Universell utforming av IKT-løsninger

Universell utforming av IKT-løsninger er ikke et designvalg – det er en lovpålagt plikt forankret i likestillings- og diskrimineringsloven og en egen forskrift. Norske virksomheter må sikre at nettsider, apper og selvbetjeningsautomater rettet mot allmennheten er tilgjengelige for alle, uavhengig av funksjonsevne. Denne pilarsiden gir deg det fulle bildet: gjeldende rettslig grunnlag, hvilken WCAG-versjon som faktisk gjelder for hvem, hvordan tilgjengelighetserklæringen brukes, og – ikke minst – hvordan UU-arbeidet forankres som en del av virksomhetens internkontroll.

Nøkkelfakta om universell utforming av IKT

  • Hjemmel: Likestillings- og diskrimineringsloven §§ 17 og 18, samt forskrift om universell utforming av IKT-løsninger.
  • Standard – privat sektor: WCAG 2.0 nivå A og AA (med unntak for synstolking).
  • Standard – offentlig sektor: WCAG 2.1 nivå A og AA (etter Webdirektivet/WAD, fullt i kraft fra 1.2.2023).
  • Tilgjengelighetserklæring: Obligatorisk kun for offentlige virksomheter. Lages via uustatus.no.
  • EU Accessibility Act (EAA): I kraft i EU 28.6.2025. Per mai 2026 ennå ikke i kraft i Norge – innlemming i EØS-avtalen forsinket.
  • Tilsyn: Tilsynet for universell utforming av IKT (Uutilsynet), under Digitaliseringsdirektoratet.
  • Sanksjoner: Pålegg om retting og tvangsmulkt fra tilsynsmyndighet ved manglende etterlevelse.
Kort fortalt for ledere:

Som leder har du ansvar for at virksomhetens digitale flater følger UU-kravene. Det er ikke nok at IT-avdelingen «kan WCAG» – kravene må forankres i styringssystemet, med rolle- og ansvarsfordeling, periodisk kontroll og avvikshåndtering. Tilsynet kan be om dokumentasjon, og typiske avvik handler oftere om manglende systematikk enn manglende kompetanse. Tre ting å sikre denne måneden: (1) kartlegg om dine IKT-løsninger er omfattet, (2) dokumenter hvem som har ansvar og når det testes, (3) vurder om dere har kunder i EU – da gjelder EAA allerede.

For styret og ledelsen – les dette først

Universell utforming er ikke et designvalg – det er et ledelsesansvar. Manglende etterlevelse kan gi pålegg fra Tilsynet for universell utforming av IKT, tvangsmulkt og omdømmetap. Denne guiden gir deg det fulle bildet av regelverket, men starter der ledere starter: hvem har ansvaret, hva risikerer dere ved manglende etterlevelse, og hvordan forankres UU-arbeidet i virksomhetens styringssystem? Hovedpunktene: (1) styret har et ikke-delegerbart påse-ansvar, (2) WCAG 2.0/2.1 nivå AA er minstekravet, (3) tilsyn skjer både via klager og egeninitiert kontroll, og (4) UU-arbeidet skal være en del av internkontrollen – ikke en isolert IT-oppgave.

1. Hva er universell utforming av IKT?

Universell utforming betyr at produkter, omgivelser, programmer og tjenester utformes slik at de kan brukes av alle mennesker, i så stor utstrekning som mulig, uten behov for tilpasning eller spesiell utforming. Begrepet er hentet fra FN-konvensjonen om rettighetene til mennesker med nedsatt funksjonsevne (CRPD), som Norge ratifiserte i 2013.

Når begrepet brukes om IKT-løsninger, handler det konkret om at nettsider, mobilapplikasjoner og selvbetjeningsautomater skal være tilgjengelige for personer med nedsatt syn, hørsel, motorikk eller kognisjon – uten at de må ha spesiell programvare eller hjelp av andre. Det er ikke det samme som «tilrettelegging for funksjonshemmede»; universell utforming er en hovedløsning som fungerer for alle, slik at særløsninger ikke er nødvendige.

Anslagsvis én av tre i Norge har behov for tilpasninger for å bruke digitale tjenester. Det inkluderer ikke bare personer med varige funksjonsnedsettelser, men også eldre, personer med midlertidige skader, og brukere i krevende omgivelser (sterkt sollys, dårlig nettverk, uvant språk). UU er derfor ikke en marginsak – det er kvalitet for hovedmålgruppen.

