Den årlige Pwn2Own-konkurransen ble denne uken arrangert at HPs Zero Day Initiative (ZDI) under CanSecWest-konferansen i Vancouver, Canada. Konkurransen dreier seg om å utnytte til nå ukjente sårbarheter i helt oppdaterte nettlesere. Men også flere andre programvareprodukter viste seg å ha sprekker under konkurransen.

En stadig tilbakevendende deltaker er det franske sikkerhetsselskapet VUPEN. I løpet av onsdagen demonstrerte selskapet sårbarheter i Firefox og Internet Explorer, men også i Adobe Reader og Flash. Samtlige sårbarheter åpner for kjøring av vilkårlig kode. VUPEN er forøvrig kjent for å selge sårbarheter til blant annet NSA.

Også Jüri Aedla demonstrerte en tilsvarende alvorlig sårbarhet i Firefox, mens Mariusz Mlynski utnyttet to sårbarheter i Firefox. Den første åpnet for eskalering av privilegier internt i nettleseren, mens den andre sårbarheten gjorde de mulig å omgå nettleserens sikkerhetstiltak.

Til sammen ble det det delt ut 400 000 dollar denne første dagen av Pwn2Own-konkurransen.

Onsdag ble også Pwn4Fun arrangert. Dette var et veldedig arrangement hvor ZDI skulle konkurrere mot Google om å utnytte sårbarheter i nettlesere eller Flash. Google demonstrerte utnyttelsen av en sårbarhet i Safari som fikk Calculator til å kjøre som root i OS X. ZDI demonstrerte en flertrinns angrepskode mot Internet Explorer. Denne var blant annet i stand til å omgå nettleserens sikkerhetssandkasse og laste Scientific Calculator som kjørte med middels integritet. Premien i konkurransen, til sammen 82 500 dollar, gikk til Røde Kors i Canada.

Også Googles egen Pwnium 4-konkurranse ble arrangert på onsdag. Målet i denne konkurransen er å finne og utnytte sårbarheter i Chrome OS. Premiepotten var på 2,71828 (e) millioner dollar, men den maksimale enkeltpremien var på 150 000 dollar. Ifølge Google var det denne gang bare én deltaker som greide å gjennomføre et angrep i henhold til kravet: «compromise with device persistence: guest to guest with interim reboot, delivered via a web page».

Dag 2
Laget til VUPEN var også med under dag to av konkurransen og greide å utnytte en «use-after-free»-sårbarhet i Chrome som finnes i både Blink- og WebKit-motorene. Denne ble kombinert med en omgåelse av sandkassen og resulterte i kjøring av vilkårlig kode.

Chrome ble også knekket av en anonym deltaker ved hjelp av en vilkårlig lese-/skrive-feil og en omgåelse av sandkassen. Og her var resultatet kjøring av vilkårlig kode. Dommerne i konkurransen dog erklært dette som bare en delvis seier fordi en av sårbarhetene som ble benyttet, allerede var blitt demonstrert i Pwnium-konkurransen.

Sebastian Apelt og Andreas Schmidt utnyttet to «use-after-free»-sårbarheter i Internet Explorer og en feil i Windows-kjernen for å laste kalkulatoren i Windows.

Liang Chen fra Keen Team demonstrerte en overflytsfeil i heap-en til Apple Safari, som sammen med en omgåelse av sandkassen i resulterte i kjøring av vilkårlig kode.

Sammen med Zeguang Zhou fra team509 demonstrerte Chen også en lignende sårbarhet i Adobe Flash.

George Hotz knekket Firefox ved å overskrive visse lese/skrive-grenser i nettleseren, noe som også resulterte i kjøring av vilkårlig kode.

Dermed ble alle de fire mest brukte pc-nettleserne knekket. Opera har i alle fall i de fem siste årene ikke fått være med i konkurransen.

Det ser så langt ikke ut til at noen av nettleserleverandørene har kommet med sikkerhetsoppdateringer som fjerner sårbarheten som ble utnyttet i konkurransene.

