Eventfold Logo
Published on
· 5 min read

GDPR som konkurrensfördel: Varför europeiska eventplattformar vinner i längden

Authors
  • avatar
    Name
    Lucas Dow
    Twitter

Under de senaste åren har dataskydd gått från att vara en juridisk formalitet till att bli en avgörande affärsfråga. GDPR, som trädde i kraft 2018, uppfattades länge som en börda — särskilt av teknikbolag utanför Europa. Men för EU-baserade eventplattformar har förordningen visat sig vara något helt annat: en genuin konkurrensfördel.

Schrems II och dess efterverkningar

I juli 2020 ogiltigförklarade EU-domstolen Privacy Shield-avtalet genom den så kallade Schrems II-domen. Beslutet slog fast att USA:s övervakningslagar inte erbjuder ett tillräckligt skydd för europeiska medborgares personuppgifter. Konsekvensen blev omedelbar: tusentals företag som förlitade sig på Privacy Shield för att överföra data mellan EU och USA stod plötsligt utan rättslig grund.

För eventbranschen fick detta särskilt stor betydelse. Eventplattformar hanterar enorma mängder känslig information — deltagarlistor med fullständiga namn, e-postadresser, telefonnummer, kostpreferenser som kan avslöja religiös tillhörighet, och i vissa fall hälsoinformation kopplad till tillgänglighetsbehov. Att denna typ av data routades genom amerikanska servrar utan tillräckligt skydd blev plötsligt en reell juridisk risk.

EU-US Data Privacy Framework: en ofullständig lösning

I juli 2023 antog EU-kommissionen det så kallade EU-US Data Privacy Framework, ibland kallat "Privacy Shield 2.0". Ramverket var tänkt att lösa de problem som Schrems II blottlade, genom att införa nya skyddsmekanismer för europeisk data som överförs till USA.

Ramverket innebar förbättringar, det ska erkännas. Proportionalitetsprinciper för underrättelsetjänsternas dataåtkomst och en ny prövningsmekanism för EU-medborgare var välkomna tillägg. Men kritiker — däribland den österrikiske integritetsaktivisten Max Schrems själv — har upprepade gånger påpekat att de grundläggande problemen kvarstår. Den amerikanska lagstiftningen, särskilt FISA Section 702 och Executive Order 12333, ger fortfarande amerikanska myndigheter bred åtkomst till data som lagras hos amerikanska företag.

Den juridiska osäkerheten innebär att europeiska organisationer som väljer amerikanska eventplattformar tar en risk. Inte nödvändigtvis idag, men potentiellt imorgon — om ramverket ogiltigförklaras på samma sätt som sina föregångare.

Den strukturella fördelen med EU-baserad datalagring

EU-baserade eventplattformar, som lagrar all data inom unionens gränser, undviker hela denna problematik. Det handlar inte om att vara bättre på juridik — det handlar om att den underliggande arkitekturen eliminerar risken.

När data aldrig lämnar EU:s jurisdiktion finns det ingen transatlantisk överföring att rättfärdiga. Inga standardavtalsklausuler att uppdatera. Ingen oro för att ett tredje Schrems-beslut ska rubba grunden. För organisationer som planerar event och hanterar hundratals eller tusentals deltagares personuppgifter är detta en avsevärd förenkling.

Eventfold lagrar exempelvis all data i europeiska datacenter. Det innebär att svenska kommuner, nordiska företag och europeiska eventbyråer kan använda plattformen utan att behöva genomföra de komplexa konsekvensanalyser (Transfer Impact Assessments) som krävs vid dataöverföringar till tredje land.

Eventdata: känsligare än man tror

Det är lätt att underskatta känslighetsnivån i eventdata. En deltagarförteckning kan vid första anblick verka okomplicerad, men i praktiken samlar eventplattformar in data som sträcker sig långt bortom namn och e-post.