2. Rettslig grunnlag: §§ 17, 18 og forskriften

Det rettslige grunnlaget for universell utforming av IKT i Norge består av tre lag som virker sammen:

Likestillings- og diskrimineringsloven § 17

Setter den generelle plikten til universell utforming for offentlige og private virksomheter rettet mot allmennheten. § 17 er den prinsipielle bestemmelsen som dekker både fysisk utforming og IKT, og som forbyr diskriminering på grunnlag av funksjonsnedsettelse.

Likestillings- og diskrimineringsloven § 18

Spesialbestemmelse om universell utforming av IKT. § 18 hjemler forskriften og fastsetter at IKT-løsninger som retter seg mot allmennheten, skal være universelt utformet. Bestemmelsen omfatter både offentlig og privat sektor.

Forskrift om universell utforming av IKT-løsninger

Operasjonaliserer kravene fra § 18. Forskriften viser til konkrete tekniske standarder (WCAG i ulike versjoner) og spesifiserer hvilke suksesskriterier som er minstekrav. Den definerer også virkeområde og unntak. Forskriften har vært i kraft siden 1. juli 2014 og er senere revidert flere ganger.

Viktig om eldre referanser

Den eldre «Diskriminerings- og tilgjengelighetsloven» (DTL) er opphevet. Mange eldre kilder og maler refererer fortsatt til DTL § 11 eller § 17 – dette er utdatert. Korrekt hjemmel er nå likestillings- og diskrimineringsloven §§ 17 og 18, med tilhørende forskrift.

3. Hvem omfattes? Virkeområde og unntak

Et av de vanligste spørsmålene fra ledere er: «Gjelder dette oss?». Svaret følger av forskriften og kan oppsummeres slik:

Hvem reglene gjelder for

  • Alle offentlige virksomheter – stat, kommune, fylkeskommune og offentlige foretak.
  • Private virksomheter, lag og organisasjoner som tilbyr IKT-løsninger rettet mot allmennheten – det vil si nettsteder, applikasjoner eller automater som er ment å informere eller tilby tjenester til innbyggere eller kunder i Norge.

Hvilke IKT-løsninger som omfattes

  • Nettsteder og nettløsninger (inkludert mobilversjoner).
  • Mobilapplikasjoner som henter eller leverer informasjon over internett.
  • Selvbetjeningsautomater: minibanker, billettautomater, innsjekkingsautomater, betalingsterminaler.

Hvilke krav som gjelder hvor

Det er to viktige presiseringer som ofte misforstås:

  • Intranett og ekstranett i offentlig sektor er omfattet etter Webdirektivet (WAD). Det samme gjelder ikke automatisk for privat sektor.
  • Tilgjengelighetserklæring er per mai 2026 obligatorisk kun for offentlige virksomheter. Private virksomheter har ingen lovpålagt erklæringsplikt – men selve UU-kravene gjelder uansett.

Unntak

  • Rene maskin-til-maskin-tjenester.
  • Innhold publisert før 1. juli 2014 i visse kategorier (med unntak: NAV og andre tjenester rettet direkte mot innbyggere har siden 2021 plikt til å oppfylle krav også for eldre løsninger).
  • Direkteoverføringer (live) av video og lyd er unntatt enkelte krav.
  • Tredjepartsinnhold som virksomheten ikke har påvirkningsmulighet over – men oppfølgingsplikt overfor leverandør gjelder.
  • Uforholdsmessig stor byrde kan begrunne unntak fra enkeltkrav, men dette må vurderes konkret og dokumenteres.

4. WCAG: Hvilken versjon gjelder for hvem?

WCAG (Web Content Accessibility Guidelines) er den internasjonale standarden som forskriften viser til. Det er imidlertid en kilde til mye forvirring at flere ulike versjoner av WCAG gjelder samtidig i Norge, avhengig av hvilken sektor du tilhører.

SektorGjeldende standardHjemmel
Privat sektor (allmennheten) WCAG 2.0 nivå A og AA, med unntak for synstolking Forskrift om UU av IKT-løsninger
Offentlig sektor – nettsteder og apper WCAG 2.1 nivå A og AA Webdirektivet (WAD), i full kraft fra 1.2.2023
Offentlig sektor – intranett og ekstranett WCAG 2.1 nivå A og AA Webdirektivet (WAD)
Status WCAG 2.2 (per mai 2026)

WCAG 2.2 ble publisert av W3C i oktober 2023, men er ikke en del av norsk regelverk. Tilsynet for universell utforming av IKT har bekreftet at dette ikke endres på kort sikt. Likevel anbefaler mange fagmiljøer å sikte mot WCAG 2.2 i nye løsninger – det gir bedre framtidssikring og fanger opp brukere med kognitive utfordringer bedre enn 2.0/2.1.