Til den relativt beskjedent spesifiserte Galaxy Core Advance-telefonen fra Samsung, har selskapet nå lansert tre typer tilbehør som skal hjelpe blinde og svaksynte i hverdagen.

Den første enheten, «The Ultrasonic Cover», er et deksel man plasserer telefonen i, og som gjør at telefonen deretter fungerer som en slags radar ved at den vibrerer når en person eller et objekt er mindre enn to meter unna telefonen; altså med et funksjonsområde ikke veldig ulikt en hvit stokk.

Et nytt optisk skannestativ gjør at man kan legge telefonen oppå og et ark under, hvorpå OCR-programvare oppdager når arket er på plass og deretter konverterer skrevet tekst til tale ut av høyttaleren på telefonen. Dette skal skje automatisk uten at brukeren trenger å starte nødvendig programvare.

Den siste er et NFC-klistremerke som brukere kan ta opp lyd og knytte lydopptaket til. Dermed kan man senere holde telefonen inntil NFC-klistremerket og få telefonen til å spille av lydopptaket.

Galaxy Core Advance-telefonen er ikke tilgjengelig i norske butikker, men ser ut til å være på vei til enkelte nettbutikker i løpet av måneden. Telefonen har en 800×480-skjerm på 4,7 tommer, dobbeltkjerneprosessor på 1,2 gigahertz, én gigabyte arbeidsminne og internminne på åtte gigabyte.

DEBATT: Ved de ulike universitetene, forskningsinstitusjonene og inkubatormiljøene er det et stort potensial for å kommersialisere flere prosjekter og skape nye vekstbedrifter.

En stor utfordring knyttet til forretningsutviklingen, er tilgangen til tidligfasekapital, både såkornkapital og spesielt i fasen før selskapene klarer å trekke til seg såkorninvestorer. Nok og riktig kapital må komme inn på de rette prosjektene til rett tid.

I innlegget «Inkubatorer – vekstmaskin eller varmestue?» skrevet av Christoffer Hernæs 21. november 2013, ble det diskutert hvordan fordelingen av ekstra midler kan skje. Om «investeringer direkte til hver inkubator vil være en god løsning på mangelen på tidligfase-investeringer, eller om dette kun vil øke den allerede høye kompleksiteten». Det har også vært godt kjent at det har vært mangel på såkornkapital i Norge, noe som det også har blitt skrevet om i et tidligere blogginnlegg av Hernæs i 2012. Da var det få statlige såkornfond, og det så ut til at ansvaret ville bli overlatt til markedet alene.

Det har nå kommet to nye såkornfond som er styrt av ProVenture og Alliance. ProVenture skal forvalte 500 millioner kroner innen olje og gass og energi, og Alliance skal forvalte 500 millioner kroner rettet mot IKT-næringen. Fordelingen blir 50/50 mellom private investorer og staten, der det skal investeres i unge innovative bedrifter med internasjonalt vekstpotensial.

Fondene kan gjennomføre sine første investeringer når forvalterne har reist den nødvendige private kapitalen. Ifølge Innovasjon Norge vil trolig de nye fondene være operative innen sommeren 2014. SINTEF har også opprettet et nytt fond, Sinvent Venture IV, på 209 millioner kroner der kapitalinnskuddet gjøres av SINTEF, Sparebank1 SMN og Det europeiske investeringsfondet (EIF).

Hvis vi tar en titt på bransjene som blir tiltenkt såkornkapital, er det spesielt én bransje som også burde vært sterkere med. For helseindustrien er det fremdeles såkorn-tørke.

Kreftforeningen vil investere 75 millioner kroner over fem år i forskningsbaserte oppstartsselskaper innenfor kreftområdet, men med tanke på utfordringer samfunnet har med den kommende eldrebølgen og økende grad av livsstilsykdommer, burde helseindustrien og spesielt teknologi rettet mot denne bransjen, ha et eget såkornfond.

