beskyttelsesnivå som er «i hovedsak likeverdig» med EØS, kan personopplysninger overføres dit uten ytterligere tiltak – på samme måte som innad i EØS.

Per 2026 omfatter listen i hovedsak disse landene, områdene og organisasjonene:

Land / område Vedtatt / sist oppdatert Merknad
Andorra, Argentina, Færøyene, Guernsey, Isle of Man, Israel, Jersey, New Zealand, Sveits, Uruguay Før GDPR (bekreftet 2024) Bekreftet i Kommisjonens gjennomgang av de eldre beslutningene
Canada Før GDPR (bekreftet 2024) Bare kommersiell sektor (PIPEDA)
Japan 2019
Sør-Korea 2021
Storbritannia 2021, fornyet des. 2025 Tidsbegrenset; jevnlig revisjon
USA (Data Privacy Framework) 2023 Bare sertifiserte virksomheter
Den europeiske patentorganisasjon 2025 Første internasjonale organisasjon
Brasil 2026 Nyeste; dekker både offentlig og privat sektor

Listen endres over tid. Den til enhver tid gjeldende oversikten finnes på Europakommisjonens side om adekvansbeslutninger. To forhold er verdt å merke seg: Storbritannia-beslutningen er tidsbegrenset og må fornyes jevnlig, og Canada-beslutningen dekker bare kommersiell sektor. Som behandlingsansvarlig bør du derfor kontrollere at den konkrete overføringen faktisk omfattes av beslutningen.

EU–US Data Privacy Framework (DPF)

USA har ingen generell adekvansbeslutning. Overføring til USA er bare «fri» når mottakeren er sertifisert under EU–US Data Privacy Framework. Er mottakeren ikke sertifisert, må overføringen bygge på et annet grunnlag, typisk SCC.

Rundt 5 300 amerikanske virksomheter er sertifisert under ordningen. Før du legger DPF til grunn, må du verifisere at den konkrete mottakeren faktisk står på DPF-listen, og at sertifiseringen dekker den aktuelle datatypen – HR-opplysninger krever for eksempel egen dekning.

Det er knyttet en reell restrisiko til DPF. EU-domstolens underrett opprettholdt rammeverket 3. september 2025 (sak T-553/23, Latombe), men dommen ble anket til EU-domstolen 31. oktober 2025, og anken er ennå ikke avgjort. DPF gjelder inntil videre. Men gitt at både Safe Harbor (Schrems I) og Privacy Shield (Schrems II) tidligere ble kjent ugyldige, bør virksomheter som er tungt avhengig av overføringer til USA ha en reserveløsning – SCC med overføringsvurdering – klar.

Standard personvernbestemmelser (SCC) – det vanligste verktøyet

Når det ikke finnes en adekvansbeslutning, er standard personvernbestemmelser (SCC) det vanligste overføringsgrunnlaget. Dette er ferdige kontraktsklausuler vedtatt av Kommisjonen, som partene inntar i avtalen seg imellom.

Gjeldende SCC er fastsatt i Kommisjonens gjennomføringsbeslutning (EU) 2021/914 av 4. juni 2021, med fire moduler som dekker ulike partskonstellasjoner (ansvarlig-til-ansvarlig, ansvarlig-til-databehandler, databehandler-til-databehandler og databehandler-til-ansvarlig). De gamle klausulene er opphevet, og overgangsperioden utløp 27. desember 2022.

SCC alene er ikke nok. Etter Schrems II-dommen (sak C-311/18, 16. juli 2020) må eksportøren gjøre en konkret overføringsvurdering: en vurdering av om retten i mottakerlandet – særlig myndighetenes tilgang til data – undergraver vernet klausulene skal gi. Avdekker vurderingen et gap, må eksportøren iverksette tilleggstiltak, for eksempel sterk kryptering der eksportøren beholder nøklene. EDPB Recommendations 01/2020 gir en seks-trinns metodikk for dette. Vurderingen er eksportørens eget ansvar og må kunne dokumenteres.