Standarden EN 301 549 er den europeiske harmoniserte standarden som operasjonaliserer kravene i et IKT-perspektiv. En revidert versjon ventes endelig vedtatt i løpet av 2026.

5. A, AA og AAA – hvilke krav er lovpålagt?

WCAG har tre konformitetsnivåer. Det er kritisk å vite hvilket nivå som er lovkrav, og hvilket som er anbefaling:

  • 🔴 Nivå A – minimumskrav. De mest grunnleggende kravene. Hvis disse ikke er oppfylt, vil mange brukere være helt utestengt fra å bruke løsningen. Lovpålagt i Norge.
  • 🟡 Nivå AA – hovednivå (lovpålagt minstekrav). Det nivået forskriften krever oppfylt. Norge har lagt seg på AA fordi dette balanserer brukerbehov mot teknisk og økonomisk gjennomførbarhet, og samsvarer med EUs valg i Webdirektivet og EAA. Dette er nivået tilsynet kontrollerer mot.
  • 🟢 Nivå AAA – anbefalt for kritiske tjenester. Strengeste nivå. Ikke lovkrav. Anbefales for tjenester rettet mot brukere med store funksjonsnedsettelser, eller der konsekvensene av utestenging er særlig alvorlige (helse, sosiale tjenester, demokratiske prosesser).

Når en tilsynssak åpnes, måles løsningen mot nivå AA – ikke AAA. Det betyr at virksomheter ikke skal bruke ressurser på AAA-tilpasninger før AA-nivået er solid på plass.

6. POUR – de fire prinsippene

WCAG er bygget rundt fire grunnprinsipper, kjent som POUR. Alle suksesskriteriene faller inn under ett av disse:

  • P – Mulig å oppfatte: Informasjon må presenteres på måter brukeren kan oppfatte – uavhengig av sans.
  • O – Mulig å betjene: Brukergrensesnitt og navigasjon må fungere uavhengig av inndataenhet.
  • U – Forståelig: Informasjon og betjening må være forståelig for alle brukere.
  • R – Robust: Innholdet må tolkes pålitelig av et bredt spekter av brukeragenter, inkludert skjermlesere.

7. P – Mulig å oppfatte

Formelt kravKonkret utfordringGod løsning
Tekstalternativer (1.1.1)Bilder, grafikk og knapper uten tekstAlt-tekster: Alle meningsbærende bilder må ha beskrivende alt-tekst. Dekorative elementer skal ha tom alt-tekst (alt="") slik at skjermlesere ignorerer dem.
Tidsbaserte medier (1.2.1, 1.2.2, 1.2.5)Video og lyd uten teksting eller synstolkingTeksting og transkripsjon: Tilby synkronisert teksting for forhåndsinnspilt video og transkripsjon for lydinnhold.
Tilpasningsdyktig innhold (1.3.1–1.3.3)Manglende struktur og meningsbærende presentasjonKorrekt semantikk: Bruk korrekt HTML-struktur for overskrifter, lister, tabeller og skjemaer. Ikke bruk farge alene for å formidle informasjon.
Kontrast og størrelse (1.4.3, 1.4.4, 1.4.11)Lav kontrast og uleselig tekstKontrastforhold: All normal tekst må ha minimum 4,5:1 kontrastforhold mot bakgrunnen. Tekststørrelse må kunne endres til 200 % uten tap av innhold.

8. O – Mulig å betjene

Formelt kravKonkret utfordringGod løsning
Tastaturbetjening (2.1.1)Elementer som kun kan betjenes med musFull tastaturtilgjengelighet: All funksjonalitet må være tilgjengelig kun via tastatur (Tab, Enter, Space).
Tastaturfokus (2.4.7)Manglende visuell fokusindikatorTydelig fokusindikator: Synlig indikator (ramme eller fargeendring) rundt elementet med tastaturfokus.
Tilstrekkelig tid (2.2.1)Tidsbegrensede funksjonerJusterbare tidsfrister: Gi brukeren mulighet til å forlenge, slå av eller justere fristen.
Navigasjon og orientering (2.4.1, 2.4.4, 2.4.6)Forvirrende navigasjon og uklare lenkerHopp til innhold: Inkluder en «Hopp til hovedinnhold»-lenke. Lenketekster må være beskrivende.

9. U – Forståelig

Formelt kravKonkret utfordringGod løsning
Leselighet (3.1.1, 3.1.2)Manglende språkinformasjon i kodenAngi språk: Definer hovedspråket i koden (lang="nb"). For tekstpassasjer på annet språk, angi dette spesifikt.
Forutsigbarhet (3.2.1, 3.2.2)Uventede endringer ved fokus eller inputIngen plutselige endringer: Sørg for at det ikke skjer vesentlige endringer automatisk når et element får fokus. Bruk konsistent navigasjon.
Hjelp til input (3.3.1, 3.3.3)Vanskelige skjemaer og manglende feilmeldingerTydelige feilmeldinger: Identifiser inntastingsfeil tydelig i tekstformat. Foreslå korrektur der feilen er kjent.

