Organisationers utmaningar och åtgärder vidframtagandet av samtyckestexter samt dess behandling av personuppgifter i enlighet med dataskyddsförordningen (GDPR) / Organizations challenges and actions in the development of consent documents and their processing of personal data in accordance with the General Data Protection Regulation (GDPR)

Alem, Tesfaom, Lind, William

January 2018

Utvecklingen av digital teknik tillsammans med nya affärsmodeller har nått nya nivåer under de senaste åren vilket har resulterat i att behandlingen av personuppgifter både ökat och förändrats. Problematiken med detta innefattar att den personliga integriteten i större utsträckning kränks. I syfte att harmonisera behandlingen av personuppgifter och att stärka skyddet av den personliga integriteten har EU infört en ny dataskyddsförordning. Förordningen träder i kraft den 25 maj 2018 och ska tillämpas i nationell lagstiftning vilket gör att den svenska personuppgiftslagen ersätts. Syftet med studien var att identifiera vilka åtgärder ett antal organisationer vidtagit för att följa dataskyddsförordningens regler samt vilka utmaningar som kan uppstå i omställningen. Studien är avgränsad till samtyckestexter och behandling av personuppgifter. Studien är kvalitativ och vi har med hjälp av intervjuer tagit del av ett antal organisationers syn på utmaningar och åtgärder gällande formuleringar av samtyckestexter och dess personuppgiftsbehandling. Slutsatsen i denna studie visar att samtliga organisationerna har problem att formulera samtyckestexter på ett informativt sätt vilket dataskyddsförordningen kräver. Organisationerna ser även utmaningar i behandlingen av personuppgifter. Dessa utmaningar består av komplexa IT-system innehållande mängder av personuppgifter som idag inte kan hanteras i enlighet med dataskyddsförordningen då relevant systemstöd saknas. / The rapid development of digital technology together with new business models has reached new levels in recent years, which has resulted in the processing of personal data both increasing and changing. The problem with this development involves the violation of personal integrity to a greater extent. In order to harmonize the processing of personal data and to strengthen the protection of personal privacy, the EU has introduced a new data protection regulation. The regulation will enter into force on May 25, 2018 and will apply in national legislation, which will replace the Swedish Personal Data Act. The purpose of the study was to identify what measures a number of organizations have taken to comply with the rules of data protection regulations and the challenges that may arise in the conversion. The study is limited to consent texts and processing of personal data. The study is qualitative and we have, through interviews, taken note of a number of organizations' views on challenges and measures regarding formulas of consent texts and their personal data processing. The conclusion in this study shows that all organizations have problems formulating consent texts in an informative way, which is required for adequate data protection. Organizations also see challenges in the processing of personal data. These challenges consist of complex IT systems containing amounts of personal data that today cannot be managed in accordance with the Data Protection Regulation, as relevant system support is lacking.

GDPR

General Data Protection Regulation

Consent

Privacy policy

GDPR

Dataskyddsförordningen

Personuppgiftslagen

Samtycke

Personuppgiftsbehandling

Information Systems

Inskränker GDPR rätten att ta del av allmänna handlingar? : En analys av offentlighetsprincipen i ljuset av EU-rättens företräde / Does the GDPR Restrict the Right to Access Public Documents? : An Analysis of the Swedish Right to Access Public Documents in Light of the Primacy of EU Law