Sertifisering som overføringsgrunnlag

Sertifisering etter artikkel 46(2)(f) ble et reelt alternativ i 2026. Muligheten har stått i GDPR-teksten siden 2018, men forble teoretisk inntil EDPB for første gang godkjente en konkret ordning.

I Opinion 15/2026 (vedtatt 15. april 2026) godkjente EDPB sertifiseringsordningen Europrivacy som grunnlag en dataimportør utenfor EØS kan bruke etter artikkel 46(2)(f). Overføring kan først skje når importøren er sertifisert og har avgitt bindende og håndhevbare forpliktelser overfor eksportøren.

To forbehold er viktige. Sertifisering fjerner ikke Schrems II-vurderingen: eksportøren må fortsatt vurdere tredjelandets rett og kontrollere at sertifikatet dekker den konkrete overføringen. Og ordningen er ennå ikke ferdig operasjonalisert – akkreditering av sertifiseringsorganer gjenstår – slik at sertifikater i praksis ikke er umiddelbart tilgjengelige. Vi går grundigere inn på dette i artikkelen «Sertifisering som overføringsgrunnlag».

Bindende virksomhetsregler og unntakene i artikkel 49

For konsern kan bindende virksomhetsregler (BCR) etter artikkel 46(2)(b) være et alternativ. BCR er interne, bindende regler for hele konsernet og krever forhåndsgodkjenning fra ledende tilsynsmyndighet. Prosessen er ressurskrevende, men gir et varig grunnlag for konserninterne overføringer.

Unntakene i artikkel 49 – blant annet uttrykkelig samtykke, nødvendighet for å oppfylle en kontrakt og fastsettelse eller forsvar av rettskrav – skal tolkes restriktivt. De er ment for enkeltstående situasjoner og egner seg ikke som grunnlag for systematiske eller gjentatte overføringer.

Hva bør virksomheten gjøre?

  1. Kartlegg overføringene: hvilke personopplysninger forlater EØS, eller gjøres tilgjengelig for aktører utenfor EØS – inkludert fjerntilgang og underdatabehandlere lenger ned i kjeden.
  2. Identifiser overføringsgrunnlaget for hver overføring: adekvansbeslutning, SCC, BCR eller sertifisering – og bruk unntakene i artikkel 49 bare unntaksvis.
  3. Gjennomfør en overføringsvurdering der grunnlaget krever det (SCC, BCR og sertifisering), og dokumenter både vurderingen og eventuelle tilleggstiltak.
  4. Sikre at kravene følger med nedover i leverandørkjeden: databehandleravtaler må forplikte underleverandører til samme beskyttelsesnivå.
  5. Etabler overvåking: adekvansbeslutninger kan endres, DPF er anket, og Storbritannia-beslutningen er tidsbegrenset – ha en reserveløsning klar for de kritiske overføringene.

Slik kan Nordia bistå

Nordia bistår virksomheter i hele Norden med tredjelandsoverføringer – fra kartlegging og valg av overføringsgrunnlag til overføringsvurderinger etter Schrems II, utforming og gjennomgang av standardkontrakter (SCC) og databehandleravtaler, verifisering av DPF-sertifisering og personvernkonsekvensvurdering (DPIA) der behandlingen krever det. Vurderingen inngår også i vårt strukturerte AI-klar-rammeverk for virksomheter som tar i bruk sky- og AI-tjenester.

Ta kontakt med vårt personvernteam  ·  Se hele personverntilbudet vårt

Kilder: GDPR kapittel V (art. 44–49); Europakommisjonens oversikt over adekvansbeslutninger; EDPB Guidelines 05/2021; EDPB Recommendations 01/2020; EU-domstolen sak C-311/18 (Schrems II); EU-domstolen sak T-553/23 (Latombe); Kommisjonens gjennomføringsbeslutning (EU) 2021/914 (SCC); EDPB Opinion 15/2026 (Europrivacy).