10. R – Robust

Formelt kravKonkret utfordringGod løsning
Kompatibilitet (4.1.1, 4.1.2)Feil i koden og ukjent innhold for hjelpemidlerKorrekt og gyldig kode: Bruk ren, gyldig HTML og CSS. Bruk WAI-ARIA der standard HTML ikke strekker til.

11. Universell utforming som del av internkontrollen

Dette er det punktet som skiller virksomheter med papir-etterlevelse fra virksomheter med reell etterlevelse. UU-kravene gjelder uansett – men uten forankring i internkontrollsystemet vil etterlevelsen være tilfeldig og avhengig av enkeltpersoner.

Internkontrollforskriften § 5 stiller krav om at virksomheten skal ha systematikk, dokumentasjon og kontinuerlig forbedring i sitt arbeid med lover og forskrifter som regulerer helse, miljø, sikkerhet – og i utvidet forstand, andre lovpålagte styringskrav som UU. Konkret betyr dette:

Roller og ansvar

  • Daglig leder har det overordnede ansvaret for at virksomheten oppfyller UU-kravene, på linje med andre lovpålagte styringskrav.
  • Internkontrollansvarlig bør ha UU som del av sitt forvaltningsansvar – kartlegging, oppfølging og avviksbehandling.
  • Webredaktør / produkteier har det operative ansvaret for at konkrete løsninger oppfyller WCAG-kravene.
  • Innkjøper har ansvar for at krav til UU stilles i anbud og leverandøravtaler.

Periodisk kontroll og revisjon

UU er ikke et engangsarbeid. Forankringen i internkontrollen krever at det er definert hvor ofte løsningene testes, hvem som gjør det, og hvordan resultater dokumenteres. Anbefalt frekvens:

  • Automatisk testing: ved hver publisering/utrulling.
  • Manuell stikkprøvekontroll: kvartalsvis.
  • Full revisjon med ekstern eller intern fagperson: årlig.

Avvikshåndtering

UU-avvik skal behandles i samme avvikssystem som andre internkontrollavvik. Det betyr at avvik registreres, klassifiseres etter alvorlighetsgrad, tildeles ansvarlig, gis frist for retting og lukkes formelt med dokumentasjon. Når UU-arbeidet kobles til virksomhetens øvrige avvikssystem, blir tilsynsdokumentasjon en biprodukt – ikke en ekstra arbeidsoppgave.

Kobling til styringssystemet

UU bør være beskrevet som et eget område i virksomhetens styrende dokumenter, på linje med personvern, informasjonssikkerhet og HMS. En typisk struktur:

  • Policy/instruks for universell utforming.
  • Rutine for testing og dokumentasjon.
  • Sjekkliste/kontrolldokument før publisering.
  • Rutine for avviksbehandling.
  • Plan for kompetansebygging hos redaktører og utviklere.

12. Tilgjengelighetserklæring i praksis

Viktig avgrensning

Plikten til å publisere tilgjengelighetserklæring gjelder per mai 2026 kun for offentlige virksomheter. Private virksomheter har ingen lovpålagt erklæringsplikt. Når EAA blir innført i Norge, vil dette endre seg for et utvalg private aktører, men inntil da er erklæringen for private en frivillig god praksis – ikke et lovkrav.

For offentlige virksomheter er erklæringen obligatorisk og skal lages via den nasjonale løsningen på uustatus.no. Erklæringen tjener tre formål:

1. Lovpålagt plikt og dokumentasjon

Sikrer at personer med nedsatt funksjonsevne får informasjon om hvilke deler av løsningen som er tilgjengelig, hvilke som har mangler, og hva virksomheten gjør med det.

2. Styringsverktøy og forbedringslogg

Når erklæringen tas på alvor som styringsverktøy, fungerer den som en kontinuerlig forbedringslogg: avvik som identifiseres føres inn med tidsplan for retting, og oppdateres ved gjennomgang.

3. Dokumentasjon ved tilsyn

Erklæringen er tilsynets førstesjekk. En grundig, ærlig erklæring viser modenhet og samarbeidsvilje. En mangelfull eller usann erklæring gir motsatt signal.

