Molntjänster inom sjukvården : En kvalitativ studie om kritiska faktorer vid implementering av molntjänster inom hälso- och sjukvården / Cloud services in healthcare : A qualitative study on critical factors in implementation of cloud services in healthcare

Lundman, Tobias

January 2022

Den svenska sjukvården har dagliga problem med många olika system och arbete läggs på uppgifter som inte faller in i den klassiska arbetsuppgiften. I en bransch som sjukvården så kan det vara livsavgörande med effektivisering. Ett ämne som är mycket tilltalat är molntjänster på grund av dess skalbarhet, prestanda och moderna teknik. Problemet i dagens läge är att de stora leverantörerna som microsoft och amazon är amerikanska bolag och enligt amerikansk lag så har myndigheterna tillåtelse att hämta ut data som lagras i amerikanskt ägda molntjänster. Det kallas för cloud act och strider mot dem regelverk som finns i Sverige. Det betyder att ingen patientdata eller annan känslig data får lagras i dem molntjänsterna men det betyder inte att annan data får lagras samt att använda dem funktionerna som molntjänster erbjuder är inte något som bryter mot reglerna. Molntjänster har och fortsätter att integreras så långt det går under många verksamheter. Det finns kritiska faktorer för att uppnå framgång inom projekt som handlar om molntjänster inom sjukvåren. Genom en kvalitativ studie utforskas dem kritiska faktorerna genom att intervjua olika respondenter inom området. Utmaningar och framgångsfaktorer tas fram för att få en förståelse hur verksamheter inom sjukvården ställer sig när ett projekt som det här ska utföras. Genom den här rapporten så presenteras utifrån litteratur och intervjuer vilka faktorer som är kritiska vid implementering av molntjänster inom svenska hälso- och sjukvården.

Sjukvårdsbransch

integrering

molntjänster

datalagring/GDPR

kritiska faktorer

IT-projekt

framgångsfaktorer

utmaningar

cloud act

Information Systems

En jämförelse av GDPR-implementering i svenska småbolag kontra EU. : Går Sverige mot trenden?

Jensen, André, Hyckenberg Mattson, David, Söllvander, Joakim

January 2022

Enligt den senaste europeiska statistiken ökar antalet anmälningar om personuppgiftsincidenter markant, 28 procent åren 2019 - 2020. Emellertid har Sverige under samma tidsperiod en nedåtgående utveckling på 4 procent. Genom en enkätstudie om GDPR-implementering i Sverige, undersöktes varför Sverige visade sig ha en nedåtgående trend i antalet anmälda incidenter kontra EU. Därtill utforskades om eventuella skillnader kunde ses som förklaring till den isärgående utvecklingen. Studien tydde på att Sverige över lag var likartat med sina europeiska motparter, men skillnader förekom i vissa specifika områden. Specifikt så observerades att svenska bolag i större utsträckning ansåg sig kompatibla med GDPR, samt en ökad tendens att investera ekonomiska resurser till arbetet med detta.

GDPR

dataskyddsförordningen

personuppgiftshantering

personuppgiftslagen

etiskt datahanterande

informationssäkerhet.

Information Systems, Social aspects

Balansgången mellan användbarhet och GDPR - en fallstudie av systemet SafeSite

Strömberg, Axel, Tunudd, Joel

January 2021

I och med GDPR har det blivit mycket viktigt för företag att anonymisera personuppgifter dådet finns en risk för böter om lagen skulle brytas. Denna studie ämnade att förstå hurkommunikationssystemet SafeSite skulle kunna få fler användare att följa GDPR-lagen ochhur en sådan lösning på detta problem skulle påverka användbarheten på sidan. För att ta redapå det förstnämnda genomfördes intervjuer med användare av systemet. De ansåg bland annatatt informationen om GDPR på sidan var lätt att missa och att informationen inte riktigt vartillräcklig. Med intervjuerna som grund skapades därefter en enkel mockup på hur det nyasystemet skulle kunna se ut. I mockupen gavs ytterligare information om GDPR sompresenterades, till skillnad från nuvarande systemet, i en popup-ruta. Användarna ombadssedan att besvara en enkät som avsåg att avgöra vilken av den ursprungliga versionen ochmockupen som var bättre i avseende att förmedla information om GDPR och att få användareatt bättre följa lagen. I enkäten användes frågor från System Usability Scale (SUS), ettväletablerat användbarhetstest för att utvärdera hur användbarheten. Resultatet av enkäternavisade att användare med större sannolikhet skulle efterfölja GDPR med det nyadesignförslaget utan att den upplevda användbarheten försämras.