Jabal Ameli, Anosheh

January 2018

EU har gradvis utökat sin normgivningskompetens, ofta på bekostnad av medlemsstaternas lagstiftning. Detta har nyligen aktualiserats för Sverige på grund av Dataskyddsförordningen som i folkmun kallas GDPR. I och med att det traditionellt sett har funnits ett starkare dataskydd i EU-rätt jämfört med svensk rätt blir den inhemska lagstiftningen onekligen påverkad av förordningen. Den här uppsatsen avser analysera specifikt offentlighetsprincipen som är stadgad i Sveriges grundlag. Syftet är att identifiera huruvida rätten att ta del av allmänna handlingar, som är en del av offentlighetsprincipen, kan komma att inskränkas med hänsyn till principen om EU-rättens företräde. Syftet uppnås genom fyra etapper. Först sker en historisk tillbakablick av diskussionen vid det svenska unionstillträdet om offentlighetsprincipens fortlevnad. Efter detta görs en jämförelse mellan GDPR och intern rätt för att identifiera eventuella motsättningar. Vidare analyseras praxis från både Sverige och EU-domstolen för att visa på likheter och skillnader i avvägningen mellan offentlighet och sekretess. Till sist utreds hur principen om EU-rättens företräde kan tolkas tillsammans med andra unionsrättsliga bestämmelser för att antingen åsidosätta den nationella lagstiftningen eller hålla den intakt. Författaren föreslår slutledningsvis att effekten på offentlighetsprincipen är försumlig samtidigt som möjligheten att tolka mål härom delvis har skiftat från medlemsstaten till EU-domstolen. / The EU has gradually expanded its legislative competence, often at the expense of member state legislation. This has recently become highly relevant for Sweden due to the recent data protection regulation, the GDPR. Since there has traditionally been a stronger protection for personal data in the EU in comparison to Sweden, domestic Swedish law will become affected by the GDPR coming into force. Within this backdrop, the focus in this thesis will be the right to access public documents, which is established in the Swedish constitution. The aim with this work is to identify in what respect the right to access public documents will be affected considering the principle of primacy according to EU law. The aim is pursued in four steps. First, the former discussion on how the right to access public documents would be affected due to Sweden’s entrance to the EU will be presented. Secondly, the compliance of Swedish law in relation to the GDPR in order to identify potential conflict of norms will be reviewed. Thirdly, case law of the ECJ and Swedish courts in order to show the differentiation between balancing transparency and personal integrity will be reviewed. Finally, it will be analysed how the primacy of EU law can be interpreted together with other EU norms to either override the Swedish constitutional law or leave it intact. The findings suggest that while the effect of the GDPR on the Swedish “offentlighetsprincipen” is negligible, the right to interpret such cases has gradually shifted from relying partly on the member state to the EU.

GDPR

right to access public documents

Primacy of EU Law

GDPR

offentlighetsprincipen

EU-rättens företräde

PUL

OSL

Dataskyddslagen

handlingsoffentlighet

Law

Juridik

Den nya dataskyddsförordningens påverkan på svenska folkhögskolor : Med fokus på konsekvensbedömning / General data protection regulations effect on Swedish folk high schools : With focus on privacy impact assessment

Pettersson, Malin

January 2018

Syftet med denna studie är att undersöka hur folkhögskolor i Sverige hanterar den nya dataskyddsförordningen (nedan nämnd som förordningen eller GDPR) och fokuset har legat på konsekvensbedömning avseende dataskydd. GDPR handlar till stor del om att stärka den personliga integriteten. Konsekvensbedömning avseende dataskydd är ett nytt krav för organisationer som hanterar personuppgifter. Konsekvensbedömning avseende dataskydd handlar om att förebygga hot och sårbarheter samt att göra riskanalyser. Detta gäller säkerheten kring den tekniska biten såsom system där personuppgifter hanteras men även den mänskliga faktorn. Tidigare studier visar att konsekvensbedömning har funnits med länge men konsekvensbedömning för personuppgifter har inte tidigare varit ett krav. Den här studien visar att vissa folkhögskolor är familjära med processen medan vissa inte har utfört en konsekvensbedömning alls. Den här studien visar även att kunskaperna kring hur den nya förordningen påverkar folkhögskolor förbättrades efter ett utbildande webbinarium. Metoden som använts för denna studie är en intervjustudie som innefattar intervjuer med nyckelpersoner på folkhögskolor i Sverige där dessa har haft olika roller för att få en så bred bild som möjligt. Folkhögskolorna har varit på olika stadier i införandet av förordningen men även många likheter har presenterats. För att få fram svar på forskningsfrågan har intervjuer med fem nyckelpersoner på fyra olika folkhögskolor genomförts. Resultaten kommer att analyseras genom en innehållsanalys och genom analysen kommer rapporten kunna presentera en bild av hur folkhögskolor arbetar med personuppgifter, vilka förändringar kring arbetet som har uppkommit men också vilka utmaningar det finns att implementera GDPR och konsekvensbedömning. Sammanfattningsvis så kom det fram att folkhögskolor är olika i arbetet med konsekvensbedömning. Vissa folkhögskolor prioriterar det medan andra inte arbetar alls med det. Ett specifikt svar på hur folkhögskolor påverkas av GDPR och konsekvensbedömning kan inte ges sedan varje folkhögskola är olika varandra. Det kan bero på att folkhögskolor är frivilliga, till skillnad från grundskola och gymnasium och att folkhögskolor ofta drivs av fristående stiftelser. / The purpose of the work is to study how folk high schools in Sweden are handling General Data Protection Regulation (GDPR) and the focus has been on Privacy Impact Assessment (PIA). GDPR is mostly about strengthening personal privacy. PIA is a new requirement for organizations which are handling personal information. PIA is about preventing threats and vulnerabilities and about risk analyses. Both when it comes to security to systems where the personal information is stored but also about human factors. Earlier studies show that privacy impact assessment has been here for a long time but the privacy impact assessment regarding personal data has not been a requirement. This study showed that some of the folk high schools were familiar with the process, while some have never done that before. The study also shows that the knowledge of how the regulation is affecting folk high schools were improved after an educational webinar. The method that has been used for this work is an interview study which is based on interviewing key figures from folk high schools in Sweden. The respondents have mixed roles in the organizations, to get a wider picture. The folk high schools have been on various stages with implementing GDPR but shares similarities. To get an answer for the research question, the study was based on interviews with five key figures from four different folk high schools. The results were analysed based on a content analysis where the report aims to present an image of how the folk high schools are working with personal data, what changes have been made to meet the requirements for GDPR and privacy impact assessment but also what challenges exist when implementing them. The conclusion was that folk high schools are different when it comes to working with privacy impact assessment. Some are prioritizing it while some are not working with it at all. A certain answer to the question cannot be answered since there are differences between folk high schools. One reason for that is because folk high schools are optional, in difference of primary school and high schools, and often run by independent foundations.