Hva som må inngå i erklæringen

  • Hvor full samsvar foreligger, delvis samsvar, eller manglende samsvar.
  • Konkret beskrivelse av kjente brudd, med henvisning til suksesskriterium.
  • Begrunnelse for unntak (uforholdsmessig byrde) der det påberopes.
  • Tilbakemeldingsfunksjon: brukere må kunne melde feil og få svar.
  • Dato for siste vurdering og hvem som har utført den.

Typiske feil i tilgjengelighetserklæringer

  • «Alt er i samsvar» uten dokumentert testing.
  • Manglende rutine for å behandle innkomne tilbakemeldinger.
  • Erklæring som ikke oppdateres ved endringer.
  • Vage formuleringer uten konkret kobling til suksesskriterier.

13. Testing og dokumentasjon – revisjonsvennlig

For at virksomheten skal kunne vise at den har «testet» – ikke bare påstå det – må følgende dokumenteres:

Hva som må dokumenteresEksempel
Hvilke verktøy er bruktWAVE, Axe DevTools, Lighthouse, Siteimprove, manuell skjermlesertest med NVDA eller VoiceOver
Hvilke sider/funksjoner ble testetForside, kontaktskjema, søkefunksjon, betalingsflyt, innloggingsside
Mot hvilken standardWCAG 2.0 AA / WCAG 2.1 AA
Dato og ansvarligTester (navn, rolle), dato, hvilken versjon av løsningen
Funn og tiltakListe over avvik, kategorisering, frister, status (åpen/lukket)

Engangstesting vs. kontinuerlig kontroll

En vanlig misforståelse er at «vi har testet siden, så vi er ferdige». UU-testing må kobles til endring:

  • Ved publisering eller endring: Automatisk test som del av publiseringsrutinen, supplert med manuell stikkprøve.
  • Periodisk full gjennomgang: Minst én gang per år for nettsteder, oftere for kritiske tjenester.
  • Brukertesting: Tester med personer som faktisk bruker hjelpemidler. Dette fanger problemer som verktøytester ikke avdekker.

14. Typiske avvik i UU-tilsyn

Erfaring fra Tilsynet for universell utforming av IKT viser at de samme avvikene går igjen:

  • Manglende eller mangelfull tilgjengelighetserklæring – særlig hos offentlige virksomheter som har erklæring, men ikke vedlikeholder den.
  • Dårlig kontrast i designmaler – spesielt knapper med hvit tekst på lys bakgrunnsfarge, og lenker uten understrek.
  • Skjema uten korrekt feilhåndtering – feilmeldinger som kun vises som rød tekst (farge alene), eller som ikke leses opp av skjermlesere.
  • Manglende tastaturnavigasjon – modaler, dropdowns og navigasjonsmenyer som krever mus.
  • PDF-er uten struktur – skannede dokumenter eller PDF-er uten taggede overskrifter, alternativ tekst eller leserekkefølge.
  • Manglende språkangivelse i kode – sider uten lang-attributt eller med feil språk.
  • Videoer uten teksting – særlig forhåndsinnspilte videoer i informasjons- eller markedsføringssammenheng.
  • Tredjepartsløsninger uten oppfølging – chatbots, betalingsmoduler eller widgets som virksomheten ikke har testet eller stilt krav til.

Tilsyn og sanksjoner – hva risikerer dere?

Dette er spørsmålet ledere oftest stiller – og som sjelden besvares konkret nok. Tilsynet for universell utforming av IKT er ikke et hypotetisk risikomoment; det er et aktivt tilsynsorgan som åpner saker mot både offentlige og private virksomheter hvert år. Slik fungerer det i praksis:

Hvordan starter en tilsynssak?

InngangPraktisk forklaring
Klage fra bruker Vanligste inngang. En person med funksjonsnedsettelse opplever at en løsning ikke fungerer, og melder det til tilsynet. Klagen utløser undersøkelse.
Egeninitiert tilsyn Tilsynet velger ut sektorer eller virksomheter for systematisk gjennomgang. Eksempler tidligere år: kommuner, banker, offentlige tjenester, e-handel.
Mediedekning Saker som får oppmerksomhet kan utløse tilsynsmyndighetens interesse, særlig hvis flere brukere bekrefter problemer.
Tematiske kontroller Tilsynet kjører tematiske gjennomganger – f.eks. tilgjengelighetserklæringer hos kommuner, eller skjemafunksjonalitet i offentlige tjenester.

