Challenges with the GDPR: A Software Developing Organization’s Guide to GDPR Compliance

Olsson, Olle

January 2019

Den 25 maj 2018 trädde den nya dataskyddsförordningen, GDPR, i kraft. GDPR kräver att organisationer och företag, som behandlar persondata, att anpassa sig och andra sina system och produkter för att uppfylla kraven som förordningen ställer. Om organisationer och företag, som faller under förordningen, inte kan uppfylla dem kraven som förordningen ställer måste administrativa böter betalas, vilket kan orsaka att dessa organisationer och företag går i konkurs. Beträffande den praktiska implementeringen av GDPR inom mjukvaruutvecklande företag, är lite forskning som gjorts på det området. Den praktiska implementeringen av GDPR i mjukvaruutvecklande företag är också sällan diskuterat. Syftet med denna studie är att förstå; hur mjukvaruutvecklande företag implementerade GDPR i deras verksamheter; hur dem arbetar med GDPR i dagsläget; och hur dem kommer att arbeta med GDPR i framtiden. Litteraturstudien presenterar dem utmaningar under regleringen som tidigare forskning identifierat och presenterar även hur dem juridiska kraven som GDPR ställer översätts till tekniska lösningar; vilka mjukvaruutvecklande företag behöver implementera för att bli kompatibla med GDPR. Genom kvalitativ forskningsmetod går denna uppsats in i djupet på hur GDPR implementerades i mjukvaruutvecklande företag. Elva respondenter från sex olika företag av tre olika storlekar intervjuades genom semi-strukturerade intervjuer. Intervjufrågorna var baserade på faktorer som är relevanta för denna studie. Det empiriska materialet var sedan sammanställt, analyserat och jämfördes med insamlad litteratur som används i litteraturstudien. Det empiriska materialet visade att omfattningen av implementeringen av GDPR i mjukvaruutvecklande företag inte är beroende på storleken på organisationerna, men snarare beroende på vad för personlig data som bearbetas. Upptäckterna från denna studie kommer fungera som en guide till GDPR kompatibilitet för mjukvaruutvecklande företag som presenteras i slutsatsen. Denna studie har identifierat följande principer att vara essentiella för mjukvaruutvecklande företag att bli GDPR kompatibla. Mjukvaruutvecklare måste nu försäkra: förståelse över vad GDPR betyder för just deras verksamhet, skapa förståelse och medvetenhet om GDPR inom hela organisationen, genomsynlighet i förhållande till organisationens kunder och användare, att persondata lokaliseras och kartläggs i befintliga system and applikationer, att data minimeras under principerna som GDPR tillhandahåller, att persondata krypteras, att principen privacy by design & default följs under all mjukvaruutveckling, rådgivning inom GDPR, att dagliga protokoll följs och att dessa följs upp. / The General Data Protection Regulation came into force on the 25th of may 2018. The GDPR requires organizations and companies, who process personal data, to adjust and change their existing systems in order to meet the requirements that the GDPR puts forward. If organizations and companies fail to comply with the regulation, administrative fines and penalties will be enforced which can lead to bankruptcy for these organizations and companies. There is a lack of research made on the practical implementation of the GDPR into software developing companies and is rarely discussed. Thus, the purpose of this thesis is to understand how the GDPR was implemented into software developing companies; how software developing companies work with the GDPR today; and how software developing companies will work with the GDPR in the future. The literature review presents the challenges of the regulation that previous research has brought forward and how the legal requirements translates into technical solutions, which software developing companies need to implement in order to become compliant with the regulation. Through a qualitative research method, this thesis investigates the depth of how the GDPR was implemented into software developing companies. Eleven respondents representing six different organizations of three different sizes, was interviewed through semi-structured interviews. The interview questions was based on key factors brought forward in the literature review chapter; which are of relevance for this thesis. The empirical evidence was then summarized, analysed and compared to the used literature. The empirical evidence showed that the extent of the implementation of GDPR into software developing companies was not depending on the size of the organization, but rather depending on what personal data is being processed. The findings in this study will serve as a software developers guide to GDPR compliance which is presented in the conclusion. This study has identified the following principles to be essential for software developing companies in order to become GDPR compliant: understanding what the GDPR means for their business, awareness within their organization, transparency, locating personal data, data minimization, encryption of data, privacy by design & default, GDPR guidance, daily GDPR protocols and follow up on previous implementations.