Användbarhet

GDPR

säkerhetssystem

anonymisering

informationssystem

SafeSite

Adilimo

Information Systems, Social aspects

Kommersiella aktörers tredjelandsöverföring av personuppgifter efter Schrems II : GDPR-efterlevnad efter EU-domstolens ogiltigförklarande av Privacy Shield, och EU-domstolens uttalanden om acceptabel lägsta nivå för skyddet av personuppgifter / Transfers of personal data to third countries for commercial purposes, post Schrems II : – GDPR compliance after EU-US Privacy Shield invalidation by the Court of Justice of the European Union, and the courts statements regarding fundamental rights for the protection of personal data

Bolin, Josef, Svensson, Jimmy

January 2021

Sedan GDPR trädde i kraft har skyddet för personuppgifter stärkts och harmoniserats inom EU. GDPR tillförsäkrar fysiska personer en grundläggande rättighet till skydd för personuppgifter. Den som behandlar personuppgifter åläggs ett särskilt ansvar. Enligt huvudregeln är det förbjudet att överföra personuppgifter till tredjeland. För att tredjelandsöverföring ska vara tillåten, krävs att flera undantagsvillkor är uppfyllda. Den som ansvarar för behandling av personuppgifter, och inte uppfyller villkoren, riskerar dels skadeståndsansvar, dels administrativa sanktionsavgifter upp till så mycket som 20 000 000 euro, eller 4 % av den årliga omsättningen. Syftet med uppsatsen är att redogöra för de handlingsalternativ en kommersiell aktör har, för att tredjelandsöverföring av personuppgifter ska vara tillåten, vid lagring av personuppgifter hos molntjänstleverantör. För att besvara syftet har vi analyserat relevant svensk och EU-rättslig reglering, doktrin, praxis samt rekommendationer och riktlinjer utgivna av EDPB. Vi tillämpar en rättsdogmatisk och en EU-rättslig metod, vilket innebär att vi använder de allmänna rättskällorna, som för svensk rätt utgörs av lagar, förarbeten, praxis och doktrin. EU-rättslig praxis på området är begränsat och en betydelsefull dom avkunnades i närtid. Rättsläget efter domen är relativt oprövat. Den som behandlar personuppgifter är personuppgiftsansvarig. För denne föreligger ansvar att säkerställa att skyddet för personuppgifterna upprätthålls om uppgifterna överförs till tredjeland. Vid behandling av personuppgifter via molntjänst finns risk att personuppgifterna överförs till ett tredjeland, utanför den personuppgiftsansvariges kontroll. Om molntjänstleverantören faller under amerikansk jurisdiktion, kan amerikanska myndigheter med stöd av sin interna rätt, under vissa omständigheter, begära ut uppgifter från molntjänstleverantören. Kapitel V i GDPR reglerar ett antal undantag, som en personuppgiftsansvarig kan åberopa vid tredjelandsöverföring. Oavsett vilket verktyg som väljs, och oavsett om alla villkoren uppfylls, så har EU-domstolen genom Schrems II fastställt, att det i mottagarlandet måste finnas en adekvat skyddsnivå för personuppgifter, och att mottagarlandets interna rätt inte får urholka eller undanröja det skydd som säkerställs genom GDPR. Med adekvat skyddsnivå menas ett väsentligt likvärdigt skydd som tillförsäkras av EU-rätten.

GDPR

personuppgifter

tredjelandsöverföring

cloud act

schrems

integritet

personuppgiftsskydd

affärsrätt

EU

EU-rätt

dataskydd

dataskyddsförordning

privacy shield

Law and Society

Juridik och samhälle

Vad innebär GDPR för e-handlare? En studie om GDPR och dess påverkan på svenska e-handelsföretag / What does the GDPR mean for e-commerce businesses? A study of GDPR and its effect on swedish e-commerce businesses

Hellstrand, Malin, Putnoki, Lilla

January 2018

The aim of this bachelor thesis is to examine which adaptions Swedish e-commerce businesses have done to prepare for the new General Data Protection Regulation (GDPR). Using a qualitative method this study investigates how these companies have prepared themselves and what they have done to get their digital platforms such as websites, email and social media in order to be GDPR proof. The method which is used is semi structured interviews. The result of the study shows that the companies have been missing concrete guidelines on how the adaptions should be done from the Swedish government. The majority of the adaptions are therefor built on the businesses own adaptions of the new regulation. The conclusion reached in this thesis is that it has been hard for the companies to convert the law’s requirements into practical technical solutions.

