E-handelsplattform med efterlevnad av GDPR som utgångspunkt : Utveckling av en labbportal med pseudonymisering och kryptering-tillämpningar

Tran, Kenny

January 2022

Företaget Provsvaret vill utveckla en labbportal avsedd för företagskunder. Företaget kommer att arbeta med ett externt labb för att starta självtest som en tjänst. Detta innebär att regler och begränsningar måste beaktas vid behandling av personuppgifter. Under 2018 trädde GDPR i kraft för att stärka skyddet kring datasekretess. Detta skapade ytterligare arbete för e-handelsplattformar som behöver vidta tekniska säkerhetsåtgärder. GDPR har även definierat nya rättigheter för användarna såsom rätt till information, rätt till tillgång och rätt till radering. Denna studie riktar sig mot att undersöka de rättigheter och säkerhetsåtgärder som har angetts av GDPR. Målet kommer vara att konstruera en e-handelsplattform med efterlevnad av GDPR som utgångspunkt. Under projektets gång så har man utfört en analys där man har jämfört olika psuedonymiseringsarkitekturer och har baserat på den analysen kunnat tillämpa pseudonymisering inom labbportalen. Under implementerprocessen var det nödvändigt att ta användning av en molnleverantör för att tillhandahålla krypteringsnycklar. Efter en noggrann jämförelse har man valt att gå vidare med Google Cloud Platform (GCP) pågrund av att GCP var kost effektivt och var mer användarvänlig mot småföretag som Provsvaret. Användbarhetstesteterna har även utförts i syfte av att undersöka i vilken mån av efterlevnad som plattformen hade i förhållande till GDPR rättigheter. Som slutsats så kan man konstatera att labbportalen hade en bra efterlevnad av GDPR däremot så fanns det vissa aspekter som behövde förbättras. Information och villkoren på plattformen kan visas på ett tydligare sätt samt så kan man även förbättra på hur man hantera invändningar och radering av konto. Implementeringen av BankID har genomgått väl och i slutendan så har labbportalen de funktionalitet som eftersöktes. / The company Provsvaret is looking to develop a lab portal intended for corporate customers. The company will be working with an external lab to bootstrap self-test as a service. This entails that regulations and restrictions must be taken into account when processing personal data. In 2018, the GDPR came into force to strengthen the protection of data privacy. This created additional work for e-commerce platforms that need to implement technical security measures. GDPR has also defined new rights for users such as the right to information, the right to access and the right to erasure. This study aims to examine the rights and security measures designated by the GDPR. The goal will be to construct an e-commerce platform based on compliance with the GDPR. During the project, an analysis has been performed where different pseudonymisation architectures have been compared and based on that analysis, been able to apply pseudonymisation within the lab portal. During the implementation process, it was necessary to use a cloud provider to provide encryption keys. After a careful comparison, Cloud Platform (GCP) has been chosen as the selected cloud provider due to the fact that GCP was cost effective and was more user-friendly towards small companies such as Provsvaret. The usability tests have also been performed for the purpose of examining the degree of compliance that the platform had in relation to GDPR rights. In conclusion, it can be stated that the lab portal has good compliance with GDPR, however, there are certain aspects that need to be improved. Information and conditions on the platform can be displayed in a clearer way and the lab portal can also improve on how it handles objections and deletion of accounts. The implementation of BankID has been successful and in the end the lab portal has the functionality that was sought after.

Data encryption

Pseudonymity

E-commerce

GDPR

Datakryptering

Pseudonymitet

E-handel

GDPR

Software Engineering

Programvaruteknik