GDPR

Software

Development

Software development

Developing

Engineering and Technology

Teknik och teknologier

Genom medicinska sekreterares ögon : - Implementeringen av GDPR i Region Västernorrland / Through the eyes of medical secretaries : - The implementation of the GDPR in Region Västernorrland

Lindström, Ellinor

January 2023

Respekt och ett starkt skydd för individens integritet i en tid av snabbdigital utveckling var syftet med Dataskyddsförordningen (GDPR).Förordningen berör all verksamhet som behandlar personuppgifter, attden implementeras och följs är således av största vikt för att den alltmer digitaliserade hälso- och sjukvården ska utgöra en trygg plats föross som individer. Medicinska sekreterares arbetsuppgifter är, genomhantering av patientjournaler, remisser och vissa fall uppgifter somrör personal, tätt kopplade till GDPR. Syftet med studien var attundersöka hur Dataskyddsförordningen (GDPR) har implementeratspå en klinik i Region Västernorrland med frågeställningen, hur har demedicinska sekreterarna upplevt implementeringen av GDPR och hurpåverkar förordningen deras dagliga arbete? Empiri till studieninhämtades genom en semistrukturerad gruppintervju med tremedicinska sekreterare och som teoretisk utgångspunkt användesimplementeringsteori benämnd som förstå, vilja och kunna. Studiensresultat visar att de medicinska sekreterarna upplevt en viss otydlighetkring GDPR kopplat till övergripande och allmän information ochutbildning. De har inte fått någon uppföljande utbildning kringGDPR men uppger att de kan vända sig till regionens jurister ocharbetsplatsens intranät vid frågor. Yrkesstolthet och att göra ett braarbete uttrycks utgöra motivationen att arbeta enligt GDPR. Till vissdel baserat på den information och utbildning som tillhandahållits,men framförallt baserat på vana att arbeta med sekretess i fokus,uppger de medicinska sekreterarna att de känner sig trygga i sinakunskaper om GDPR. Inga slutsatser eller generaliseringar är möjligadå urvalet inte är representativt.

GDPR

Dataskyddsförordning

implementering

medicinska sekreterare

Political Science

Statsvetenskap

Searching for the silver lining of the US cloud

Di Gleria, Sonja

January 2022

We live in a society where more and more services are available online, and to an increasing extent, people expect that there should be a digital solution. The demand for digitalization of the public sector is increasing. However, at the same time, there are requirements for public activities to handle tax funds responsibly and not buy more expensive solutions than necessary. Here, cloud providers are often used to solve the equation of being both efficient and economical - and not least secure. The problem is that after a judgment in the Court of Justice in the European Union (Schrems II), cloud-based solutions supplied by US-based providers appear to be legally prohibited as their use violates the GDPR. GDPR complicates the digitization work by creating uncertainty about what a public organization is allowed to do. The research question to help shed light on this issue is “How can the public sector in Sweden use US cloud providers in the light of Schrems II?” This research uses design science as a research method to find the critical factors to support the use of US cloud service providers and use the factors as requirements. As the problem is practical, action research is used as a research strategy. The primary data collection methods are interviews of subject matter experts for their knowledge and direct insight into the problem, document research of mostly official documents as a knowledge base for the research with their validity and reliability, and a variant of brainstorming for new perspectives. Thematic analysis is used to analyze the results and help define the requirements for using US cloud providers in the public sector, along with explanation and root cause analysis. The GDPR is clear about third country transfers, but the additional laws and demands cause uncertainties on applying it and for which kind of data. The critical factors found are contributing laws, data classification, risk management, internal procurement,routines, employee knowledge level, and the need for documentation. These results led to a conclusion that open, public data is the only kind of data for which it is possible to use US cloud providers. After carefully examining the critical factors, some public organizations have chosen to use US cloud services for other data types, as they decided it was the safer choice. EU and the US have just agreed on the principles of a new trans-Atlantic data transfer treaty. This treaty must solve several problems to guarantee an adequate level of protection, and the probability that this will be met creates continued uncertainty in the affected organizations. One thing is clear - an organization that meets the critical requirements is firmly facing whatever future may come.