GDPR

privacy impact assessment

personal privacy

folk high school

risk management

GDPR

konsekvensbedömning

integritet

folkhögskolor

riskhantering

Engineering and Technology

Teknik och teknologier

Generisk dataportabilitet för personuppgifter : En kvalitativ fallstudie av Region Östergötland / Generic data portability for personal data : A qualitative field study of Region Ostergotland

Larsson, Erik, Lind, Joakim

January 2017

I samband med den nya dataskyddsförordningen för EU tillkommer ny lagstiftning kring hur verksamheter får behandla EU-medborgares personuppgifter. En av de stora nyheterna är dataportabilitetskravet som ställer krav på att verksamheter ska kunna överföra individers personuppgifter till individerna själva eller till andra personuppgiftsansvariga. Detta innebär omfattande utmaningar med verksamheters förmåga till interoperabilitet i förhållande till andra aktörer utifrån juridisk, organisatorisk, teknisk och semantisk interoperabilitet. Med dataportabilitetskravet hamnar interoperabilitet i fokus som en förutsättning förverksamheter att uppfylla dataskyddslagstiftningen. Mot bakgrund av detta studeras en offentlig organisation som berörs av dataskyddsreformen och kravet på dataportabilitet. I studien inryms en fördjupning av hur organisationen hanterar sina system och strukturer samt jobbar med standarder och samarbeten för att uppnå interoperabilitet i enlighet med dataportabilitet. Det studerade fallet bidrar med insikter för hur andra organisationer kan arbeta med liknande frågor som berör dataportabilitet och interoperabilitet. I studien framkommer det att fallorganisationen sedan tidigare arbetar med interoperabilitetsfrågor. Detta är på grund av egenuppmärksammade behov inom verksamheten och inte enbart av lagkravet från dataskyddsförordningen på dataportabilitet. Med hänsyn till dataskyddsförordningen pågår för närvarande interna analyser kring vilka åtgärder som behöver vidtas där dataportabilitet är ett av dessa områden. Organisationen ser utmaningar främst rörande tolkningen av de nya lagkraven, organisatorisk interoperabilitet och semantisk. Arbetet för att kunna uppfylla kravet pågår, och man följer de rekommendationer som ges från rådgivande organisationer, både från EU och nationellt. Studiens kunskapsbidrag bidrar till ökad förståelse för vilken relevans som interoperabilitet har för dataportabilitet kontextualiserat till den nya dataskyddsförordningen. Studien visar relevansen av hur gemensamma spelregler mellan olika parter i form av gemensam juridik bidrar till förbättrade förutsättningar att nå interoperabilitet på även de andra nivåerna: organisatoriskt, tekniskt och semantiskt, vilket utifrån vad studien visar är avgörande för möjligheten till dataportabilitet. Studien bidrar därtill med en användbar konceptuell modell för att utvärdera interoperabilitet som en förutsättning för dataportabilitet för organisationer. / In the context of the new General Data Protection Regulation (GDPR) within EU, new legislation is added upon how organizations are permitted to process EU citizens’ personal data. One of the changes is the right to data portability which sets the requirements that organizations must be able to transfer subjects’ personal data to the subject itself or to other data controllers. This implicates comprehensive challenges for organizations’ capacity to reach interoperability in relation to other actors’ based on juridical, organizational, technical and semantic interoperability. In light of the requirement of data portability, interoperability comes into focus as a condition for organizations to comply with the GDPR regulation. In consideration of this background, a public organization that is affected by the data protection reform and the data portability requirement is being studied. In the study, a deepening is made on how the organization manage their systems and structures as well as working with standards and co-operations to reach interoperability in accordance with data portability. The studied case contributes with insights on how organizations can work with similar issues that consider data portability and interoperability. In the study it is clear that the case organization is already working with interoperability issues. This as a result of the organizations own attention of related issues and not only as an effect due to the new data protection regulation and its requirement of data portability. In effect of the data protection regulation, an ongoing analysis is made within the case organization to investigate which actions are needed, where the right to data portability is one of the areas to deal with. The organization identify challenges mainly within the interpretation of the GDPR, organizational and semantic interoperability. The work on how to comply with the requirements is in progress, and the organization follow the recommendations which are given by advising organizations both within EU and on national level. The contribution of the study is deepening knowledge on the relevance of interoperability as a condition to achieve data portability contextualized by the GDPR. Our study shows the relevance of how common rules between different actors in the form of common legislation contributes to improved prerequisites to reach interoperability on all four levels, namely, organizational, juridical, technical and semantic interoperability, which from what our study show is crucial for data portability. The study also contributes with a useful conceptual model to evaluate interoperability as a prerequisite to achieve data portability for organizations.

