Når trer Vermonts lov om personvern og dataovervåking i kraft?

Loven trer i kraft 1. januar 2028, etter å ha blitt undertegnet 16. juni 2026.

Hva gjør denne Vermont-loven strengere enn andre statlige personvernlover?

Den krever aktivt samtykke (opt-in) for behandling av sensitive data, gir forbrukere en privat søksmålsrett, og begrenser målrettet annonsering og atferdsprofilering uten uttrykkelig samtykke.

Hvilke virksomheter omfattes av Vermonts lov om personvern og dataovervåking?

Virksomheter som kontrollerer eller behandler personopplysningene til 25 000 eller flere forbrukere i Vermont årlig, eller de som henter 25 % eller mer av sin bruttoinntekt fra salg av personopplysninger og behandler data om minst 12 500 forbrukere.

Hvilke datakategorier krever aktivt samtykke (opt-in) etter denne loven?

Nøyaktig geolokalisering, helsedata, økonomiske data og data om mindreårige krever alle aktivt samtykke før behandling.

Kan enkeltforbrukere reise søksmål for overtredelser av denne loven?

Ja, loven inkluderer en privat søksmålsrett som gir enkeltforbrukere rettslig adgang til å saksøke for visse overtredelser, i stedet for at håndheving utelukkende overlates til statlige tilsynsmyndigheter.

Vermonts lov om personvern og dataovervåking: Hva den betyr i 2028

Guvernøren i Vermont undertegnet S.71, Vermonts lov om personvern og nettovervåking, den 16. juni 2026, noe som gjør Vermont til en av de strengeste statene i landet når det gjelder forbrukerdatabeskyttelse. Loven trer ikke i kraft før 1. januar 2028, men nedtellingen har allerede startet for selskaper som må få sine praksiser i orden. For forbrukere representerer overvåkingsbestemmelsene i Vermonts personvernlov et av de mest ambisiøse forsøkene hittil fra en amerikansk delstat på å tøyle hvordan virksomheter samler inn, bruker og deler personlig informasjon.

Hva Vermonts lov om personvern og nettovervåking faktisk krever

I kjernen gir loven innbyggerne i Vermont meningsfull kontroll over sine personopplysninger. Den krever at virksomheter innhenter aktivt samtykke (opt-in) før de behandler sensitive kategorier av informasjon, inkludert nøyaktig geolokalisering, helsedata, økonomiske data og data om mindreårige. Denne opt-in-standarden er merkbart strengere enn opt-out-rammeverkene som finnes i mange andre delstatslover.

Virksomheter må også gi tydelige, tilgjengelige personvernerklæringer, gjennomføre databeskyttelsesvurderinger for behandlingsaktiviteter med høyere risiko, og etterkomme forbrukernes forespørsler om innsyn, retting, sletting og dataportabilitet. Loven inkluderer en privat søksmålsrett for visse overtredelser, noe som gir enkeltforbrukere rettslig adgang til å saksøke, ikke bare statlige tilsynsmyndigheter. Dette trekket alene skiller Vermont fra flertallet av amerikanske delstaters personvernrammeverk, der håndheving helt og holdent overlates til statsadvokater.

«Nettovervåking»-delen av loven er spesielt bemerkelsesverdig. Den legger spesifikke begrensninger på bruk av personopplysninger til målrettet annonsering mot forbrukere og begrenser hvordan selskaper kan bygge atferdsprofiler uten uttrykkelig samtykke.

Hvem som omfattes, og det brede nettet som fanger flere selskaper enn du skulle tro

Mange delstatlige personvernlover inkluderer terskler for omsetning eller datamengde som holder mindre selskaper utenfor. Vermonts terskler er relativt lave. Loven gjelder for virksomheter som kontrollerer eller behandler personopplysningene til 25 000 eller flere forbrukere i Vermont årlig, eller de som henter 25 prosent eller mer av sin bruttoinntekt fra salg av personopplysninger og behandler data om minst 12 500 forbrukere.

Vermont har en befolkning på omtrent 650 000. Det betyr at terskelen på 25 000 forbrukere bare utgjør rundt fire prosent av delstatens innbyggere. Selskaper som opererer nasjonalt og har selv beskjedne brukergrupper i Vermont kan lett krysse denne grensen. Datameglere står overfor skjerpede forpliktelser under loven, inkludert strengere begrensninger på salg av sensitive data og et krav om å registrere seg hos delstaten.

