Gå til innhold

Lov&Data

1/2025: Nytt om IT-kontrakter
26/03/2025

EUs nye produktansvarsdirektiv: større ansvar for teknologiaktører

Av Jennifer Parmlind, Senior Associate i Advokatfirmaet Selmer, arbeider særlig med teknologi og immaterielle rettigheter og Anne-Marit Wang, partner i Advokatfirmaet Selmer.

Logoen til Selmer, illustrasjon.

Den 8. desember 2024 trådte det nye produktansvarsdirektivet (EU 2024/2853) i kraft, og erstatter det tidligere direktivet fra 1985 (85/374/EEC). Den teknologiske utviklingen har gjort det helt nødvendig å modernisere det over 40 år gamle regelverket. Det nye direktivet utvider blant annet det objektive ansvaret for personskader og skader på eiendom ved å omfatte sikkerhetsmangler i programvare, inkludert AI-systemer. Samtidig innføres det blant annet nye regler som reduserer bevisbyrden for skadelidte i saker som involverer teknologisk og vitenskapelig komplekse produkter. Det nye direktivet innebærer et betydelig større ansvar for produsenter av denne typen produkter.

Direktivet gjelder for produkter som gjøres tilgjengelige på markedet eller tas i bruk etter 9. desember 2026. «Tilgjengelig på markedet» gjelder også produkter som tilbys gratis. Det tidligere direktivet vil fortsatt gjelde for produkter som ble gjort tilgjengelige på markedet eller tatt i bruk før denne datoen.

Direktivet innebærer fullharmonisering, og medlemsstatene kan derfor ikke, med mindre annet angis særlig, innføre verken strengere eller lempeligere regler innenfor de områdene som direktivet behandler. Selv om det ennå er usikkert om og når direktivet vil bli implementert i norsk rett, er det merket som EØS-relevant, noe som indikerer fremtidig innlemmelse.

Artikkelen vil gjennomgå noen utvalgte nyheter i det nye produktansvarsdirektivet som får særlig relevans for teknologiaktører.

En samling av ulike symboler, blant annet et kart med kompass, en datamaskin, et cargoskip, pappesker, forskjellige transportmidler, med mer, digital illustrasjon.

Illustrasjon: Colourbox.com

1. Utvidelse av produktdefinisjonen

Fysiske personer kan kreve erstatning for skader som forårsakes av produkter med sikkerhetsmangler. Det nye direktivet presiserer at programvare, inkludert operativsystemer, firmware, dataprogrammer, applikasjoner og AI-systemer, nå regnes som produkter.(1)Artikkel 4(1). Det presiseres i fortalen punkt 13 at dette gjelder uavhengig av hvordan programvaren leveres eller brukes, enten den er lagret på en enhet, tilgjengelig via et kommunikasjonsnettverk eller levert som en tjeneste (SaaS).

Det digitale innholdet i for eksempel en e-bok faller utenfor direktivets virkeområde. Derimot anses digitale produksjonsfiler, som brukes til å fremstille fysiske gjenstander ved å muliggjøre automatisk styring av maskiner eller verktøy, som produkter.(2)Artikkel 4(1) og 4(2). I fortalens punkt 16 gis det som eksempel at en CAD-fil med sikkerhetsmangler, som brukes til å lage et 3D-printet produkt som forårsaker skade, kan føre til erstatningsansvar.

Programvare med fri og åpen kildekode (open source) omfattes ikke av direktivet dersom den utvikles eller formidles utenfor en kommersiell kontekst.(3)Artikkel 2(2). Dette innebærer at utvikleren av slik ikke-kommersielt distribuert programvare ikke kan holdes ansvarlig ved sikkerhetsmangler. Det følger av fortalens punkt 15 at dersom åpen kildekode senere integreres i et kommersielt produkt, kan produsenten av det endelige produktet imidlertid holdes ansvarlig for eventuelle sikkerhetsmangler som forårsaker skade. Hvordan dette vil påvirke den relativt utbredte bruken av open source vil gjenstå å se.

Videre omfattes nå også digitale tjenester som er integrert i eller tilknyttet et produkt på en måte som er avgjørende for dets funksjonalitet og sikkerhet, som etter fortalens punkt 17 eksempelvis kan være kontinuerlig tilførsel av trafikkdata i navigasjonssystemer eller temperaturkontrolltjenester som overvåker og regulerer temperaturen i et smart kjøleskap.(4)Artikkel 4(3) og artikkel 11(2)(a).Ansvaret er likevel begrenset til tilfeller der slike tjenester er innenfor produsentens kontroll, det vil si at produsenten enten selv utfører eksempelvis integrering, eller gir samtykke eller tillatelse til at en tredjepart utfører dette.