I Core Groups siste bransjeanalyse innen forbrukerprogramvare, ble det spesielt sett på de globale økosystemene Facebook, Apple, Google og Microsoft og deres oppkjøpsstrategier. Det ble konkludert med at det er et lavt aktivitetsnivå i privat helse og læring, og av de store posisjonerer Microsoft seg innen helse-IT gjennom oppkjøp. Bransjene Privat helse og Læring er i tidligfase og er et spennende område med stort potensial for vekst.

Da blir det spennende å se om det vil bli satset på helseindustrien på samme nivå som det blir satset på olje, gass og energi?

Brussel (NTB): EU er et skritt nærmere en felles standard på mobilladere i Europa.

Felles ladere kan bli en realitet i Europa fra 2017 etter at EU-parlamentet stemte for en ny lovpakke torsdag.

EUs medlemsland har uformelt sluttet seg til tiltaket, som betyr at mobilprodusenter som Apple og Samsung må utvikle en lader som kan brukes på alle nye mobiltelefoner.

Initiativet stammer fra 2009 og har gått en lang vei gjennom EU-systemet. Produsentene har i utgangspunktet sagt seg villige til å samarbeide.

– Dette er svært gode nyheter for borgerne og miljøet, sier EUs industrikommissær Antonio Tajani.

Forkjemperne mener forbrukene vil spares for mye ergrelse og miljøet for tonnevis med elektronisk søppel, men motstandere innen industrien mener det vil gi europeerne tilgang til færre nye produkter. (©NTB)

I går fattet EU-parlamentet sitt endelige vedtak om EUs nye personvernforordning. Vedtaket innebærer at alle EU- og EØS-land ligger an til å få felles personvernlovgivning innen utgangen av 2014. Siden det dreier seg om en forordning og ikke et direktiv, er det ikke adgang for landenes nasjonalforsamlinger å vedta endringer.

Direktør Bjørn Erik Thon i Datatilsynet sier til digi.no at EU-parlamentet ser ut til å ha fattet et godt vedtak.

Det er over to år siden EU-kommisjonen la fram sitt første utkast, og Thon fryktet at amerikanske giganter som Facebook og Google ville lykkes i en varslet omfattende lobbyvirksomhet å presse gjennom endringer i negativ retning. Det har ikke skjedd. Avsløringene de siste månedene om amerikansk elektronisk overvåkning og digital spionasje ser ut til å ha befestet europeiske politikeres ønske om å styrke personvernet.

– Viktige prinsipper som vi fryktet kunne fjernes, er beholdt, sier Thon til digi.no. – Det viktigste er at europeiske personvernregler skal gjelde for alle som bedriver forretnings- og annen virksomhet i Europa. Jeg merker meg uttalelser fra medlemmer av EU-parlamentet som at «business i Europa betyr å følge europeiske regler». Mer komplisert bør det heller ikke være.

Styrker også norsk personvern
Thon mener det vil styrke det norske personvernet når EU-forordningen erstatter den tilårskomne norske personopplysningsloven.

– Et eksempel er prinsippet om at man har rett til å få slette data, man har rett til å bli «glemt». EU-formuleringen er sterkere.

Thon mener formuleringen på dette punktet i vedtaket fra EU-parlamentet også er sterkere enn i det opprinnelige utkastet fra EU-kommisjonen.

– Den innebærer at man også skal få beskjed om hvem ens personopplysninger er delt med. Dette er nytt, også i forhold til personopplysningsloven.

Forordningen lovfester to prinsipper som Datatilsynet har konsekvent forfektet i alle år: Personvern skal bygges inn i tjenester og produkter fra bunnen av, og skal leveres med sterk personvern som forhåndsvalg.

Ny praksis i sosiale medier
– I praksis betyr dette at du må velge bort personvern for å bli med på et sosialt medium. Og når et sosialt medium kommer med noe nytt, må det innhente samtykke for det nye. I dag sier Facebook at det holder å informere brukeren. EU-forordningen innebærer at Facebook må endre praksis: De kan ikke nøye seg med å informere, de må også innhente samtykke før en endring med personvernfølger iverksettes for brukeren. Dette kommer til å styrke selvbestemmelsen i sosiale medier.