Schrems II

public sector

privacy

GDPR

Computer Sciences

Datavetenskap (datalogi)

Lost in translation: Regulating profiling within the GDPR while upholding the dynamic law. / Risker med översättning: Att reglera profilering inom GDPR medan en dynamisk lag upprätthålls.

Larsson-Steglind, Selma

January 2022

No description available.

Profiling

GDPR

Article 22

SyRI

COMPAS.

Law

Juridik

Vad lärare kan om GDPR på sociala medier : En kvantitativ studie om lärares digitala kompetens sett inom GDPR

Uselius, Lovisa, Åhlén, Åsa

January 2023

Syftet med denna studie är att undersöka om lärare har fått utbildning om GDPR i skolan och om de vet vad de får publicera på sociala medier i sin profession som lärare. För att samla in data användes en  kvantitativ metod genom enkäter där 100 lärare svar analyserades. Information till enkätsvaren samlades in genom samtal med Integritetsskyddsmyndigheten (IMY), jurister och med en dataskydssamordnare för utbildningsförvaltningen i en kommun i Mellansverige. Den insamlade datan analyseras med hjälp av informationskulturens tre nivåer Studiens resultat visar att 72 % av informanterna inte tagit del av de riktlinjer som IMY och GDPR tagit fram. Resultatet visar även att endast 6 informanter av 100 placerar sig på nivå 3 av informationskultur och har därmed god kunskap om hur personuppgifter får hanteras. I analysen framkommer det att det finns en skillnad i lärares kunskap och förståelse kring GDPR i skolan. En av dessa bidragande orsaker är att flertalet informanter saknar utbildning om GDPR. Det framkommer även genom kunskapsfrågorna att lärarnas egna skattning till kunskap om GDPR inte helt stämmer överens med de svar de angivit.

GDPR

Integritetsskyddsmyndigheten (IMY)

lärare

elevrelaterat material

Pedagogy

Pedagogik

Problematické aspekty ochrany osobních údajů / Problematic Aspects of Personal Data Protection

Všetečková, Anna

January 2018

The thesis consists of five chapters, introduction and conclusion. The author of the thesis deals with introduction to the problematics of personal data protection and its relevance in the contemporary world in the introduction of the diploma thesis as well as with demarcation of the aims of the work. In the first chapter, the basic sources of legislation in the area of personal data protection are demarcated, both in Czech and in European and international level. In the second chapter, the attention is paid to the basics of the legislation in the area of personal data protection, whereas the author deals with demarcation of basic concepts, in the second subchapter she gives an overview of basic principles of personal data processing and in the third subchapter she summarizes legal titles for personal data processing. The institute of Data Protection Officer within the meaning of General Regulation is analysed in the third chapter. The first subchapter deals with demarcation of cases where the processor is obliged to designate the Data Protection Officer. The author pays attention to the problematics of requirements for qualification of the Data Protection Officer in the second subchapter. The major theme of third and fourth subchapter is demarcation of Data Protection Officers position to the controller...

Protection of Personal Data in Blockchain Technology : An investigation on the compatibility of the General Data Protection Regulation and the public blockchain / Personuppgiftsskyddet i Blockkedjeteknik : En utredning om förenligheten av dataskyddsförordningen och den publika blockkedjan