Saksgangen i et typisk tilsyn

  1. Varsel om tilsyn. Tilsynet sender brev som forklarer omfanget. Virksomheten får kort frist for å forberede seg.
  2. Innhenting av dokumentasjon. Tilsynet ber om: tilgjengelighetserklæring, testdokumentasjon, ansvarsbeskrivelse, avvikshåndtering, eventuelle DPIA-er.
  3. Teknisk gjennomgang. Tilsynet kjører automatisk og manuell test mot WCAG-kravene. Dette er den faktiske «målingen».
  4. Foreløpig rapport med funn. Virksomheten får anledning til å kommentere – og ofte til å rette enkle feil før vedtak.
  5. Endelig vedtak. Pålegg om retting, eventuelt med tvangsmulkt dersom frister ikke holdes.
  6. Klagebehandling. Vedtak kan klages inn for Klagenemnda for likestilling og diskriminering / Diskrimineringsnemnda (avhengig av sakstype).

Konsekvensskala – hva risikerer dere?

NivåKonkret konsekvensNår brukes det?
1. Veiledning Tilsynet gir råd om hvordan løsningen kan tilpasses kravene. Ingen formell sanksjon. Førstegangsproblem av begrenset omfang, der virksomheten viser samarbeidsvilje.
2. Pålegg om retting Formelt vedtak med konkret frist. Krever dokumentert retting innen frist. Reell mangel på etterlevelse, men virksomheten anses i stand til å rette.
3. Tvangsmulkt Løpende dagbøter inntil retting er gjennomført. Beløpet fastsettes individuelt. Når pålegg ikke etterleves innen frist. Også som forhåndsvarsel ved alvorlige saker.
4. Diskrimineringssak Erstatningsansvar overfor enkeltperson som er diskriminert. Følger av likestillings- og diskrimineringsloven. Når manglende UU har gitt konkret diskriminering av identifiserbar person.
5. Omdømmekonsekvens Offentliggjøring av sak – på tilsynets nettside og ofte i media. Påvirker tillit hos kunder og samarbeidspartnere. Følger ofte med pålegg, særlig i alvorlige saker eller saker som har stor offentlig interesse.
Det praktiske bildet

Den vanligste utgangen av et tilsyn er pålegg om retting med frist. Tvangsmulkt brukes når frister ikke holdes. Det er sjelden en virksomhet får tvangsmulkt ved første tilsyn – men det kan skje ved alvorlige saker eller manglende samarbeidsvilje. Den største praktiske konsekvensen for de fleste virksomheter er likevel ikke selve pålegget, men arbeidet og kostnaden ved å rette omfattende mangler under tidspress. Det blir alltid dyrere å rette enn å bygge riktig fra start.

Hva tilsynet ser etter

Erfarne tilsynsfolk fokuserer på systematikk – ikke perfekt etterlevelse. Det betyr:

  • Har virksomheten en tilgjengelighetserklæring? (Hvis offentlig sektor: må)
  • Er erklæringen ærlig og oppdatert?
  • Finnes dokumentert testpraksis – ikke bare påstand om at det testes?
  • Er det rutiner for å fange opp og rette avvik?
  • Er ansvaret klart definert – på navn?
  • Er det rapportering oppover i organisasjonen?

En virksomhet med dokumentert systematikk og noen tekniske mangler får mildere tilsynsrespons enn en virksomhet med få tekniske mangler men ingen styringsmessig forankring. Dette er den viktigste enkeltinnsikten ledere bør ta med seg.

15. EU Accessibility Act (EAA) – status og hva det betyr

Statusoversikt per mai 2026

EAA trådte i kraft i EU 28. juni 2025. I Norge er innlemmingen i EØS-avtalen forsinket på grunn av EFTA-prosessen. Tilsynet for universell utforming bekrefter at det fortsatt er uklart når EAA blir norsk rett. Likevel: norske virksomheter som leverer produkter eller tjenester til EU-markedet, må allerede forholde seg til EAA-kravene for å kunne operere i EU.

EAA (European Accessibility Act, direktiv 2019/882) er primært et indre marked-direktiv. Formålet er å harmonisere tilgjengelighetskravene for utvalgte produkter og tjenester i hele EU/EØS, slik at brukere med funksjonsnedsettelse får lik tilgang og virksomheter får ett sett krav å forholde seg til.

Hvilke produkter og tjenester EAA omfatter

  • Datamaskinvare og operativsystemer for forbrukere (PC-er, nettbrett, smarttelefoner).
  • Selvbetjeningsterminaler: minibanker, billettmaskiner, betalingsterminaler, innsjekkingsautomater.
  • Forbrukerterminalutstyr knyttet til telefoni og audiovisuelle tjenester.
  • E-handel og nettbutikker.
  • Banktjenester for forbrukere.
  • E-bøker og dedikert programvare.
  • Elektroniske kommunikasjonstjenester.
  • Visse transporttjenester (passasjertransport via fly, tog, buss, båt).

