Challenges Involved in the Implementation of the General Data Protection Regulation (GDPR) in an Information System Development Organization - An Exploratory Study.

Kutserenko, Kristiina

January 2018

The General Data Protection Regulation (GDPR) is a key regulation that deals with the protection of personal data in the European Union. It will be enforced on May 25, 2018. The GDPR brings in significant changes compared to the previous Data Protection Directive 95/46/EC (DIR95). Therefore, the organizations that fall within the scope of the GDPR are required to make their information systems compliant. Due to the complexity of modern software and the magnitude of changes required for the successful adoption of the GDPR, adopting such requirements could be a challenging task. Various works have already been conducted in the past addressing different articles and principles of the GDPR. However, relatively new Legal Technology sector has not been the focus of the GDPR related research. The purpose of the thesis is to investigate how a Legal Technology organization is affected by the challenges of implementing GDPR related requirements into its information system. In order to address the aim of the study, a literature review was conducted, followed by a case study in Assently AB, a small-sized organization belonging to the Legal Technology industry. In order to gather detailed information about the challenges of implementing the GDPR in their information system, semi-structured interviews were conducted with the practitioners at Assently. The result of this study is a collection of challenges. This collection of challenges relates to understanding the regulation in order to implement it into information system, creating new tools and processes, reviewing existing tools and processes, human resource availability for the support, management and development of information system and facing possible customer-related issues. The study contributes to the GDPR and Legal Technology related research. Moreover, it can be used by the industry practitioners to prepare for the similar implementations in the future. Furthermore, it will be useful for the emerging Legal Technology organizations who may need to design their information systems in compliance with the GDPR.

Case study

General Data Protection Regulation

GDPR

information systems

Legal Technology.

Information Systems

The General Data ProtectionRegulation vs. The Blockchain : A legal study on the compatibility between blockchain technology and the GDPR

Ramsay, Sebastian

January 2018

This thesis examines open distributed blockchain technology from a legal perspective. The blockchain is a technology used to secure and ensure the integrity of data in an unsafe digital environment. Traditionally, peer-to-peer networks (P2P-networks), synonymous with distributed networks, have faced the issue of ensuring the integrity of data and deterring scams such as double spending, which refers to someone using the same assets twice, and has discouraged people from using P2P-networks. Scams like double spending have been possible in the absence of a governing party ensuring the integrity of the data, that is until the introduction of Bitcoin in 2008, which introduced a cryptographic solution to ensuring the data’s integrity in a P2P electronic cash system. By relying on cryptography, instead of trusting institutions for the integrity of transactions, the introduction of Bitcoin facilitated a move towards decentralization where classical middleman services, like banking, are becoming obsolete.The General Data Protection Regulation (GDPR), which is to be implemented in all European Union (EU) member countries on May 25th, 2018, is a regulation that aims to harmonize data privacy laws across Europe. The GDPR introduces several fundamental rights and freedoms for natural persons regarding the protection of their personal data. This means that certain responsibilities are imposed on the responsible parties that process personal data.This thesis examines to which extent the GDPR is applicable to an open distributed blockchain and if the fundamental principles under the regulation can be upheld, respectively if the responsible parties can fulfill their responsibilities imposed by the regulation.

Blockchain GDPR Cryptocurrency

Law (excluding Law and Society)

Behandlingen av personuppgifter i EU:s nya dataskyddsförordning : Personuppgifter och dataportabilitet ur ett konkurrensrättsligt perspektiv / The processing of personal data in the General Data Protection Regulation : - Personal data and the right to data portability from a competition law perspective