2. Utvidelse av begrepet sikkerhetsmangler

Et produkt skal anses å ha en sikkerhetsmangel dersom det ikke gir den sikkerheten en person har rett til å forvente, eller som kreves i henhold til EU-retten eller nasjonal lovgivning.(5)Artikkel 7(1). Ved vurderingen av om et produkt har en sikkerhetsmangel skal alle relevante faktorer fortsatt tas i betraktning.

Direktivet har flere nye spesifiseringer av faktorer som skal inngå i denne vurderingen.(6)Artikkel 7(2). Blant annet skal det tas hensyn til hvordan produktet påvirkes av andre produkter det med rimelighet kan forventes å brukes sammen med, for eksempel innenfor et smart-hjem-system.

Det skal også tas hensyn til produkters evne til å lære eller tilegne seg nye funksjoner. Ifølge fortalens punkt 32 reflekterer dette forbrukernes berettigede forventning om at programvare og underliggende algoritmer er utformet for å forhindre skadelig atferd. En produsent som utvikler et produkt, slik som et AI-system, med potensial for uforutsett atferd, kan derfor forbli ansvarlig for skader som oppstår som følge av dette.

Produsenter er som regel unntatt fra ansvar dersom de kan bevise at det er sannsynlig at sikkerhetsmangelen som forårsaket skaden, ikke eksisterte da produktet ble plassert på markedet eller tatt i bruk.(7)Artikkel 11(1)(c). Dagens teknologi gjør det imidlertid mulig for produsenter å utøve kontroll utover dette tidspunktet. Det nye direktivet fastslår derfor at produsenter fortsatt vil være ansvarlige for defekter som oppstår etter dette tidspunktet som følge av programvare eller relaterte tjenester under deres kontroll, enten det gjelder oppdateringer, oppgraderinger eller maskinlæringsalgoritmer.(8)Artikkel 11(2). Dersom en produsent, eller en tredjepart i samarbeid med produsenten, leverer en oppdatering som introduserer en sikkerhetsmangel, kan produsenten altså holdes ansvarlige for skader, selv om produktet var trygt ved lansering. Samtidig følger det av fortalen punkt 32 at et produkt kan anses å ha en sikkerhetsmangel hvis det blir ansett for å være sårbart mot cyberangrep. Produsenter av produkter kan altså med dette holdes ansvarlige både for oppdateringer av produktet, og for skader som har oppstått på grunn av manglende nødvendige oppdateringer av produktet. Dette er en betydelig utvidelse av produktansvaret.

Produsentens presentasjon av produktet kan ha betydning for sikkerhetsvurderingen, men det presiseres i fortalens punkt 31 at advarsler alene er ikke tilstrekkelig for å frita produsenten for ansvar. En produsent kan derfor ikke unngå erstatningsansvar kun ved å opplyse om mulige risikoer. En produsent vil fortsatt kunne holdes ansvarlig dersom produktet ikke lever opp til allmenne sikkerhetsforventninger, uavhengig av eventuelle opplysninger om risikoer.

3. Ansvar for nye aktører i leveransekjeden

Som tidligere har produsenten hovedansvaret, men det nye direktivet presiserer samtidig at produsenter av komponenter også kan holdes ansvarlige dersom de har kontroll over integrasjonen av komponenten eller dersom komponenten i seg selv utgjør et produkt.(9)Artikkel 8(1)(a) og 8(1)(b).

Begrepet produsent omfatter fortsatt enhver som, direkte eller via en tredjepart, setter sitt navn, varemerke eller kjennetegn på produktet og dermed fremstår som involvert i produksjonen.(10)Artikkel 4(10)(b). Dette innebærer at EU-domstolens dom i sak C-157/23 trolig vil forbli relevant også under det nye direktivet. I den aktuelle saken kom EU-domstolen frem til at leverandører med lignende navn som produsenten eller produktet kan holdes ansvarlig, som om de faktisk har produsert produktet. Leverandører kan dermed ikke høres med at de ikke er ansvarlige for sikkerhetsmangler fordi de ikke har vært involvert i produksjonen. Avgjørelsen støtter på denne måten opp under prinsippet om å styrke forbrukervernet, som er en av kongstankene bak direktivet.