Wallace, Amelia

January 2019

On 25 May 2018 the General Data Protection Regulation, GDPR, came into force in the EU. The regulation strengthened the rights of the data subjects’ in relation to the data controllers and processors and gave them more control over their personal data. The recitals of the GDPR state that it was the rapid development in technology and globalisation that brought new challenges for the protection of personal data. Private companies and public authorities where making use of personal data on an unprecedented scale in order to pursue their own activities. The protection should be technologically neutral and not dependant on the technique used. This leads to questions on whether the protection that is offered through the GDPR is de facto applicable on all technologies. One particular technology which has caught interest of both private companies and public authorities is the blockchain. The public distributed blockchain is completely decentralized, meaning it is the users who decide the rules and its content. There are no intermediaries in power and the transactions of value or other information is sent peer to peer. By using asymmetric cryptography and advanced hash algorithms the transactions sent in the blockchain are secured. Whilst the interest and use of blockchain is increasing and the GDPR attempting to be applicable on all techniques, the characteristics of the public blockchain must be analysed under the terms of the GDPR. The thesis examines whether natural persons can be identified in a public blockchain, who is considered data controller and data processor of a public blockchain and whether the principles of the GDPR can be applied in such a decentralised and publicly distributed technology. / Den 25 maj 2018 tradde den nya dataskyddsforordningen, GDPR, i kraft i EU vilken slog hardare mot personuppgiftsansvariga och personuppgiftsbitraden an vad det tidigare dataskyddsdirektivet gjort. Med reformen ville EU starka personuppgiftsskyddet genom att ge de registrerade mer kontroll over sina personuppgifter. I skalen till forordningen anges att det var den snabba tekniska utvecklingen och globaliseringen som skapat nya utmaningar for skyddet da privata foretag och offentliga myndigheter anvander personuppgifter i en helt ny omfattning idag. Skyddet bor saledes vara teknikneutralt och inte beroende av den teknik som anvands. Detta oppnar upp for fragor om huruvida skyddet som GDPR erbjuder faktiskt ar applicerbart pa samtliga tekniker. En sarskild teknologi som fangat intresse hos saval privatpersoner som foretag och offentliga myndigheter ar blockkedjan. Den oppet distribuerade blockkedjetekniken ar helt decentraliserad, vilket innebar att det ar dess anvandare som styr och bestammer over innehallet. Nagra mellanman finns inte, utan vardetransaktioner och andra overforingar av information sands direkt mellan anvandare. Genom asymmetrisk kryptografi och avancerade hash algoritmer sakras de overforingar som sker via blockkedjan. Nagot som uppmarksammats under den okande anvandningen och intresset for blockkedjan samt ikrafttradandet av GDPR ar hur personuppgifter bor hanteras i en sadan decentraliserad teknologi, dar inga mellanman kan bara ansvaret for eventuell personuppgiftsbehandling. Flera av den publika blockkedjeteknikens egenskaper bor problematiseras, framfor allt dess oppenhet och tillganglighet for varje person i varlden, samt dess forbud mot rattelse och radering av inlagda data. Denna uppsats behandlar fragorna huruvida fysiska personer kan identifieras i en publik blockkedja, vem som kan anses vara personuppgiftsansvarig och personuppgiftsbitrade i en publik blockkedja, samt om de principer och krav som uppstalls i GDPR kan efterlevas i en sadan decentraliserad och oppet distribuerad teknologi.

General Data Protection Regulation

GDPR

Blockchain

Transparency

Personal Data

Dataskyddsförordningen

GDPR

Blockkedja

Transparens

Teknikneutralitet

Personuppgift

Law

Juridik

Ersättning för ideell skada enligt GDPR : En undersökning av artikel 82 i en svensk kontext / Compensation for non-material damage according to GDPR : An examination of article 82 in a Swedish context

Rudén, Fanny

January 2019

The new General Data Protection Regulation (GDPR) imposes new challenges for both authorities and private actors in ensuring the protection of individuals personal data. With stricter rules comes more responsibility and the risk offacing a civil action for damages. Article 82 in GDPR gives the data subject aright to receive compensation from the controller or processor for any material or non-material damage suffered as a result of an infringement of the regula-tion. The study examines what could constitute a compensable non-material damage and how the compensation could be determined according to Swedish law and EU-law. This is done through the legal dogmatic method. The study finds that a lot of discretion is left up to the member states themselves when it comes to assessing damage. However, “damage” is to be interpreted accordingto the principles laid down by the European Court of Justice and the member states also need to take into account the principles of equivalence and effectiveness. The data subject also has the right to full compensation for the damage suffered and the compensation needs to be proportionate in relation to the damage. It is found that there is no scope for a punitive damage nor is it either possible to delimit the amount of compensation available without regard to the circumstances in each case. When it comes to awarding damages for non-material damage however, it becomes necessary to use flat-rates as long as they are related in a way that takes into consideration the circumstances of each individual case.