Iwars, Jakob, Roos, Julia

January 2018

EU:s nya dataskyddsförordning, General Data Protection Regulation (GDPR) träder i kraft den 25 maj 2018 och ersätter den nuvarande personuppgiftslagen. Syftet med förordningen är att reglera och stärka skyddet vid all behandling av persondata. Bakgrunden till förordningen grundar sig i att EU behöver anpassa sig till den digitala och teknologiska utvecklingen som skett på marknaden, vilket medfört att mängden persondata som myndigheter och tjänsteleverantörer hanterar har ökat explosionsartat. Tjänsteleverantörer får flertalet fördelar genom att besitta en stor mängd persondata. De kan genom detta bevaka individens beteendemönster för att kunna anpassa sina internetsidor, rikta reklam som överensstämmer med individens intressen och förbättra den allmänna upplevelsen av den givna tjänsten. Med hjälp av persondata har aktörer på marknaden kunnat "låsa in" sina kunder, genom att tillämpa höga flyttaavgifter för persondata. Detta har varit en faktor som ansetts utgöra en hämmande effekt för den innovativa och konkurrensmässiga utvecklingen, vilket har resulterat i att konkurrensrätten kommer att behöva samspela med den nya dataskyddsförordningen gällande hanteringen av personuppgifter. Europeiska unionens nya dataskyddsförordning kommer att gälla för EU:s samtliga medlemsstater och ersätter helt personuppgiftslagen i Sverige. En förhoppning med den nya förordningen är att den ska gynna en ökad konkurrens på den europeiska marknaden, skapa goda förutsättningar för den innovativa utvecklingen och ge en större kontroll till personuppgiftsgivaren . Till följd av den nya dataskyddsförordningen tillkommer nya rättigheter och skyldigheter för både juridiska och fysiska personer. För att få en klarare bild av rättsläget, kommer denna uppsats att beskriva och problematisera den nya rätten till dataportabilitet och dess samspel med de andra artiklarna i dataskyddsförordningen.

GDPR

Dataskyddsförordningen

Personuppgifter

Dataportabilitet

Konkurrensrätt

Law (excluding Law and Society)

User control of personal data : A study of personal data management in a GDPR-compliant grahpical user interface / Användares kontroll över personuppgifter : En studie i hanteringen av personuppgifter i ett GDPR-kompatibelt grafiskt användargränssnitt

Olausson, Michaela

January 2018

The following bachelor thesis explores the design of a GDPR (General Data Protection Regulation) compliant graphical user interface, for an administrative school system. The work presents the process of developing and evaluating a web-based prototype, a platform chosen because of its availability. The aim is to investigate if the design increases the caregivers perception of being in control over personal data, both their own and data related to children in their care. The methods for investigating this subject are grounded in real world research, using both quantitative and qualitative methods.   The results indicate that the users perceive the prototype to be useful, easy to use, easy to learn and that they are satisfied with it. The results also point towards the users feeling of control of both their own and their child’s personal data when using the prototype. The users agree that a higher sense of control also increases their sense of security.

GDPR

General Data Protection Regulation

Data privacy

Usability

Interface design

Media and Communication Technology

Medieteknik

Seniors Privacy Concerns in Health Technology Wearables : Regulations vs. User Concerns

Siggelin, Sofie

January 2017

Technology is rapidly advancing and more sophisticated wearables capable of monitoring health concerns and potential diseases are entering the market. Meanwhile, regulations are just catching up and the new EU-wide General Data Protection Regulation (GDPR) will be implemented in May of 2018. This thesis reviews the concerns voiced by users when using wearables collecting their sensitive health data and compare them with the upcoming regulatory changes, to see if they address the many worries of users. The main goal of the GDPR is to bring ownership of the data back to the individual as well as harmonizing the market in the EU, but the question is if its focus is on the right things that users actually value and will their concerns be eased by the new regulations? A high-level review of the current and upcoming regulations on data collection was made as well as reviewing already discovered user concerns. The study was made using qualitative methodology and face-to-face interviews with users affected by medical conditions, in order to identify their perception of trust in wearable technology monitoring their health status. The results were analyzed using a thematic analysis where three main areas of concern were discovered. These where then compared to the literature review. The three areas of concern that were discovered are: a lack of control where users have a clear need of ownership of their personal data, the concern of companies abusing individual’s data for commercial purposes and a doubt in the level of trust users can put in the information they receive. The GDPR does address several of these concerns by bringing ownership of data back to the users. By strengthening the need for explicit consent from the companies, more transparent policies and security implementations of data integrity, the GDPR features several steps that could ensure the privacy of users such as distribution of data and “the right to be forgotten”. Upcoming research can go deeper into the GDPR and the future will tell if it is successful in its aim to empower the user as it might seem excellent on paper but face several challenges in reaching its goal.

Health Technology

Wearables

GDPR

Integrity

Privacy

Information Systems

Effekterna av GDPR : En jämförelse mellan Personuppgiftslagen och den kommande allmänna dataskyddsförordningen. / The effects of GDPR : A comparison between the Swedish Personal Data Act and the General Data Protection Regulation.