– Blant de mindre uoverensstemmelsene som parlamentet og kommisjonen må avklare, er bøtenivået. EU-kommisjonen gikk inn for bøter på opptil 2 prosent av den globale årsomsetningen for selskaper som ikke føyer seg, mens EU-parlamentet vedtok 5 prosent. Hva synes du om det?

– Man kommer uansett opp på et bøtenivå i en helt annen skala enn det vi bruker i Norge. I Datatilsynet mener vi at hovedmåten å håndheve regelverket på skal ikke være bøter. Men bøter innebærer en mulighet til å legge press, og adgangen til å skrive ut bøter er positivt. Det viktigste her er det klare signalet som sendes om hvor alvorlig det er å bryte personvernet.

Vedtakene i kommisjonen og parlamentet signaliserer EUs ønske om å gjøre håndhevingen av personvernforordningen så effektiv som mulig. Thon er likevel redd for unødvendig byråkrati.

– Det ser ut til at EU-kommisjonen har gitt seg selv svært mye makt for å gripe inn i prosesser. Motivet for dette er å sikre enhetlig håndheving i alle medlemsland. Flere faktorer kan gjøre dette vanskelig. Det er store kulturelle forskjeller i synet på personvern, for eksempel mellom land som Norge, Hellas og Portugal. Det er også huller i forordningen, for eksempel rundt personvern i arbeidslivet.

Datatilsynet må i tiden framover gå gjennom norske regler og veiledninger, og bygge opp ny praksis på områder som retten til å bli glemt, sier Thon.

– Det er mye vi nå må studere nøye for å få en endelig oversikt. Samtidig vil mange regler og databehandleravtaler ligge fast. De viktigste endringene dreier seg om saker som må gå gjennom flere land. Amerikanske selskaper vil opplagt måtte endre praksis: Innebygget personvern, rett til å bli glemt, personvern som standardinnstilling, krav som samtykke og tilgang til egne data er prinsipper de vil måtte forholde seg til, uavhengig av hvilket europeisk land de driver i.

I HTML-dokumenter kan man enkelt importere stilsett, JavaScript, bilder, video og en hel del annet. Derimot er langt verre å importere HTML-innhold på en skikkelig måte. Man kan riktignok bruke iframe eller Ajax-metoder, men ikke uten betydelige ulemper.

Samtidig kan det være nyttig å gjenbruke HTML i ett dokument på tvers av og gjerne på flere steder i et annet dokument, omtrent som med et bibliotek med klasser eller funksjoner for et programmeringsspråk. Man kan få hjelp av et malverktøy på serversiden, men heller ikke det er tilstrekkelig fleksibelt i alle tilfeller. Derfor benyttes overnevnte metoder, mens stilsett og skript gjerne importeres med link- eller script-tagger.

Dette er bakgrunnen for et forslag til en ny W3C-standard, HTML Imports.

I HTML Imports kan man oppgi i head-delen av av HTML-dokument oppgi hvilke HTML-filer som skal importeres ved hjelp av en link-tagg som dette:

I vårt tilfelle seg importdoc.html slik ut:

Det å lekke til link-taggen i head fører bare til at den importerte files blir lest av nettleseren. Foreløpig vises ikke innholdet på websiden. Det krever i hvert tilfelle noen linjer med JavaScript, men dette gir også mulighet til inkludere bare deler av den importerte filen, dersom man ønsker dette. Koden nedenfor viser hvordan man velger «div1» i filen over.

Kodeeksempelet et en forenkling av et eksempel og en grundigere gjennomgang hos HTML5 Rocks.

En vesentlig egenskap ved importeringen er selvfølgelig muligheten til å bruke vanlige DOM-programmeringsgrensesnitt til å manipulere det importerte innholdet.