GDPR

Non-material damage

EU-law

Compensation

Article 82

GDPR

Ideell skadda

EU-rätt

Skadestånd

Kompensation

Artikel 82

Law

Juridik

Anpassningar till GDPR hos företag : En genomgång av tekniska förändringar som genomförs inför GDPR / Adjustments by companies to GDPR : A review of technical changes implemented for GDPR

Nord, Lukas

January 2018

Den 25e maj 2018 ersätts personuppgiftslagen (PuL) med den nya dataskyddsförordningen (GDPR) som skärper till och stramar åt kraven som ställs på företag och organisationer som behandlar personuppgifter. Det finns dock flera saker som är densamma mellan PuL och GDPR. Syftet med den här undersökningen är att försöka ta reda på hur förberedda organisationer är inför GDPR genom att undersöka vilka tekniska förändringar de har behövt införa för att uppfylla de nya kraven. Genom att utföra en kvalitativ intervjustudie på organisationer som behandlar personuppgifter i enlighet med PuL och GDPR. De utvalda företagen är sådana som har möjlighet att kartlägga konsumtionsvanor kopplat till konsumenten genom t.ex. en kundklubb. För att uppfylla syftet och svara på forskningsfrågan används två delfrågor, vad de har för tekniska lösningar under PuL och vad de har behövt förändra inför GDPR. Baserat på dessa och den bakomliggande teorin har ett intervjuunderlag tagits fram för att försöka få svar på dessa frågor. Utöver intervjuerna analyseras även samtyckesavtal för att se om det går att dra några slutsatser baserat på dessa om de har tekniska lösningar för att uppfylla GDPR. Det förväntade resultatet som fanns vid undersöknings start var att organisationer inte har det som krävs för PuL och ännu mindre det som krävdes för GDPR, de bör alltså ha varit tvungna att införa nya tekniska lösningar. Resultatet från undersökningen visar att det är en väldig skillnad på hur organisationerna har jobbat med PuL, och att enbart enstaka har använt sig av kryptering för att skydda uppgifterna medans näst intill alla har jobbat med anonymisering. Inför GDPR går organisationerna lite åt samma håll då de flesta uppger att de jobbar med kryptering, åtkomstkontroller och anonymisering. Samma sak gäller dataportabilitet och säkerhetskopieringssystem för att undvika att bortglömda konsumenter återställs från säkerhetskopior, då majoriteten av organisationerna uppger att de inte kommer ha stöd för det. Något som även alla organisationer uppgav var att de inte kommer att vara färdiga med anpassningen och att en stor del av arbetet innebär processer och rutiner. / May 25th, 2018, the Personal Data Act (PuL) will be replaced by the new General Data Protection Regulation (GDPR), which will tighten the requirements placed on companies and organizations that are processing personal data. However, many things will remain the same between PuL and GDPR. The purpose of this study is trying to find out how prepared the organizations in question are facing the GDPR, by investigating which technical changes they should introduce to meet the new requirements. By performing a qualitative interview study on organizations that are processing personal data in accordance with PuL and GDPR. The chosen companies have the possibility to map consumption habits linked to the consumer, for example by a loyalty club. To satisfy the purpose of this study and answer the research question, two sub questions are used, what technical solutions they have used for PuL and what changes they have introduced for GDPR. Based on these two sub questions and the background theory, an interview background has been developed trying to answer these questions. In addition to the interviews the consent agreement will be analyzed, to see if any conclusions about what technical solutions they have implemented to fulfill GDPR can be drawn. The hypotheses which was at the start of the survey were that the organizations don’t have what is required to fulfill PuL and even less of what is required to fulfill GDPR, they should have had to introduce new technical solutions. The result from the survey shows a big difference in how organizations have worked with PuL, and only a few of them have used encryption to protect the data and with almost all of them have worked with anonymization. When working with GDPR, the organizations are working in the same direction where all of them says that they are working with encryption, access controls and anonymization. The same applies to data portability and backup systems to avoid that forgotten consumers are recovered from backups. One thing that all organizations say is that they will not be ready with the adjustments and that a large proportion of the work involves processes and routines.