Unntak

  • Mikrobedrifter (under 10 ansatte og under 2 millioner euro i omsetning) er unntatt fra kravene til tjenester.
  • Uforholdsmessig stor byrde kan begrunne unntak fra enkeltkrav.

Hva norske virksomheter bør gjøre nå

  • Selger dere til EU? Da må dere etterleve EAA , uavhengig av norsk ikrafttredelse.
  • Vurder modenhetsnivå. EAA bygger på samme tekniske krav som dagens norske regelverk, men er strengere på dokumentasjon og samsvarserklæring.
  • Følg EN 301 549. Den europeiske harmoniserte standarden gir presumsjon om samsvar med EAA. Ny versjon ventes endelig vedtatt i 2026.

16. Modenhetsnivåer i UU-arbeidet

Hvor moden er din virksomhet på UU? Bruk denne trappen til å vurdere – og til å sette mål for hva neste nivå krever:

  1. Reaktiv etterlevelse. UU håndteres når noen klager, eller når tilsynet melder seg. Ingen systematikk, ingen rutine, ingen dokumentasjon. De fleste virksomheter starter her.
  2. Strukturert oppfølging. Det finnes en rutine for testing, en ansvarlig person, og en form for dokumentasjon. UU er definert som oppgave, men ikke fullt integrert i arbeidsprosesser.
  3. Integrert i design og utvikling. UU er en del av kravspesifikasjon, designprosess og publiseringsrutine. Utviklere har kompetanse, redaktører har sjekklister, og automatisk testing er en del av byggepipelinen.
  4. Del av kvalitets- og styringssystemet. UU-arbeidet er forankret i internkontrollsystemet med policy, rutiner, avviksbehandling, periodisk revisjon og rapportering til ledelsen. Tilsynsdokumentasjon er et biprodukt av det daglige arbeidet, ikke en ekstra oppgave.

Forskjellen mellom nivå 3 og 4 er styringssystemet. Det er på dette nivået UU slutter å være «en jobb for IT» og blir «en del av virksomhetsstyringen» – med rapportering oppover, prioritering på linje med andre lovpålagte krav, og budsjett som reflekterer reell ressursinnsats.

Avsluttende vurdering

Universell utforming av IKT er et felt der det rettslige bildet er fragmentert – ulike standarder for offentlig og privat sektor, ulike WCAG-versjoner, og et EU-direktiv (EAA) som er i kraft i EU men ennå ikke i Norge. Dette gjør det krevende for ledere å vite akkurat hva som gjelder, og enda vanskeligere å vite hva som kreves for å være på trygg grunn.

Likevel er kjernen enkel: WCAG 2.0/2.1 AA er minstekravet. Forankring i internkontrollsystemet er nøkkelen til varig etterlevelse. Tilgjengelighetserklæring er obligatorisk for offentlige virksomheter, frivillig god praksis for private. EAA gjelder allerede for de som har kunder i EU.

De virksomhetene som lykkes best, er ikke de som starter med å lese WCAG fra ende til annen – men de som først får på plass en styringsmessig forankring: hvem har ansvaret, hvor ofte testes løsningene, hvordan dokumenteres det, og hvor havner avvikene? Når dette rammeverket er på plass, blir det tekniske arbeidet håndterbart og varig.

Forbehold: Denne artikkelen gir en generell fremstilling av regelverket per mai 2026. Konkret rådgivning forutsetter individuell vurdering. Ved tvil – kontakt Tilsynet for universell utforming av IKT eller juridisk rådgiver.

Ofte stilte spørsmål om universell utforming av IKT

Hvilken WCAG-versjon må min virksomhet følge?

Hvis virksomheten er privat og retter seg mot allmennheten i Norge: WCAG 2.0 nivå A og AA, med unntak for synstolking. Hvis virksomheten er offentlig: WCAG 2.1 nivå A og AA, etter Webdirektivet (WAD). WCAG 2.2 er ikke pålagt i norsk rett per mai 2026, men anbefales brukt i nye løsninger.

Må private virksomheter ha tilgjengelighetserklæring?

Nei, ikke per mai 2026. Tilgjengelighetserklæring er obligatorisk kun for offentlige virksomheter, og skal lages via uustatus.no. Private virksomheter kan likevel ha en frivillig erklæring som god praksis – men selve UU-kravene gjelder uansett. Når EAA blir innført i Norge, vil dette endre seg for et utvalg private aktører.

Hva er forskjellen på WCAG nivå A, AA og AAA?