Det går ikke så klart fram av spesifikasjonsutkastet, men ifølge HTML5 Rocks-artikkelen kreves det at dokumenter som importeres fra andre domener, må være CORS-aktiverte (Cross-Origin Resource Sharing). CORS ble gjort til en offisiell W3C-standard i januar i år.

Spesifikasjonsutkastet for HTML Imports er skrevet av ansatte i Google. Google Chrome en stund hatt eksperimentell støtte for HTML Imports, men dette er i utgangspunktet deaktivert i den stabile utgaven, det vil si Chrome 33. Det er dog mulig å aktivere støtten via chrome://flags-siden – finn bryteren ved å søke på siden etter «import».

Det er allerede mulig å ta i bruk denne teknikken, også i andre nettlesere enn Chrome. Men det innebærer bruk av Polymer-biblioteket.

I april begynner flyselskapet United Airlines utrullingen av en ny underholdningstjeneste ombord på flyet. Den lar passasjerene boltre seg fritt blant over 150 spillefilmer og nesten 200 ulike tv-programmer på sin egen medbragte enhet – uten ekstra kostnad.

I første omgang er det iOS-enheter og bærbare PC-er som får tilgang til denne underholdningskanalen. Dette løses ved at hvert fly har installert en mediaserver med tilhørende trådløst nett, hvorpå passasjerene kobler seg til og kan strømme filmer og TV-serier direkte til sin egen enhet.

På iOS foregår dette via United Airlines-appen (som også kan lastes ned ombord om man ikke har den fra før), mens man på en PC får tilgang til tjenesten gjennom nettleseren. En Android-utgave forventes også å være på trappene.

Som passasjer står man fritt til å spole, pause, bytte program og så videre. Tjenesten rulles først ut Airbus A319/A320 og Boeing 747-400/777-200-flyene, med en målsetting at alle innenlands flyruter i USA skal ha systemet installert i løpet av året.

Harvard-sykehuset Beth Israel Deaconess Medical Center i Boston, USA er begeistret for mulighetene Googles teknologibrille gir dem.

De har utviklet en prototyp som lar legene identifisere pasienten bare ved å glane på en unik QR-kode hengt opp på veggen ved hver sengepost.

Epikrisen kommer opp i sanntid rett på brilleskjermen. Det gjør også eventuelle røntgenbilder, testresultater og andre data om vedkommende. Samtidig har legen hendene frie til å undersøke eller behandle pasienten.

I realiteten dreier det seg om en modifisert eller hacket utgave av Google Glass koblet mot sykehusets digitale journalsystem.

Helseopplysninger er av natur svært følsomme. Løsningen skal være utviklet slik at ingen data flyter utenfor sykehusets egen brannmur.

– Vi erstattet alle programvarekomponenter i enheten, slik at ingen data sendes til Googles servere, skriver doktor John Halamka som også er IT-sjef ved sykehuset i et blogginnlegg.

Modifiseringene de har gjort av brillen fremstår som ganske betydelige. Det omfatter blant annet ekstra batterikapasitet, økt signalstyrke for WiFi-samband, paring av enheten mot iPhone, og muligheten for å scrolle skjermbilder ved å tilte hodet bakover, noe man normalt gjør på Google Glass ved å stryke med fingeren på den berøringsfølsomme brillearmen/innfatningen.

Foruten å utstyre brillen med egen programvare og grensesnitt har de også utviklet mulighet for å ta diktat som kan deles med kolleger i sanntid.

Etter en vellykket pilot de siste tre månedene, er de nå klare til å utvide ordningen til alle legene ved Harvard-sykehuset som ønsker det.

IT-sjefen skriver om noen av erfaringene så langt.

– Pasientene har latt seg fascinere av Glass, og ingen har uttrykk bekymring. I Boston bor det mange teknologikyndige og noen av pasientene har stilt detaljerte spørsmål om teknologien. Så var får første pilot gjort med de orange Google Glass-brillene, som er omtrent like diskrete som en neonfarget jegervest, vanskelig å ikke oppdage.

