I maj 2018 träder EU:s nya dataskyddsförordning, GDPR, i kraft. Den kommer att ställa helt andra krav på hur information behandlas, lagras och säkras ute på företagen och myndigheterna. Och framför allt: Den som bryter mot förordningen kan komma att straffas hårt – med bötesbelopp på upp till fyra procent av årsomsättningen (och då pratar vi om koncernens omsättning).

Blotta tanken på en sådan bot kan naturligtvis ge vilken vd som helst kalla kårar, men förutom detta så innebär den nya förordningen också att det skapas helt andra affärsmöjligheter för leverantörer som är inriktade på att säkra information.

– Gör man fel här kan det gå illa, det är enorma pengar vi talar om, säger Christer Magnusson, som är säkerhetsexpert och docent i data- och systemvetenskap vid Stockholms universitet. Och det är klart att om ett företag har en it-säkerhetslösning som kan rädda fyra procent av omsättningen så ligger man bra till.

Läs också: EU:s nya regler påverkar alla företag – det här är vad du måste veta

Är branschen på tå inför detta?
– Det får man hoppas, för det är en utomordentlig chans. Samtidigt ställer det en hel del krav på att man förstår kunden och kan prata med dem. Grundläggande är att företag som jobbar mot konsumenter är mer exponerade mot det här än de som arbetar med företagsförsäljning.

I synnerhet påverkas företag med stor onlineverksamhet, men också till exempel mediebolag, som sitter på många uppgifter om sina användare.

Flera it-säkerhetsleverantörer laddar inför dataskyddsförordningen. De fungerar både som rådgivare och säljer produkter som är certifierade gentemot den nya förordningen.

Det finns till och med företag som startat upp enkom inför denna. Ett exempel är serieentreprenören Anders Jonson senaste företag SecureMailbox, som utvecklar molnbaserade tjänster för säker e-post och för appar.

Han skräder inte orden om dataskyddsförordningens betydelse.

– Det är det största som hänt sedan internet kom. Den innebär ett maktskifte när det gäller informationsägande. Nu måste företagen ta ansvar för kundens data, de måste kunna ”deleta” kunden, göra data portabel och framför allt skydda informationen under hela dess livscykel.

– Vi har byggt en plattform som hjälper personer att ha tvärkoll på sina data och som är certifierad mot GDPR.

SecureMailbox startade upp för fem år sedan. Enligt Anders Jonson har de dubblat omsättningen varje år sedan starten, och förra året omsatte de åtta miljoner kronor.

Läs också: EU:s nya datalagar är klara – miljardböter för it-företag som missköter sig

– Det kommer att gå ännu fortare nu när vi närmar oss införandet. Vi ser extremt ljust på framtiden, säger han.

Ytterligare ett företag som positionerat sig inför dataskyddsförordningen hittar vi i Lund. Advenica har sina rötter i att sälja informationssäkerhetslösningar till Försvaret, men för ett par år sedan tog de beslutet att bredda kundbasen till att också omfatta energi- och transportbolag. Vd:n Einar Lindquist säger att han märkt en markant ökning av intresset för de här frågorna som en följd av att införandet av dataskyddsförordningens närmar sig.

– Så är det absolut. Det här innebär massor av nya affärsmöjligheter. De som arbetar inom kritisk infrastruktur är medvetna om det här och har varit det under en längre tid. Men i många branscher vet de inte riktigt hur de ska handskas med det här. Där får vi frågor i stort sett dagligen numera.

– Exakt hur stor den här marknaden blir är svårt att säga, men det rör sig om många miljarder.

Fakta

Dataskyddsförordningen ersätter Personuppgiftslagen och träder i kraft i maj 2018. Här är de sex största förändringarna:

  1. Strängare krav på företag och myndigheter att informera om varför de behandlar personuppgifter, vilka de uppgifterna är och hur de hanteras.
  2. Behandlingen får bara ske i samtycke och uppgifterna får inte användas för något annat är vad individen gett sitt samtycke till.
  3. Företag och myndigheter måste kunna visa hur de hanterar uppgifterna på ett säkert och korrekt sätt. Det räcker inte att säga att de har rutiner, de måste kunna visa att de följs – till exempel kan det betyda att de snabbt måste kunna lämna ut registerutdrag. Företagen måste kunna göra en integritetsanalys. 
  4. Positionen personuppgiftsansvarig förändras. Varje företag/myndighet måste ha en dataskyddschef, data protection officer. Personen har större ansvar och fler skyldigheter än tidigare. Vissa företag behöver personuppgiftsombud, när det handlar om särskilt riskfylld personuppgiftshantering. Det är fortfarande oklart vilka som omfattas av det kravet. 
  5. Dataskydd som standard – känsliga data ska alltid krypteras. Detta kallas också privacy by default.
  6. Datainspektionen kan utfärda böter, administrativa sanktioner, till företag och myndigheter som inte sköter sig. Det kan bli dyrt, upp till fyra procent av organisationens omsättning. Eller 20 miljoner euro om organisationen inte är ett företag.