data portability

interoperability

General Data Protection Regulation

GDPR

personal data

dataportabilitet

interoperabilitet

dataskyddsförordningen

GDPR

personuppgifter

Information Systems

Detaljhandelns förberedelser inför GDPR : En fallstudie om vilka förändringar företagen behöver utföra samt deras arbete kring GDPR

Adolfsson, Sandra, Lundholm, Paula

January 2017

Det rådande EU-direktivet som behandlar dataskydd från år 1995 är idag inte lika aktuellt som när det infördes. Det är därför i hög tid att en uppdatering kommer. I maj 2018 införs den nya dataskyddsförordningen, GDPR, som är EU:s senaste förordning. Den kommer ersätta Sveriges personuppgiftslag, PuL, som idag styr över hur personuppgifter behandlas. GDPR kommer innebära strängare lagar kring informationshantering och fler rättigheter till privatpersoner. Ett exempel är att privatpersoner kommer kunna be om att få alla data kopplad till personen raderade. Många företag erbjuder medlemskap till privatpersoner och lagrar därför kunduppgifter digitalt, vilket betyder att de påverkas av GDPR i stor grad då de måste omforma sina IT-system för att leva upp till de nya kraven. Denna studie handlar om fyra företag och förändringarna de står inför samt hur de arbetar med de nya kraven som GDPR innebär för dem. En kravmodell skapas med en sammanställning av de nya kraven och resultatet visar sedan vilka företag som börjat arbeta med de kraven. Resultatet visar även hur långt de kommit i sitt arbete med dataskyddsförordningen och kan förhoppningsvis vägleda andra företag i hur de bör arbeta med dataskyddsförordningen samt vilka förändringar de bör genomföra för att leva upp till de nya kraven.