Det gjelder også det øvrige personalet, bemerker doktor Halamka, som skriver at de reagerte blandet. – De var både nysgjerrige og skeptiske. De som prøvde brillene lot seg straks imponere, skriver han.

Beth Israel Deaconess Medical Center er slett ikke det eneste sykehuset som har begynt å ta i bruk Google Glass i pasientbehandlingen. Det har blant annet Rhode Island Hospital også gjort. De mener nyvinningen er egnet til telemedisin, noe de beskriver nærmere i et videoinnslag som Providence Journal har publisert på Youtube:

Google Glass er enn så lenge ikke formelt lansert, og det er ikke kjent når produktet blir klart for de store massene. Google har til nå solgt en prototyp for 1.500 dollar til spesielt interesserte. Innen lansering og masseproduksjon er det ventet at prisen vil falle markant.

Få også med deg videoinnslaget digi.no laget da Google Norge for første gang demonstrerte enheten for norsk presse.

World Wide Web, weben, fylte 25 år i går. Det ble markert i stor i stil, både hos oss og andre. Men gleden over det hele ble ødelagt av mange kunnskapsløse journalister.

I en rekke artikler, se nedenfor, ble det nemlig hevdet at Tim Berners-Lee er internetts far og at det var internett som fylte 25 år i går. Pussig da at man feiret 30-årsdagen til «det moderne internett» allerede i fjor.

Det er utvilsomt weben som bidro sterkest til å gjøre internett attraktivt for de store massene, men det er direkte pinlig nå journalister, som publiserer sine saker på weben, ikke vet hva dette egentlig er. Det er som om en bussjåfør ikke skulle vite forskjellen mellom bussen og veien han kjører på.

En teori i digi.no-redaksjonen er at journalistene som har skrevet disse sakene, kanskje er for unge til å huske internett uten web – kanskje til og med livet uten internett. Men internett kom til Norge lenge før weben var påtenkt, med flotte tjenester som e-post, Usenet/NNTP (nyhetsgrupper), IRC, FTP og en hel del annet. Dagens unge journalister burde i alle fall ha hørt om e-post.

Senere det kommet til tjenester og produkter som IP-telefoni, lynmeldinger, flerbrukerspill, iTunes, Skype, BitTorrent og en mengde annet, som alle overfører data over internett, men som i utgangspunktet ikke er webbaserte.

En ting som kanskje har bidratt til forvirringen, er den lite presise bruken av sentrale, webrelaterte begreper på norsk. Det som på engelsk heter «web site», kalles på norsk for «nettsted» eller «nettsider». «Web browser» blir kalt for «nettleser», men akkurat det kan kanskje forsvares, siden den også kan brukes til annet enn web, for eksempel til å besøke FTP-servere.

Tidligere ble i det minste en «web page» kalt for en «webside» på norsk, men i de senere år snakker de fleste om en «nettside» i stedet. Den presiserende forstavelsen «web» er i ferd med å forsvinne. Det er trist og fører altså til pinligheter som dette:

Her ble internett født
Dette er internetts første pc
Denne datamaskinen ble brukt til å finne opp Internett
Internettets fader: Vi mangler en grundlov på nettet
Internetfadern vill se rättighetsförklaring

I noen av sakene ser det ut til at det bare er tittelen som er på villspor. I så fall kan det være den eventuelle avisdesken som har skylden. Men dette burde ha blitt rettet til nå.

Nå er det ikke bare her i Skandinavia at har gjort denne tabben. The Register har her en rekke lignende eksempler fra engelskspråklige nettaviser.

Bildet i denne saken ble endret, etter kritikk fra en leser som pekte på at flaggene på det opprinnelige bildet så ut som de sto på halv stang.

EU-parlamentet vedtok onsdag en innstilling om ny personvernforordning for alle landene i EU og EØS. Innstillingen er i all hovedsak sammenfallende med det EU-kommisjonen la fram i januar 2012 (se Slik blir EUs nye personvern).