Kostpreferenser som "halal", "kosher" eller "glutenfritt" kan avslöja religiös tillhörighet eller hälsotillstånd — kategorier som GDPR klassificerar som särskilda kategorier av personuppgifter med förstärkt skydd. Tillgänglighetsanpassningar kan innebära att hälsoinformation registreras. Betalningsuppgifter kopplade till biljettköp utgör ytterligare en känslig datakategori.

Därtill kommer beteendedata: vilka sessioner en deltagare besökte, vilka utställare de interagerade med, och hur länge de stannade. I takt med att eventplattformar blir alltmer sofistikerade ökar mängden persondata som samlas in — och därmed ökar också ansvaret att hantera den korrekt.

Upphandlingskrav driver förändring

En tydlig trend under de senaste åren är att företag och offentliga organisationer ställer allt striktare krav på leverantörers dataskydd i sina upphandlingsprocesser. Särskilt inom den nordiska offentliga sektorn, men även bland större privata företag, har GDPR-efterlevnad blivit ett grundkrav snarare än en önskvärd egenskap.

I praktiken innebär detta att eventbyråer som använder plattformar utan tydlig EU-baserad datalagring riskerar att diskvalificeras redan i upphandlingens kvalificeringsfas. Det räcker inte längre att hävda GDPR-efterlevnad i generella termer — beställare vill se var data lagras, vilka underbiträden som används och hur dataöverföringar hanteras.

Denna utveckling gynnar EU-baserade plattformar med transparent arkitektur. När en plattform kan visa att all data stannar inom EU, att inga amerikanska underbiträden med potentiell exponering mot FISA används, och att dataskydd är inbyggt i systemets grundstruktur, förenklas upphandlingsprocessen avsevärt.

Nordisk tillitskultur och privacy by design

Det finns en kulturell dimension som förtjänar att lyftas. De nordiska länderna, och Sverige i synnerhet, har en lång tradition av att balansera transparens med integritetsskydd. Offentlighetsprincipen samexisterar med ett starkt skydd för individens privatliv. Denna kulturella grund gör att nordiska teknikbolag ofta har ett genuint förhållningssätt till dataskydd, snarare än att behandla det som en checklista att bocka av.

Begreppet "privacy by design" — att integrera dataskydd i systemets arkitektur från start, inte som ett tillägg i efterhand — ligger naturligt för utvecklare som växt upp i denna tradition. Det handlar inte bara om att följa lagen, utan om att bygga system som respekterar användarens förtroende.

En rättvis bedömning

Det vore oärligt att påstå att amerikanska plattformar inte arbetar med dessa frågor. Flera stora aktörer har investerat kraftigt i europeisk datalagring, anställt lokala dataskyddsombud och implementerat tekniska åtgärder för att begränsa transatlantisk dataåtkomst. Marknaden rör sig i rätt riktning.

Men den strukturella verkligheten kvarstår: ett amerikanskt moderbolag är i slutändan underkastat amerikansk lag. Även om data lagras i EU kan amerikanska myndigheter under vissa omständigheter begära åtkomst genom CLOUD Act. Denna juridiska realitet skapar en asymmetri som EU-baserade plattformar helt enkelt inte behöver hantera.

Framtidsutsikten

Dataskydd kommer med all sannolikhet att bli viktigare, inte mindre viktigt, under kommande år. EU:s AI-förordning, den kommande ePrivacy-förordningen och det bredare digitala regelverket pekar alla i samma riktning: starkare skydd, hårdare krav, större ansvar för den som hanterar persondata.

För eventbranschen innebär detta att valet av teknikplattform inte bara är en fråga om funktionalitet eller pris. Det är en strategisk beslut som påverkar organisationens juridiska riskprofil, dess förmåga att vinna upphandlingar, och i förlängningen det förtroende som deltagare, kunder och samarbetspartners har för verksamheten.

GDPR är inte en börda. Det är en kvalitetsstämpel — och för de plattformar som byggts med förordningen som fundament snarare än efterkonstruktion är det en fördel som bara kommer att växa.