Fysiske personers vern styrkes ved at det alltid skal finnes en ansvarlig aktør i EU. Importører, autoriserte representanter for produsenter utenfor EU og tilbydere av distribusjonstjenester (fulfilment service providers) holdes ansvarlige dersom det ikke finnes en importør eller representant i EU.(11)Artikkel 8(1)(c). Fortalens punkt 37 understreker at distribusjonstjenester spiller en stadig viktigere rolle i forsyningskjeden ved å muliggjøre import fra tredjeland. De kan utføre oppgaver som minner om importørens, men faller ikke nødvendigvis inn under den tradisjonelle definisjonen. Slik tjenesteytere omfattes dersom de tilbyr minst to av følgende tjenester: lagring, emballering, adressering eller forsendelse av et produkt uten å ha eierskap over det. Posttjenester og godstransporttjenester er unntatt.(12)Artikkel 4(13).

Distributørens ansvar trer, som kjent fra tidligere, i kraft dersom ingen av de andre ansvarlige aktørene kan identifiseres. I slike tilfeller blir distributøren ansvarlig dersom den skadelidte ber distributøren om å identifisere en ansvarlig aktør i EU, eller sin egen distributør. Dersom distributøren ikke gir denne informasjonen innen én måned (tidligere rimelig tid), vil ansvaret for produktets sikkerhetsmangler overføres til distributøren.(13)Artikkel 8(3). På samme måte kan leverandører av onlineplattformer holdes ansvarlige dersom de presenterer produkter eller muliggjør transaksjoner på en måte som gir inntrykk av at de selv, eller en næringsdrivende under deres kontroll, står bak salget.(14)Artikkel 8(4).

En annen nyhet er at dersom et produkt endres vesentlig og deretter gjøres tilgjengelig på markedet eller tas i bruk, skal det anses det som et nytt produkt. Dette omfatter også programvareoppdateringer, oppgraderinger og den kontinuerlige læringen til AI-systemer. Der lovgivningen ikke angir nærmere kriterier, anses endringer som vesentlige dersom de endrer produktets opprinnelige ytelse, formål eller type uten at dette var forutsett i produsentens opprinnelige risikovurdering, eller dersom de endrer risikonivået.(15)Artikkel 4(18). Hvis endringen skjer utenfor produsentens kontroll, blir den som har foretatt modifikasjonen ansvarlig.(16)Artikkel 8(2). For å sikre en rettferdig risikofordeling i en sirkulær økonomi, kan de som gjør vesentlige endringer fritas dersom de kan bevise at skaden skyldes en del av produktet som ikke ble berørt av endringen.(17)Artikkel 11(1)(g).

4. Utvidede erstatningsmuligheter

Som tidligere, kan det kreves erstatning for personskader og skade på eiendom. Direktivet anerkjenner imidlertid nå personskade i form av psykisk skade, forutsatt at den er medisinsk anerkjent og dokumentert.(18)Artikkel 6(1)(a). I tillegg omfatter det skade som oppstår ved ødeleggelse eller tap av data, for eksempel sletting av digitale filer som ikke kan gjenopprettes.(19)Artikkel 6(1)(c). Denne endringen får konsekvenser for blant annet teknologiselskaper som lagrer eller behandler sensitiv informasjon og data. Data som brukes i kommersiell sammenheng er unntatt fra direktivet, også der privat bruk ikke kan utelukkes. Dette er i tråd med det forrige direktivet der skade på ting brukt i en kommersiell sammenheng ikke erstattes. Det er opp til hvert land å fastsette hvordan erstatningen beregnes.

Videre inneholder det nye direktivet ikke lenger noen fradragsgrenser, noe som altså i utgangspunktet innebærer en rett til å få dekket hele det økonomiske tapet.

5. Lettelser i Bevisbyrde for skadelidte

Direktivet viderefører prinsippet om at aktørene har ansvar uavhengig av skyld (culpa). For å sikre en rettferdig risikofordeling må skadelidte fortsatt bevise skaden, produktets sikkerhetsmangel og årsakssammenhengen mellom disse.

Det har imidlertid vist seg å være utfordrende å bevise at et produkt er defekt, spesielt ettersom den teknologiske utviklingen har gjort innhenting og vurdering av bevis mer komplisert. Direktivet har derfor innført mekanismer som forenkler prosessen med å kreve erstatning, særlig i saker som involverer teknisk komplekse produkter.

Skadelidte har ofte begrenset tilgang til informasjon om hvordan et produkt er konstruert og fungerer, mens produsentene har betydelig kunnskap og kontroll over denne informasjonen. For å balansere dette gir direktivet skadelidte forbedret tilgang til bevismateriale. Skadelidte som har fremlagt tilstrekkelige fakta og bevis for å underbygge rimeligheten av sitt erstatningskrav, kan be om at det utleveres relevant bevismateriale.(20)Artikkel 9(1). Domstolen kan også kreve at slik bevisføring presenteres på en lett tilgjengelig og forståelig måte, noe som er særlig viktig i saker med høy teknisk kompleksitet.(21)Artikkel 9(6). Dette vil få konsekvenser for produsenter av særlig tekniske produkter, som vil måtte utarbeide dokumentasjon som på en forståelig måte dokumenterer produktets sikkerhet.