Informationsarkitektur (IA)

digitala plattformar

Privacy by Design (PbD)

e-handel

Information Studies

Biblioteks- och informationsvetenskap

Integrity and security discourses in three European countries' AI policies : A study in privacy, political theory and rapidly developing technology

Åhammar, Bror

January 2023

The relatively recent developments in AI have caused a lot of discussions surrounding security and privacy, and a consistent theme throughout these discussions have been how privacy as a political and legal term have developed in response. While this isn't necessarily a new phenomenon – privacy concerns have been around since the 19th century when Warren and Brandeis published their seminal paper – the development of AI has marked a new period where privacy has become a socio-political issue. The development of AI also have happened concurrently with changes in governmental paradigms, which makes this relevant albeit possibly difficult to interpret. That makes communicative events – the AI strategies, privacy regulations and news articles – important empirical material for the study. The study's main purpose will be to study how three selected countries - and the practices within them – have shaped their respective artifical intelligence strategies through privacy regulations. This is an important question to ask when changes in organizational ideology have occurred and resulted in New Public Management – an ideology more friendly towards corporations than its 1950s-70s predecessor, when AI was in its infancy. For the purpose of this paper the term artificial intelligence will refer to computer programs and systems on the software level; they are interently dealing with data as a part of their function. And the computer does not check the security and privacy-related implications for the data use unless the programmer specifically makes the artificial intelligence do so; and there are many cases where that would be difficult. The countries chosen for the paper – the United Kingdom, Sweden and Estonia – were selected partly because they are democratic countries, but also partly due to their different stances on artificial intelligence, history and governance methods. These three do share some unifying aspects, such as all being European countries and signatories of the EU's GDPR treaty. The resulting comparision illustrates that differences between the three countries' existing practices do affect how AI strategies and regulations are formed – an important consideration in an environment where privacy has become an intense topic of debate.

Artificial intellgence

New Public Mangement

practices political-parliamentary

juridical-bureaucratic

public

countries' strategies

GDPR

communicative events

Political Science

Statsvetenskap

Are there two sides toevery coin; even GDPR? : A Qualitative Study on theImpact of GDPR within theHealth Tech Industry

Sandin, Micaela, Sjöholm, Emma

January 2023

The General Data Protection Regulation has undoubtedly affected our society, both on anindividual everyday level as well as from the greater perspective of companies, the publicsector, and nations. The purpose of the GDPR is to protect the data of European citizens byputting further responsibility on organizations that store individual data. However, as withevery decision, this has had implications that might not have been predicted or accountedfor and which can disrupt its initial cause. Certain industries have been highly regulatedwhen it comes to data even before the GDPR, one of these is the health-tech industry whichmanages medical data which is perceived to be very sensitive and has for example beenregulated through the Patient Data Act.There is currently a research gap regarding how the GDPR has affected organizations andtheir journey toward compliance. This qualitative study was conducted using a criticalrealism perspective with a critical constructivist approach. The study is done incollaboration with the Swedish Kubernetes platform service provider Elastisys. Byconducting interviews with both the company itself and also with some of their health-techclients, as well as looking into cases where healthcare organizations have been fined underGDPR this thesis aimed towards answering the question of, “What effects have the GDPRlegislation had on the health-tech market and how have the organizations within itadapted?”.The result of this thesis show that the organizations have been able to reach compliance andmanage the process, however the implications have been clearer and more understandableas time has passed. This could be partly explained by the growing number of support-toolsand -organizations available today. Furthermore, due to the strong regulations and changingconditions within this particular industry the organizations are used to rapid transitions.Something that has implicated the general digital development of the industry but also madethem more adaptable to changing conditions. When it comes to the health-tech industrythere have been a higher pressure for compliance for those that work with the public sectorin comparison to those working against end users.Alongside the prohibited digital development, the GDPR has had other implications, suchas a gap between legal and technical expertise and conflicts between legal compliance andgeneral data security. Which, if not handled correctly can lead to less secure solutions.Another interesting implication of the GDPR is the indifference of individuals regardingtheir data. In light of this finding, this thesis also aspires to further elaborate on the currentdebate of digital sovereignty and its importance in the context of national negotiations withforeign powers.