GDPR

General Data Protection Regulation

CRM

GDPR

dataskyddsförordningen

informationssäkerhet

CRM

Information Systems, Social aspects

Livet efter Schrems II : EU:s integritetsskydd i ljuset av statlig övervakning

Olsson, Mattias

January 2021

International transfers of personal data impose great risk to the fundamental rights of individuals. Equally true however is the fact that international transfers of personal data (as well as other categories of data) are of great value to the global economy and to the business of many European companies. Personal data has to be able to flow freely within the European single market as well as to the rest of the world, but if the fundamental rights which are recognized by the EU are to be taken seriously this simply can’t be the case, there has to be restrictions of some sort. In other words, international transfers have to recognize fundamental rights, or otherwise they can’t occur. The million-dollar question, therefore, is how these two interests can merge. International transfers of personal data are regulated in the general data protection regulation, which is explored in depth in the thesis. The rules of such transfers are quite complex and have of late been vigorously debated. In the center of it all is Maximilian Schrems, who has succeeded in his attempts to tear down the regulation’s popular mechanisms for international transfers, namely Safe Harbour and Privacy Shield. It has successfully been argued that these mechanisms don’t guarantee an adequate level of protection of the fundamental rights of individuals within the EU when their personal data is transferred to the United States. The secret surveillance of the American intelligence agencies imposes to great of a threat to the fundamental rights, which aren’t safeguarded by these mechanisms. The European Court of Justice has in its case law been sympathetic to the criticism of Mr. Schrems and has judged both Safe Harbour and Privacy Shield invalid. In the light of the case law of the court, specifically the Schrems II ruling, international data transfers to the United States are very problematic from a privacy perspective, and I argue that all transfers to all third countries are troublesome as a consequence of Schrems II. If an international transfer is to be carried out to a country which performs secret surveillance (i.e. most countries of the world) the data controller and processor have to guarantee the protection of the rights of the data subject vis-à-vis the state’s surveillance throughout the transfer, otherwise it can’t materialize. This I argue is not possible, which in practice prohibits the possibility for transfers to most countries almost completely. In summary the thesis explores the dynamic relationship between international transfers of personal data and national security. The overriding conclusion is that it is a dysfunctional relationship indeed and that transfers can’t occur to third countries which doesn’t respect fundamental rights. This is the case in general, regardless of what mechanisms are used, what data is to be transferred and what supplementary measures the parties apply.

GDPR

Schrems

International transfers

privacy

Facebook

GDPR

Schrems

tredjelandsöverföring

integritet

Facebook

Law (excluding Law and Society)

Personaliserad marknadsföring inom dagligvaruhandel online i EU : En kvalitativ studie om hur svenska och tyska konsumenter uppfattar personaliserad marknadsföring

Vedin, Emelie, Doderovic, Mina

January 2023

Personaliserad marknadsföring är betydelsefullt för e-handeln och dess framgång. “Personaliserad marknadsföring definieras som att designa och leverera skräddarsydda produkter och tjänster till enskilda kunder, personaliserad marknadsföring innebär med andra ord differentierade erbjudanden för enskilda kunder” (Chandra, Verma, Marc Lim, Kumar & Donthu 2022, s. 1534).  Denna marknadsföringsstrategi får en ökad betydelse på nätet inom detaljhandel. Det finns bristfällig forskning gällande konsumenternas uppfattning om personaliserad marknadsföring samt bristande forskning kring kulturella aspekter inom personaliserad marknadsföring. Det finns en oro bland konsumenter för hur företag behandlar personliga uppgifter samt säkerheten kring dessa. Samtidigt har hantering av personliga uppgifter blivit ett diskuterat ämne inom EU där lagen om GDPR har tillfört att denna hantering skapat en större kontroll över personliga uppgifter. Denna studie syftar till att öka förståelsen kring personaliserad marknadsföring inom EU utifrån konsumenternas uppfattning samt att undersöka vilka faktorer som påverkar denna uppfattning. Studien avgränsas till EU då länder inom EU regleras av lagen om GDPR. För att undersöka detta har en kvalitativ forskningsstrategi tillämpats, där semistrukturerade intervjuer har genomförts med konsumenter i Sverige och Tyskland.  De teorier som tillämpats behandlar delning av personlig information, konsumentbeteende, integritet, köpintention vid personaliserad marknadsföring och individualism/kollektivism. Empirin har tillsammans med teorierna analyserats och visat på att det finns skillnader i hur svenska och tyska konsumenter uppfattar personaliserad marknadsföring.  Studiens slutsats fastställer en positiv uppfattning om personaliserad marknadsföring bland de svenska konsumenterna i större omfattning i jämförelse med de tyska konsumenterna. Studien påvisar att de svenska konsumenterna inte uppvisar en oro för integritet, en upplevd påträngning av personliga annonser samt en motvilja till att dela personlig information i lika stor utsträckning som de tyska konsumenterna. Studien kan urskilja att de tyska konsumenterna påverkas i större grad av lagen om GDPR och ytterligare en tysk lag som reglerar hantering av personliga uppgifter. Studien påvisar även att konsumenterna påverkas av två faktorer, personliga och sociala, vid val av livsmedelsvaror. Studien kan även konstatera att konsumenterna påvisar ett individualistiskt beteende vid val av livsmedelsvaror. / Personalized marketing is important to e-commerce and its success. “Personalized marketing is defined as designing and delivering tailor-made products and services to individual customers. In other words, personalized marketing involves differentiated offerings for individual customers” (Chandra, Verma, Marc Lim, Kumar & Donthu 2022, s. 1534).  This marketing strategy is gaining increased importance online in retail. There is inadequate research regarding consumers’ perceptions of personalized marketing. In addition, there is inadequate research regarding cultural aspects of personalized marketing. There is a concern among consumers about how companies process personal data and the security regarding this. At the same time, processing of personal data has become a discussed topic within the EU, where GDPR has contributed to a greater control over the processing of personal data. This study aims to increase the understanding of personalized marketing within the EU based on consumers’ perception and to study which factors influence this perception. The study is limited to the EU as countries within the EU are regulated by the law of GDPR. To investigate this, a qualitative research strategy has been applied, where semi-structured interviews have been conducted with consumers in Sweden and Germany.   The theories that are applied to this study deal with the sharing of personal information, consumer behavior, privacy, purchase intention in personalized marketing and individualism/collectivism. The collected data have been analyzed together with the theories and shown that there are differences in how Swedish consumers and German consumers perceive personalized marketing.  The conclusion of this study establishes a positive perspective of personalized marketing among the Swedish consumers to a greater extent in comparison with the German consumers. The study can prove that Swedish consumers do not show a concern for privacy, a perceived intrusion of personal advertisements and an aversion of sharing personal information to the same extent as the German consumers. The study can distinguish that German consumers are affected to a greater extent by the law on GDPR and another German law that regulates the handling of personal data. This study also shows that consumers are influenced by two factors, personal and social, when choosing food products. The study can also establish that consumers demonstrate an individualistic behavior when choosing food products.