GDPR

personal data act

PuL

technical solutions

personal data

GDPR

personuppgiftslagen

PuL

tekniska lösningar

personuppgifter

Computer and Information Sciences

Data- och informationsvetenskap

GDPR och backuper hos mjukvaruutvecklingsföretag : En kvalitativ intervjustudie / GDPR and backups among software development companies : A qualitative interview study

Johansson, Ted

January 2018

Detta arbete har som syfte att kontrollera hur verksamheter har anpassat sig inför General Data Protection Regulation (GDPR, sv. Dataskyddsförordningen), både vad det gäller rutinarbete och förändringar som de har genomfört. Arbetet behandlar hur företagen har förändrat sina rutiner gällande säkerhetskopior av kritisk företagsdata och även rutiner kring rätten att bli bortglömd. Vid detta arbetes slut kommer GDPR har trätt i kraft (25:e maj 2018) och därmed bör samtliga verksamheter ha genomfört någon form av förändring inför den ändrade lagstiftningen som börjar gälla då. Då GDPR är en ny lagstiftning ( som dock varit aktuell de senaste 2 åren ) finns en del arbeten kring just GDPR och vilka verksamhetsförändringar man bör vidta. Dock har inget fokus skett på hur företag bör anpassa sina rutiner kring säkerhetskopior och hur företagen bör resonera kring rätten att bli glömd. Därmed blir detta arbete väldigt aktuellt då detta är något som många verksamheter bör ha förändrat, tänkt på och dokumenterat. Metoden som använts i denna studie är en kvalitativ form, där intervjuer har genomförts med representanter från olika verksamheter inom utvecklingsbranschen. Verksamheterna säljer sina programvaror och tjänster till kunder och de hanterar därmed ofta stora mängder personlig information som antingen passerar igenom systemen eller som lagras hos de. Organisationerna som intervjuas har jobbat med GDPR ett tag. I flera av fallen ett år tillbaka för att säkerställa att de deras åtgärder överensstämmer med GDPR. Fem intervjuer genomfördes i sin helhet. Därefter har en tematisk analys genomförts på resultatet från intervjuerna. I intervjuerna är fokus på om och vad för förändringar företagen har genomfört samt hur det ser ut i dagsläget. Efter analysen framträder tydligt att företagen har genomfört vissa förändringar i organisationen, men till större del har dessa förändringar enbart genomförts i form av kontroll av var information finns och dokumentation kring detta och de olika rutiner som finns vid företaget. / The purpose of this work is to check how companies have been adapted to the General Data Protection Regulation, both in terms of routine work and changes that they have implemented. The work addresses how companies have changed their routines regarding backups of critical business data and routines about the right to be forgotten. At the end of this work, the GDPR will come into force (25th of May 2018) and therefore all activities should have implemented some form of change in view of the changed legislation that will apply. Since GDPR is a new legislation (which has been up to date in the past 2 years), some work is being done about just GDPR and what business changes should be made. However, no focus has been on how companies should adapt their routines about backups and how businesses should reason about the right to be forgotten. This makes this work very relevant as this is something that many businesses should have changed, thought about and documented. The method used in this study is a qualitative form, in which interviews have been conducted with representatives from different activities in the development industry. The businesses sell their software and services to customers, and they often handle large amounts of personal information that either passes through the systems or is stored with them. The organizations interviewed have been working for GDPR for a while. In several of the cases a year back to ensure that their actions are in line with the GDPR. Five interviews were conducted in full. Then a thematic analysis has been conducted on the results ofthe interviews. The interviews focus on whether and what changes the companies have made and how it looks today. Following the analysis, it is clear that companies have made certain changes inthe organization, but to a large extent these changes have only been conducted in terms of checking where information is available and documentation about this and the different routines available at the company.

GDPR

General Data Protection Regulation

Backups

Backup

Routines

GDPR

Dataskyddsförordningen

Säkerhetskopior

Backup

rutiner

Engineering and Technology

Teknik och teknologier