Innrammingen av nettovervåking i lovens tittel signaliserer ambisjonene tydelig. Plattformer og annonseteknologiselskaper som er avhengige av gjennomgripende sporing for å bygge forbrukerprofiler, faller klart inn under lovens virkeområde.

Hvordan Vermonts lov sammenligner seg med annen personvernlovgivning i amerikanske delstater

Vermont er nå blant rundt tjue delstater med omfattende forbrukerpersonvernlovgivning, men loven befinner seg i den strengere enden av spekteret. Californias CPRA blir ofte trukket fram som USAs gullstandard, men Vermonts krav om aktivt samtykke for behandling av sensitive data og den private søksmålsretten går lenger enn det California for tiden krever.

Delstater som Texas og Florida har vedtatt lover med bredere unntak for næringslivet og uten privat søksmålsrett, noe som i praksis gjør håndhevingen tamløs. Vermonts tilnærming ligger ånden nærmere europeiske databeskyttelsesprinsipper, uten å kopiere GDPR direkte. Kombinasjonen av lave terskler for anvendelse, et utgangspunkt med aktivt samtykke for sensitive data og individuell søksmålsrett skaper et reelt ansvarspress på virksomheter.

Loven snører også sirkelen rundt datamegleres aktiviteter tettere enn de fleste delstatlige rammeverk, noe som er betydelig med tanke på hvor mye av den kommersielle overvåkingsøkonomien som går gjennom datameglere snarere enn gjennom selskapene forbrukerne samhandler direkte med.

Hva dette betyr for dine datarettigheter selv om du ikke bor i Vermont

Delstatlige personvernlover har en veldokumentert tendens til å skape nasjonale politikkendringer. Når selskaper oppdaterer sin datapraksis for å overholde en streng delstatslov, bruker de ofte disse endringene bredt i stedet for å opprettholde separate systemer for ulike delstater. Californias personvernlov hadde akkurat denne effekten, da selskaper rullet ut nye samtykkeflyter og verktøy for sletting av data til alle amerikanske brukere, ikke bare til innbyggere i California.

Vermonts lov kan utløse en lignende dynamikk, særlig når det gjelder datameglere. Hvis virksomheter må gi Vermonts innbyggere rett til å reservere seg mot at dataene deres blir solgt, vil mange finne det driftsmessig enklere å utvide denne muligheten til alle. For forbrukere utenfor Vermont representerer dette en meningsfull gevinst i datarettigheter de ellers ikke ville hatt.

Overvåkingsspesifikke bestemmelser er også verdt å følge med på i en bredere kontekst. Lovgivning som retter seg mot atferdssporing og nettovervåking blir i stadig større grad en del av policydebatten også på føderalt nivå. Vermonts tilnærming kan gi innspill til hvordan føderale lovgivere utformer fremtidige forslag.

Selvfølgelig rekker juridisk beskyttelse bare et stykke. Lover setter gulv, ikke tak, og håndheving tar tid. Å bruke tekniske personvernverktøy sammen med juridiske rettigheter gir forbrukerne et mer fullstendig bilde. En VPN begrenser for eksempel hva tredjeparter kan observere om nettlesingsaktiviteten din på nettverksnivå, og utfyller dermed de rettighetene en delstatslov gir på datalagrings- og delingssiden.

Praktiske råd

Hvis du driver en virksomhet: Begynn å gjennomgå databeholdningen din nå. Januar 2028 kan føles fjern, men å bygge samsvarsmekanismer for samtykke, vurderingsprosesser og systemer for håndtering av innsynsforespørsler tar tid.
Hvis du er bosatt i Vermont: Dine rettigheter etter denne loven kan håndheves fra og med 1. januar 2028. Ta vare på dokumentasjon på dataforespørsler du sender og svar du mottar.
Hvis du bor utenfor Vermont: Følg med på hvordan nasjonale selskaper reagerer på denne loven. Nye verktøy for reservasjon eller samtykke som rulles ut for brukere i Vermont kan bli tilgjengelige for deg også.
For alle: Juridisk beskyttelse og tekniske personvernpraksiser fungerer best sammen. Å holde seg informert om delstatlig og føderal overvåkingslovgivning er et første skritt mot å forstå hvilke rettigheter du faktisk har.

Vermonts lov er en betydelig milepæl i den pågående bestrebelsen på å bringe amerikanske personvernstandarder nærmere det forbrukere i andre deler av verden allerede forventer. Hvorvidt den skaper en nasjonal ringvirkning vil avhenge av hvor aggressivt den håndheves, og hvor villige selskaper er til å bygge reelt samsvarende datapraksiser i stedet for minimale omgåelser.