Personalized marketing

Perception

Online grocery stores

Sweden

Germany

GDPR.

Personaliserad marknadsföring

Uppfattning

Dagligvaruhandel online

Sverige

Tyskland

GDPR.

Business Administration

Företagsekonomi

Legal and Security Issues of Data Processing when Implementing IoT Solutions in Apartments / Rättsliga och säkerhetsrelaterade problem med databehandling för IoT-lösningar i bostädsrätter

Edman, Johan, Ågren, Wilhelm

January 2020

The concept of the Internet of Things (IoT) and connected devices is a growing trend. New ways to integrate them with Smart Home Technology emerge each day. The use of sensors in IoT solutions enables large scale data collection that can be used in various ways. The European Union recently enforced a General Data Protection Regulation (GDPR) that sets guidelines for the collection and processing of personal information. The communication protocol M-Bus is a European standard (EN 13757-x) mainly used for remote reading of electrical, gas and water meters. M-Bus is being integrated with sensors because the protocol offers long battery times. There are however some known flaws with the protocol that might make it unsuitable for a large scale data collection system. A conceptualized data collection scenario with a system utilizing M- Bus is presented. The authors aim to investigate some of the security flaws with the M-Bus protocol, while also investigating the GDPR demands of the system. The thesis supplements a System Requirement Specification (SyRS) which can be used as a template for organizations implementing a similar system. An analysis of the system based on the SyRS is conducted to identify any shortcomings. Modifications to the system are proposed in order to comply with the defined SyRS. The authors concluded that M-Bus is a sufficiently reliable protocol to be used in the system, and has no inherent conflicts with GDPR. The system has a few flaws in terms of GDPR compliance, which require both administrative and technical work to comply with. The suggested modifications of the system are mainly focused on how the data is stored in various parts of it. / Konceptet med Internet of Things (IoT) och uppkopplade enheter är en väx- ande trend, och nya sätt att integrera dem med det smarta hemmet framträder varje dag. Den Europeiska Unionen har nyligen verkställt en ny dataskydds- förordning, General Data Protection Regulation (GDPR), som sätter krav på insamling och behandling av personlig data. Användandet av IoT lösningar skapar möjligheten för storskalig datainsamling som kan användas på flera sätt. Kommunikationsprotokollet M-Bus är en europeisk standard (EN 13757-x) som huvudsakligen är framtagen för att avlägset läsa av el-, gas- och vattenmätare. På grund av ett litet avtryck och enkel implementation av sitt protokoll så är M-bus ofta ett val till uppkoplade sensorer för att möjliggöra lång drifttid. Det finns däremot ett antal säkerhetsbrister med protokollet som kan göra det olämpligt för ett datainsamlingssystem. Ett konceptualiserat datainsamlingscenario med ett system som utnyttjar M-Bus presenteras. Författarnas mål är att undersöka några av säkerhetsbristerna med M-Bus protokollet, samtidigt som det undersöker vilka krav GDPR ställer på ett sådant system. Uppsatsen sammanställer en kravspecifikation som kan användas som grund och riktlinje för organisationer som ska implementera liknande system. En analys av det konceptualiserade systemet baserat på kravspecifikationen genomförs för att identifiera potentiella brister. Modifikationer till system föreslås för att uppnå kraven definierade i kravspecifikationen. Författarna drog slutsatsen att M-Bus är ett tillräckligt tillförlitligt protokoll som kan användas för system likt detta. Det analyserade systemet har några brister gällande GDPR, som kräver både tekniska och administrativa åtgärder. De föreslagna modifikationerna av systemet är fokuserade primärt på hur den personliga informationen lagras i de olika delarna av systemet.