GDPR

compliance

digitalization

health-tech

Business Administration

Företagsekonomi

Other Medical Engineering

Annan medicinteknik

Compliance with the General Data Protection Regulation: an exploratory case study on business systems’ adaptation / Medgörlighet med Dataskyddsförordningen: en undersökande fallstudie av affärssystems anpassning

Knutsson, Mikael

January 2017

Current moves into a heavily digitalized era has led to a phase where our privacy is being eroded as we hand over our personal data to organizations and their systems. At the same time, the applicable laws to give security to the individuals have failed to incorporate these legal developments. However, in April 2016 the European Union proposed a change to a new regulation called the General Data Protection Regulation (GDPR). The GDPR will be implemented and start to apply in May 2018, thus the main purpose of this study was to investigate how organizations can adapt to changing regulations on how personal data should be stored and managed, and what the key tension points are within specifically closed IT-systems. The goal of the GDPR and this study on its feature implementation is to guarantee the EU citizens their right to privacy. Through an exploratory case study involving an in-depth analysis of two closed IT-systems this study develops a broader understanding on how organizations should adapt their daily businesses in order to be fully compliant with the new bylaws. This study identifies four critical issues which are used to discuss how the new bylaws could affect the EU citizens’ privacy. To accomplish this and open up for further investigation within the field of data privacy laws - four different propositions to modifications were suggested. / Den aktuella övergången till en omfattande digitaliserad tid har lett till en fas där vår integritet går förlorad då vi överlämnar vår personliga information till organisationer och deras system. Samtidigt har de tillämpade datalagarna med syfte att skydda individen misslyckats med att införliva denna utveckling. Därför har den Europeiska Unionen i april 2016 föreslagit en förändring till en ny reglering som får namnet Dataskyddsförordningen. Dataskyddsförordningen kommer blir implementerad och börja gälla i maj 2018 och därav var huvudsyftet med den här studien att undersöka hur organisationer bör anpassa sig till de nya riktlinjerna för hur personlig information bör lagras och hanteras samt vilka spänningspunkterna är för slutna IT-system. Målet med Dataskyddsförordningen och vad den här studien beaktade i dess kommande utförande är att garantera EU-medborgare rätten till sin integritet. Genom att utföra en undersökande fallstudie innehållandes en djupgående analys av två slutna IT-system har den här studien bidragit med en bredare förståelse för hur organisationer bör anpassa sina dagliga verksamhet för att vara helt medgörliga med Dataskyddsförordningen. Studien har identifierat fyra kritiska problem som har legat till grund för att diskutera hur den nya förordningen kommer påverka EU-medborgarnas rätt till sin integritet. För att göra det möjligt samt öppna upp för framtida undersökningar inom ramen för dataskyddslagar föreslogs fyra förslag på generella förändringar.

Data protection laws

GDPR

privacy

the right to be forgotten

IT safety

data minimization

Media and Communication Technology

Medieteknik

Molntjänster i kommunala skolorganisationer : En kvalitativ studie om faktorer som påverkar beslut om anskaffning av molntjänster / Cloud computing services within municipal schools : A qualitative study on factors influencing decisions regarding the procurement of cloud computing services

Nilsson, Elin

January 2023

Molntjänster har under de senaste åren tagit en central roll i moderniseringen av utbildningssektorn. Denna studie undersöker faktorer som påverkar kommunala skolorganisationers beslut om anskaffning av molntjänster. Genom semi-strukturerade intervjuer med respondenter från fem olika kommuner ämnar denna studie att identifiera möjligheter och utmaningar som kan påverka dessa beslut. Resultatet identifierade tillgänglighet och kostnadsreduktioner som centrala faktorer som motiverar beslut om anskaffning av molntjänster. Säkerhet och integritet identifierades som de primära faktorerna vilka hindrar beslut om anskaffning av molntjänster. Genom att identifiera dessa faktorer förstärker denna studie förståelsen för den beslutsfattandeprocess som kommunala skolorganisationer möter vid anskaffning av molntjänster. När utbildningsinstitutioner navigerar i det ständigt utvecklande digitala landskapet får förståelsen av dessa möjligheter och utmaningar som ligger till grund för besluten ökad betydelse. Eftersom tekniska framsteg fortsätter att omforma utbildningslandskapet bidrar insikterna från denna studie till en bredare dialog kring effektiv och ansvarsfull implementering av molntjänster.

