anonym.legal

By · Last updated 2026-06-05

Tilbake til BloggGDPR & Overholdelse

FTC USA: Håndhevelse av AI-personvern etter Section 5

FTC gjennomførte 19 AI-håndhevelsestiltak i 2024. Amazon Alexa-bot på 875 millioner dollar. 25 delstatslovgivninger om personvern er aktive. Zero-knowledge-arkitektur adresserer direkte det FTC etterlyser.

June 5, 20269 min lesing
FTC enforcementUS privacy lawAI privacy complianceSection 5state privacy laws

FTC Section 5: AI og personvern i USA

Oppdatert for 2026.

Federal Trade Commission (FTC) håndhever amerikansk personvernlovgivning gjennom Section 5 i FTC Act. Den paragrafen forbyr "urettferdig eller villedende praksis." Det finnes ingen enkelt føderal personvernlov som GDPR i USA. Likevel satte byrået ny rekord i 2024.

2024: Et rekordår for håndhevelse

Kommisjonen gjennomførte 19 AI-relaterte tiltak i 2024. Det slår de tre foregående årene samlet. Legg til 25 aktive delstatslover om personvern i USA på toppen. Til sammen skaper de en kompleks byrde for ethvert selskap i USA.

Viktige saker fra 2024:

Amazon Alexa (25 millioner dollar, 2023/pågående): Amazon betalte 25 millioner dollar for brudd på COPPA. Selskapet hadde beholdt stemmeopptak av barn utover oppgitte tidsgrenser. Byrået hevdet at Amazon brukte disse opptakene til AI-opplæring uten korrekt samtykke. Amazon ble pålagt å slette de lagrede opptakene.

Forbud mot Meta mot bruk av tenåringsdata i reklame: Føderale regulatorer forbød Meta å bruke opplysninger om brukere under 18 år til reklame. Dette bygget på en eksisterende samtykkeavgjørelse.

Tiltak mot AI-dataformidlere: Byrået tok affære mot flere formidlere. Disse formidlerne solgte AI-genererte personprofiler uten korrekt varsel eller samtykke. Sakene fastsatte en viktig regel: AI-profilering av personopplysninger regnes som "sensitiv" behandling. Den klassifiseringen utløser ekstra varslingsplikter.

Saker om helseregistre: Kommisjonen har myndighet over helseregistre som ikke er dekket av HIPAA. Forbrukerapper, wearables og enkelte telehelseselskaper faller inn her. Flere 2024-saker rammet selskaper som delte slike registre uten korrekt samtykke.

25 delstatslover: Det amerikanske lappeteppet

Ingen enkelt føderal lov dekker alle amerikanske innbyggere. I stedet dekker 25 delstatslover til sammen det meste av landet.

California CPRA (fra 2023): Den bredeste delstatsbaserte loven i USA. Den dekker 40 millioner innbyggere i delstaten. Den gjelder for selskaper med over 25 millioner dollar i omsetning eller som har opplysninger om 100 000 eller flere forbrukere i delstaten. Den opprettet California Privacy Protection Agency (CPPA) som en fulltidsregulator.

Virginia, Colorado, Connecticut: Tre andre lover med lignende rettigheter. De dekker til sammen over 20 millioner innbyggere.

Texas og Florida: To store delstater har nå også aktive personvernlover.

Washington My Health MY Data Act: Den sterkeste amerikanske loven om helseregistre utenfor California. Den utvider rettighetene utover HIPAA til forbrukerhelseapper.

For selskaper i alle 50 delstater deler de 25 lovene et kjernesett av plikter. Forbrukerrettigheter, personvernvarsler, leverandørkontrakter og datagrenser er alle påkrevd. De eksakte reglene varierer etter delstat.

Se veiledningen for juridisk samsvar for hvordan disse pliktene henger sammen.

Hva 2024-tiltakene betyr for tekniske team

2024-sakene gir tydelig teknisk veiledning.

Opplæringsdata: Selskaper må spore hvilke personopplysninger som trente hver AI-modell. De må vise at samtykket dekket den opplæringsbruken. De må også bekrefte hvilke tidsgrenser som gjaldt.

Formålsgrenser: AI-profiler kan ikke brukes utover det som ble kommunisert til brukerne ved registrering. Å bruke atferdsanalyse til ansettelse når bare reklame ble opplyst om, er et brudd på Section 5.

Leverandørplikter: Byrået behandler SaaS-leverandører som den distribuerende virksomhetens risiko. Dersom et verktøy behandler brukerdata, må det stå i personvernvarselet. Leverandørens opptreden må samsvare med oppgitte formål.

Zero-knowledge-systemer: De fleste AI-leverandørsaker retter seg mot ikke opplyst bruk av data. Et zero-knowledge-system lagrer bare krypterte filer. Leverandøren har ingen nøkkel til å åpne dem. Det kan ikke bruke opplysninger på måter som ikke er opplyst om. Det tekniske faktum stemmer overens med det byrået retter seg mot.

Lær hvordan anonym.legal bruker zero-knowledge-systemer på /security-compliance.

Foreslått regelverk for kommersiell overvåkning

Kommisjonens foreslåtte regelverk for kommersiell sporing er under behandling per 2025. Dersom det vedtas, vil det skape eksplisitte føderale regler.

  • Datamengdebegrensninger for AI-bruk.
  • Rett til å reservere seg mot automatisert profilering.
  • Forbud mot å bruke innsamlede opplysninger til nye formål.
  • Sikkerhetskrav for lagrede personopplysninger.

Dette regelverket vil innføre GDPR-lignende plikter for ethvert selskap som betjener amerikanske forbrukere. Det vil heve minimumsstandarden for amerikansk personvernlovgivning over hele linjen.

Les om datamengdebegrensninger på /docs/faq.

Kilder

  • FTC: Federal Trade Commission. ftc.gov.
  • FTC: AI Enforcement Actions 2024. ftc.gov/news-events/news/press-releases/.
  • CPPA: California Privacy Protection Agency. cppa.ca.gov.
  • FTC: Proposed Commercial Surveillance Rules. ftc.gov/legal-library/browse/rules/commercial-surveillance-rulemaking.

Relaterte Artikler

GDPR & Overholdelse

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR & Overholdelse

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR & Overholdelse

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

Klar til å beskytte dataene dine?

Begynn å anonymisere PII med 285+ enhetstyper på 48 språk.

Start Gratis PrøveperiodeSe Funksjoner

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.