Smart Buildings

IoT

M-Bus

GDPR

SyRS

Smarta Byggnader

IoT

M-Bus

GDPR

SyRS

Computer and Information Sciences

Data- och informationsvetenskap

Blockchain, the future opportunity for trading progression? / Blockkedjan, framtiden för digitala överföringssystem?

Tran, Tony, Levin, Mats

January 2017

The rapid expansion of computer technology have forced several business sectors to integrate with the continuous development of techniques in order to assist them in various tasks. Many fields have happily embraced the technology implementing it in numerous ways, however the development speed have proven difficult to keep up with. The insurance industry have struggled with ridding themselves of old and monolithic legacy systems with a haphazard construction. These systems are costly, cumbersome and often reliant on a “third party” centered structure creating such flaws as data leaks and monopolisation. Blockchain is a distributed ledger operating over a peer-to-peer basis, with the intention to unshackle contemporary system from their dependence towards central authorities. Additionally, the peer-to-peer architecture introduced a new form of transparency which differs from contemporary solutions used in centralised systems, beyond the peer-to-peer architecture, the blockchain also incorporated consensus algorithms, allowing peers to verify one another to achieve consensus regarding the validity of each block. This resulted in a "trustless system" considering no single party in the community is dependent on the credibility of a central authority. In order for the blockchain technology to be applicable on the market it must overcome obstacles such as privacy and the new EU data protection regulation “General protection data regulation”. However a vague definition of personal data have caused ambiguity which appears to be irreconcilable with the blockchain technology. Research have therefore shifted its focus to explore opportunities for the technology to collaborate with techniques from centralisation in order to overcome its obstacles. / Datorteknologins hastiga expansion har bidragit till att mängder av olika yrkessektorer tvingats integrera teknologin i sin dagliga verksamhet för att bidra med vissa uppgifter. Då teknologin i stor utsträckning har varit till nytta har många yrkesgrupper välkomnat den, dock har teknikens utvecklingshastighet visats vara mycket hög vilket medfört viss problematik. Försäkringsbranschen har visats ha problem med att hantera vidareutvecklingen av sina gamla monolitiska “legacy” system då de är både utdaterade och konstruerade på ett ostrukturerat sätt. Dessa gamla system är kostsamma, svårhanterliga och baseras ofta på en systemarkitektur centrerad kring “tredje parter” detta medför problem som dataläckor och monopolisation. Blockkedjan är ett distribuerat journalsystem som struktureras med ett peer-to-peer nät som bas. Detta görs med förhoppningen att kunna frigöra existerande system från centrala autentiseringsparter. Dessutom har blockkedjan introducerat en ny sorts transparens som skiljer sig från de nuvarande centrala systemen. Blockkedjan inkluderar också consensus algoritmer som medför att alla deltagare kan verifiera varrandra och därmed nå ett uniformt beslut om blocks validitet. Dessa egenskaper resulterar i ett system som inte är beroende av att dess användare behöver lita på en centraliserad tredje part. För att blockkedjan ska vara användbar och framgångsrik på en öppen marknad finns vissa funktionskrav som måste uppfyllas. Ett av de främsta av dessa är EU förordningen “General protection data regulation”. Problem har uppstått då “General protection data regulation” innefattar vaga definitioner av “personlig data”, dessutom är de existerande tolkningar av konceptet svår applicerade för blockkedje tekniker. Detta har bidragit till att utvecklingen av rena blockkedje lösningar har stagnerat och utvecklingen dirigerats om till forskning inom hybrid teknologier som inkluderar tekniker från centraliserade system.