Molntjänster

anskaffning

kommunala skolor

utbildningsinstitutioner

digitala läromedel

beslutsprocess

risker

säkerhet

integritet

GDPR

Information Systems

Det mörka kakreceptet : Dark Patterns och användarens inställning till cookie-förfrågningar på statliga och kommersiella webbsidor / The Dark Cookie Recipe : Dark Patterns and the user’s attitude towards cookie prompts on Governmental and commercial websites

Stavnjak, Niklas, Bröddén, Olivia

January 2023

Sedan införandet av dataskyddsförordningen GDPR den 25 maj 2018 har internetanvändare i alla EU/ESS länder blivit mötta av en förfrågan om godkännande av cookies vid varje besök av en ny hemsida. Frågan ska enligt lag tydligt informera användare om att cookies används, i vilket syfte och hur länge de sparas. Beväpnad med denna information ska användaren sedan ha möjlighet att ta ett välinformerat beslut om hen godkänner webbplatsens användning av cookies och därmed insamlingen av hens personuppgifter. Denna lagstiftning gäller för samtliga webbplatser oavsett offentlig eller privat avsändare och avser att skapa ett skydd för varje individs digitala integritet. Cookies har använts i funktionssyfte sedan internets begynnelse men har under de senare åren använts med stor framgång primärt i marknadsföringssyfte i form av riktad marknadsföring av kommersiella webbplatser. Det finns stor vinning för många företag att användare godkänner dessa cookie-förfrågningar vilket gör att stor vikt läggs vid hur dessa förfrågningar designas. Dark Patterns är ett begrepp på former av konverteringsinriktad design som används för att få användare att utföra handlingar som ej gynnar dem i längden, men som skapar mervärde för aktören bakom. Dessa designval används flitigt över hela internet och har även identifierats i cookie-förfrågningar. Följande studie undersöker hur dessa cookie-förfrågningar är utformade, vilka dark patterns som finns att identifiera i deras gränssnitt samt användares inställning till 15 statliga respektive 15 kommersiella webbplatser. Data för studien har samlats in genom en kvantitativ enkätundersökning med 102 respondenter samt en kvalitativ innehållsanalys av samtliga webbplatser. Empiri från tidigare forskning har använts för att jämföra och styrka studiens slutsats. Användningen av dark patterns har identifierats på både statliga och kommersiella webbplatser men i en högre grad i den sistnämnda. Dessa designval har visats påverka användarens interaktion med förfrågan på ett sätt som är positivt för aktören. Studien har däremot även visat att en lika stor faktor för användarens medvetna beslut är det anseende aktören för webbplatsen har. Avslutningsvis visar studien att dagens internetanvändare generellt är trötta på konstanta förfrågningar med samma eller liknande information, och vad som var avsett att skapa en trygghetskänsla hos användaren har i stället bara blivit ett evigt störningsmoment. / Since the implementation of the General Data Protection Regulation (GDPR) on May 25th, 2018, users in EU/EEC countries have encountered cookie approval requests upon accessing new websites. By legal demand, these cookie prompts must provide information on the use of cookies, their purpose, and the duration of data retention. With this knowledge, users are expected to make informed decisions regarding their consent to the website's cookies and data collection utilization. This legislation applies universally to all websites, regardless of their public or private nature, to protect individuals’ digital privacy. While cookies have served functional purposes since the early days of the Internet, their recent substantial adoption for targeted marketing by commercial websites has provided significant advantages for many companies. Consequently, precise attention is placed on the design of these cookie requests themselves. Dark Patterns represent a form of conversion-oriented design tactics employed to impact users to perform certain actions that may not be beneficial in the long term but generate value for the entity implementing them. These design choices are prevalent across the internet and have also been identified within the context of cookie prompts. This study observes the design elements of such cookie prompts, identifies the presence of dark patterns within their interfaces, and examines user attitudes toward these prompts. The research analyzes 15 government websites and 15 commercial websites through a qualitative content analysis that uncovers hidden information. As a complement, an additional quantitative survey was formed by collecting data from 102 respondents. The study leverages empirical evidence from previous research to strengthen its findings and comparisons. Findings show that the use of dark patterns on both government and commercial websites is evident, with a more noticeable occurrence on commercial ones. These design choices have been observed to influence user interactions with the requests to favor the sender implementing the dark patterns. However, the research also demonstrates that the senders' reputation equally influences users' conscious decision-making process. In conclusion, the study indicates that contemporary internet users generally experience weariness due to persistent requests featuring repetitive or similar information. What was initially intended to instill a sense of user security has instead become an enduring source of disruption.

Cookies

Dark Patterns

Persuasive Design

General Data Protection Regulation

Websites

Cookies

Dark Patterns

Persuasive Design

GDPR

Media Engineering

Mediateknik