Direktør Bjørn Erik Thon i Datatilsynet var blant dem som uttrykte frykt for at det EU-kommisjonen la fram ville bli utvannet som følge av lobbyvirksomhet fra amerikanske giganter som Google og Facebook (se Frykter for personvernet i EU).

Nå ser det ut som at skandalen rundt virksomheten til den amerikanske etterretningsorganisasjonen NSA gjorde at denne lobbyvirksomheten ikke nådde fram.

EU-kommisjonen har i hovedsak opprettholdt sitt opprinnelige forslag.

Der det er små uoverensstemmelser mellom kommisjonen og parlamentet, går parlamentet lenger enn kommisjonen i å forsvare personvernet og pålegge strengere straff når personvernet brytes.

EU-parlamentets vedtak er bindende for parlamentet som trer sammen etter valgene til nytt EU-parlament 22. til 25. mai i år. Det skal nå forhandles om de små uoverensstemmelsene mellom kommisjonen og parlamentet. Den endelige teksten vil forelegges EUs ministerråd når EUs justisministre møtes i juni. Etter vedtak i ministerrådet vil personvernforordningen gjøres til gjeldende lov i alle land i EU og EØS, uten behandling i landenes nasjonalforsamling, fra det tidspunktet ministrene blir enige om.

EU-parlamentet vedtok forordningen med overveldende flertall: 621 for, 10 mot, 22 avholdende.

I en annen avstemming ble også det tilhørende direktivet vedtatt, med 371 for, 276 mot og 30 avholdende. Direktivet angir regler for hvordan forordningen skal håndheves, og må følges opp av vedtak i landenes nasjonalforsamlinger.

Når EUs personvernforordning trer i kraft, vil samtlige EU- og EØS-land ha et identisk lovverk for personvern, én lov i stedet for 28. Landenes personvernmyndigheter sidestilles: Bedrifter og organisasjoner behøver bare forholde seg til én myndighet, det vil si ett datatilsyn. EU tror disse forenklingene vil gi en økonomisk gevinst på 2,3 milliarder euro i året.

I motsetning til det som er tilfelle i dag, innebærer personvernforordningen at også ikke-europeiske bedrifter må rette seg etter europeisk personvern når de driver forretningsvirksomhet i et EU- eller EØS-land.

De som ikke retter seg etter loven vil kunne bøtelegges med opptil 2 prosent av sin globale årsomsetning.

EU tror at personvernforordningen vil gi europeiske bedrifter en konkurransefordel på globale markeder, etter hvert som forbrukere verden over blir mer bevisst fordelene i et solid personvern.

Blant prinsippene som personvernforordningen slår fast er at folk skal ha «rett til å glemmes», full tilgang til data om seg selv, og kontroll over hva slags data lagres om dem.

Rett til å glemmes betyr at dersom et individ ikke lenger ønsker at ens persondata skal prosesseres, og det ikke er noe legitimt grunnlag for en instans å holde på dataene, så skal dataene slettes.

Poenget er å gi vanlige brukere makt over sine data. EU forsikrer at det ikke dreier seg om å slette historiske fakta eller begrense pressefriheten.

Kontroll over egne data innebærer at dersom noen ønsker å registrere personlige opplysninger, må det innhentes samtykke i forkant av registreringen. Det innebærer også at man straks skal informeres ved datalekkasje fra et register der ens persondata lagres. Det er et krav fra EU at personvern skal innebygges i alle produkter og tjenester helt fra utviklingen starter. I sosiale medier skal utgangspunktet være strenge personverninnstillinger.

Forordningen innebærer samtidig at personverntiltak graderes etter en bedrifts befatning med personopplysninger. «Bakeren på hjørnet» skal ikke underlegges de samme kontrolltiltakene som et flernasjonalt selskap. Små og mellomstore bedrifter som uforvarende bryter personvernreglene, skal ikke bøtelegges første gang dette skjer.