Nivå A er minimumskrav. Nivå AA er det norske lovkravet og det nivået tilsynet kontrollerer mot. Nivå AAA er det strengeste nivået, men er ikke lovpålagt – det anbefales for kritiske tjenester der konsekvensene av utestenging er særlig alvorlige (helse, sosiale tjenester, demokratiske prosesser).

Hvor ofte må vi teste løsningene våre?

Anbefalt frekvens: automatisk testing ved hver publisering/utrulling, manuell stikkprøvekontroll kvartalsvis, og full revisjon med fagperson årlig. UU-testing må kobles til endring – ny funksjonalitet, redesign eller større innholdsoppdateringer utløser krav om ny testing av berørte deler.

Hva er sammenhengen mellom UU og internkontrollforskriften?

Internkontrollforskriften § 5 stiller krav om systematikk, dokumentasjon og kontinuerlig forbedring. UU er et lovpålagt styringskrav som naturlig hører hjemme i internkontrollsystemet på linje med personvern, informasjonssikkerhet og HMS. Forankring her er det som skiller papir-etterlevelse fra reell etterlevelse.

Gjelder EAA for min virksomhet?

EAA er per mai 2026 ikke i kraft i Norge, men det er i kraft i EU fra 28. juni 2025. Hvis virksomheten din selger produkter eller tjenester til kunder i EU – f.eks. e-handel, banktjenester, e-bøker, smarttelefoner – må dere allerede etterleve EAA for å kunne operere i EU-markedet. Mikrobedrifter (under 10 ansatte og under 2 mill. euro) er unntatt fra deler av kravene.

Hva skjer hvis vi ikke etterlever UU-kravene?

Tilsynet for universell utforming av IKT kan gi pålegg om retting og ilegge tvangsmulkt. Sanksjoner kommer som regel etter en tilsynssak der virksomheten har fått frist til å rette mangler. Mer alvorlig kan brudd også gi grunnlag for diskrimineringssak etter likestillings- og diskrimineringsloven.

Hvem har ansvaret for UU i en virksomhet?

Daglig leder har det overordnede ansvaret. Internkontrollansvarlig bør ha UU som del av sitt forvaltningsansvar. Webredaktører og produkteiere har det operative ansvaret. Innkjøpere har ansvar for å stille UU-krav i anbud. Forankring i styringssystemet sikrer at ansvaret ikke faller mellom stoler.

Hvilke verktøy bør vi bruke for UU-testing?

Automatiske verktøy: WAVE, Axe DevTools, Lighthouse og Siteimprove. Disse fanger ca. 30–40 % av reelle UU-feil. Manuell testing med skjermleser (NVDA på Windows, VoiceOver på Mac/iOS) er nødvendig i tillegg. Brukertesting med personer som faktisk bruker hjelpemidler avdekker problemer ingen automatiske verktøy ser.

Hvordan starter vi UU-arbeidet hvis vi ikke har gjort noe før?

Tre skritt: (1) Kartlegg dagens situasjon – kjør automatisk test på de viktigste sidene. (2) Forankre ansvar – hvem eier UU i virksomheten? (3) Lag en handlingsplan med prioritering: kritiske brudd først (tastaturnavigasjon, kontrast, alt-tekster), deretter strukturelle forbedringer. Bygg samtidig opp rutiner i internkontrollsystemet.

Om forfatterne

Svein Roar Holt – grunnlegger av Internkontroll AS og skaper av IS-modellen™
Svein Roar Holt Grunnlegger – Internkontroll AS & Internkontrollportalen.no

Skaper av IS-modellen™ og AvvikStandard™. Ekspert på strategisk virksomhetsstyring, governance og instruksbasert internkontroll. Har bygget Norges ledende digitale GRC-plattform for SMB og offentlig sektor.


Maria Zahlsen – grunnlegger av Internkontroll AS, jurist med arbeidsrett og forretningsjuss
Maria Zahlsen Grunnlegger – Internkontroll AS & Internkontrollportalen.no

Jurist med spesialisering innen arbeidsrett, kontraktsrett og forretningsjuss. Ekspert på operativ etterlevelse, HR-juss og organisatorisk risikostyring – med særlig fokus på menneskelig faktor og praktisk implementering av styringsverktøy.

Universell utforming av IKT-løsninger – tilgjengelighet for alle brukere
Universell utforming handler om at digitale tjenester fungerer for alle – uavhengig av funksjonsevne

HMS-Tilsyn™ PRO

Forbered virksomheten på tilsyn – også fra Tilsynet for universell utforming. Strukturer dokumentasjon og avvikslogg.

Test verktøyet →

Trenger du rådgivning?

Vi hjelper deg med virksomhetsstyring, internkontroll, HMS og GDPR.

Ta kontakt med oss →
Skroll til toppen