Blockchain

Immutable data

GDPR

Insurance

Bitcoin

Ethereum

Blockkedja

Oföränderlig data

GDPR

Försäkring

Bitcoin

Ethereum

Information Systems

Artificiell Intelligens i Digital Marknadsföring : En kvalitativ studie om konsumentintegritet i samband med nyttjandet av AI / Artificial Intelligence in Digital Marketing : A qualitative study on consumer privacy in relation to the use of AI

Lännenmäki, Julia, Norman, Jennifer

January 2023

Digital tools are rapidly evolving (Quach et al. 2022), and this is a contributing factor to the increase in breaches of consumer privacy. This creates a need to understand how consumers relate to marketing using Artificial Intelligence (AI) and personal information to enable personalization (Kumar et al. 2019). AI can generate benefits both for marketers and consumers. It is also used in personal marketing by collecting and managing data in order to make decisions (Huang & Rust 2021a). In contrast, the privacy risks associated with AI are when data is collected without consent and AI systems draw conclusions from individual customer data or interaction data with other consumers (Hermann 2022). There is a need to understand how consumers relate to personal information being used in marketing. For this reason, a qualitative study is being conducted on consumer privacy in relation to the use of AI in digital marketing and how the approach differs between different generations. The study is based on theories to analyze the data collection from interviews to be able to answer the research question. The theories are used to form key concepts that are the basis for a thematic analysis.  The conclusions show that AI can contribute to influence consumer behavior and that there are differences as well as similarities in the generations' approach to digital marketing and AI. Participants in the study have a negative perspective on the subject, while at the same time, some respondents state that personal marketing is preferred. In addition to this, it appears in the study that all participants have insufficient knowledge of how to assess risks when providing personal information, and that they share a concern of AI managing their personal information. The reasons differ depending on the generation of the participants. / Digitala verktyg genomgår, och har under en tid genomgått en snabb utveckling (Quach et al. 2022), och det är en bidragande faktor till att överträdelser på konsumenters integritet ökar. Detta ger ett växande behov av att förstå hur konsumenter förhåller sig till att marknadsföring använder Artificiell Intelligens (AI) och personlig information för att möjliggöra personalisering (Kumar et al. 2019). AI kan generera fördelar för både marknadsförare och kunder. Det används även inom personlig marknadsföring genom att samla in och hantera data för att kunna ta beslut (Huang & Rust 2021a). De integritetsrisker som finns kopplade till AI är däremot när data samlas in utan samtycke och AI-system drar slutsatser från individuella kunddata eller interaktionsdata med andra kunder (Hermann 2022). Här finns ett ökat behov av att förstå hur konsumenter förhåller sig till att personlig information används i marknadsföring. Av denna anledning genomförs en kvalitativ studie om konsumenters integritet i samband med AI i digital marknadsföring, samt hur förhållningssättet skiljer mellan olika generationer.   Studien utgår från teorier för att analysera datainsamlingen med hjälp av semistrukturerade intervjuer för att därefter kunna besvara forskningsfrågan. Teorierna används för att ta fram värdebegrepp som ligger till grund för en tematisk analys.   Slutsatserna visar på att AI kan bidra med påverkan på konsumentbeteenden och att det finns skillnader samt likheter i generationernas förhållningssätt till digital marknadsföring och AI. Deltagare i studien förhåller sig negativt till ämnet, samtidigt som vissa respondenter framför att personlig marknadsföring föredras. Utöver detta framkommer det i studien att samtliga deltagare har otillräckliga kunskaper för hur de ska bedöma risker när de ska tillhandahålla personlig information, samt att de delar en oro av att AI hanterar deras information, däremot skiljer sig orsakerna beroende på deltagarnas ålder och generation.

Digital marketing

Artificial intelligence

Personalized marketing

Consumer privacy

GDPR

Digital marknadsföring

Artificiell intelligens

Personlig marknadsföring

Konsumentintegritet

GDPR

Business Administration

Företagsekonomi