Samtidig pålegger direktivet domstolene å begrense bevisinnhentingen til det som er nødvendig og forholdsmessig, blant annet for å unngå omfattende søk som inkluderer irrelevant informasjon.(22)Artikkel 9(3). I tillegg må tiltak iverksettes for å beskytte konfidensiell informasjon, inkludert forretningshemmeligheter.(23)Artikkel 9(5). Dette kan innebære begrenset tilgang til dokumenter, redigerte versjoner av bevismateriale eller lukkede rettsmøter for å sikre at sensitiv informasjon ikke blir offentliggjort.

For å redusere bevisbyrden for skadelidte etablerer direktivet visse presumsjoner.(24)Artikkel 10(2), 10(3) and 10(4). Dersom saksøkte unnlater å fremlegge bevis, eller hvis produktet ikke oppfyller obligatoriske sikkerhetskrav fastsatt i EU- eller nasjonal lovgivning, skal det anses som sannsynlig at produktet har en sikkerhetsmangel. Det samme gjelder dersom produktet har åpenbare funksjonsfeil under normal eller rimelig forutsigbar bruk. Videre skal det presumeres at det foreligger en årsakssammenheng mellom produktets sikkerhetsmangel og skaden dersom det er fastslått at produktet har en sikkerhetsmangel, og den påførte skaden typisk samsvarer med slike feil.

I særlig teknisk komplekse saker, for eksempel produkter som benytter AI eller avansert maskinlæring, inkludert den så kalte black box-problematikken, gir direktivet domstolen adgang til å legge til grunn en presumsjon om at et produkt har en sikkerhetsmangel og/eller at det foreligger en årsakssammenheng. Dette gjelder der den skadelidte står overfor urimelig store vanskeligheter med å oppfylle bevisbyrden som følge av sakens tekniske eller vitenskapelige kompleksitet og der den skadeliste i det minste kan vise til at det er sannsynlig at produktet har en sikkerhetsmangel og/eller at det foreligger en årsakssammenheng.

Den saksøkte har mulighet til å motbevise disse presumsjonene. I tillegg har den saksøkte en tilsvarende rett til å få tilgang til relevant informasjon som skadelidte besitter, for å kunne forsvare seg effektivt.(25)Artikkel 9(2).

6. Forlenget ansvarsperiode

Direktivet viderefører fristen på ti år for ansvar, regnet fra den dagen produktet ble gjort tilgjengelig på markedet eller tatt i bruk.(26)Artikkel 17(1)(a). Dersom produktet gjennomgår en vesentlig endring, løper en ny tiårsperiode.(27)Artikkel 17(1)(b). Produsentene og andre som gjør vesentlige endringer kan derfor holdes til ansvar over en lengre periode enn tidligere. Oppdateringer og oppgraderinger som ikke regnes som en vesentlig endring, vil ikke trigge en ny tiårsperiode.

Ved helseproblemer som utvikler seg sakte, er ansvarsperioden utvidet til 25 år.(28)Artikkel 17(2).

Noter

  1. Artikkel 4(1).
  2. Artikkel 4(1) og 4(2).
  3. Artikkel 2(2).
  4. Artikkel 4(3) og artikkel 11(2)(a).
  5. Artikkel 7(1).
  6. Artikkel 7(2).
  7. Artikkel 11(1)(c).
  8. Artikkel 11(2).
  9. Artikkel 8(1)(a) og 8(1)(b).
  10. Artikkel 4(10)(b).
  11. Artikkel 8(1)(c).
  12. Artikkel 4(13).
  13. Artikkel 8(3).
  14. Artikkel 8(4).
  15. Artikkel 4(18).
  16. Artikkel 8(2).
  17. Artikkel 11(1)(g).
  18. Artikkel 6(1)(a).
  19. Artikkel 6(1)(c).
  20. Artikkel 9(1).
  21. Artikkel 9(6).
  22. Artikkel 9(3).
  23. Artikkel 9(5).
  24. Artikkel 10(2), 10(3) and 10(4).
  25. Artikkel 9(2).
  26. Artikkel 17(1)(a).
  27. Artikkel 17(1)(b).
  28. Artikkel 17(2).
Jennifer Parmlind
Portrett av Jennifer Parmlind
Anne-Marit Wang
Portrett av Anne Wang