Brink, Johan, Elvland, Erik, Hansson, Patrik

January 2017

Den 25 maj 2018 kommer Personuppgiftslagen (PuL) att ersättas av EU-förordningen GeneralData Protection Regulation (GDPR). Denna studie har granskat vilka skillnader som finnsmellan GDPR och PuL och även hur företag planerar att hantera de förändringar som GDPRkommer att medföra. Även om GDPR i många avseende är lik PuL kommer den nyaförordningen att påverka allt ifrån den enskilda individen till de största organisationerna.Förordningen kommer innebära mer rättigheter och bättre skydd för den registrerade, vilketbetyder att det kommer ställas högre krav på de företag som behandlar personuppgifter. De nya kraven kommer innebära ett omfattande anpassningsarbete inom flera områden. Delskommer det behöva ske administrativa och juridiska förändringar inom verksamheten i form avnya eller uppdaterade avtal. Det kan även komma att krävas tekniska åtgärder för att hanterafrågor som “Rätten att bli glömd”, ”Dataportabilitet”, ”Registerföring” samt det förstärktaskyddet av personuppgifter. Det ställs även krav på att personuppgiftsincidenter måsterapporteras till tillsynsmyndigheten vid upptäckande. Då tillämpningsområdet utökas medfördetta att personuppgifter som lagras ostrukturerat kommer omfattas av lagstiftningen. För attuppnå efterlevnad av förordningen införs krav på att i vissa fall utse ett “Dataskyddsombud” iverksamheten; tillsynsmyndigheten får även befogenhet till att utdöma mycket kraftigasanktioner vid överträdelse av förordningen. Beroende på hur en verksamhets personuppgiftshantering ser ut i dagsläget kan dennaanpassning bli mer eller mindre omfattande. Anpassningsarbetets omfattning påverkas av ettantal faktorer exempelvis under vilka förutsättningar som behandlingen sker i nuläget och ivilken omfattning denna sker. Inställningen till förordningen bland företag är varierande, de som tar den på allvar har insettatt nya krav kommer att ställas på deras verksamheter och har påbörjat arbetet för att anpassasin verksamhet. Andra anser att de inte berörs i samma utsträckning och är därför inte likaoroliga. På det stora hela kommer förordningen göra att personuppgiftsbehandlingen inomEU/ESS blir säkrare även om resan dit kan kosta. / On the 25th of May 2018 the Swedish Personal Data Act (Personuppgiftslagen, PuL) will be replaced by the EU-regulation General Data Protection Regulation (GDPR). The aim of this study was to determine the big differences between PuL and the GDPR while also looking at how organisations plan to handle the changes that the new regulation will bring. PuL and GDPRare in many ways similar but there are some major changes that will affect every person and every organisation within the EU/EES. The regulation will mean better and morecomprehensive rights for the individual, which in turn will result in higher requirements beingput on the companies who process personal data. The new requirements will result in extensive work within several areas to adapt to the new regulation. The legal and administrative sections will need to review their current contracts & agreements and update them if necessary. There may also need to implement technical solutionsto manage the requirements concerning “the right to be forgotten”, “data portability”, “recordkeeping” and the improved protection of personal data. According to the regulationorganisations are required to notify the supervisory authority of any data breach concerningpersonal data. The change in material scope will result in personal data stored in an unstructuredway being covered by the GDPR. To make companies follow the new legislation thesupervisory authority gains the power to levy significant fines if organisations violate the newregulation; in addition some organisations will need to appoint a “Data protection officer”that’ll monitor the processing of personal data. There are several factors that will determine the amount of work required to reach compliance;for example the size of the corporation and the extent of their current processing of personaldata. The attitude to the new regulation vary, those that take the regulation seriously have realisedthat there will be new demands put on their business, and have already started to adapt theirbusiness to reach compliance with the regulation. There are others that deem that they will notbe affected to the same extent and are therefore not as worried. In the great scope of things, theregulation will make the processing of personal data more secure within the EU/EES eventhough the peregrination to reach compliance may turn out to be a costly one.

GDPR

PuL

DSF

General data protection regulation

personuppgiftslagen

allmänna dataskyddsförordningen

Computer Engineering

Datorteknik

Dataskyddsreformens påverkan på organisationer : Förutsättningar, förberedelser och utmaningar med dataskyddsförordningen / The data protection reform’s impact on organizations

Höglund, Jimmy, Engberg, Albin

January 2017

Insamling och lagring av data har vuxit exponentiellt de senaste två årtionden och idag finns personlig information i allt större utsträckning tillgänglig för allmänheten. I och med den snabba tekniska utvecklingen i dagens samhälle har EU bestämt att de nationella tolkningarna av EU:s datalagringsdirektiv ska ersättas av en gemensam lag kallat allmänna dataskyddsförordningen. Detta är en fallstudie som har undersökt vilka förutsättningar och hinder organisationer har för att möta den nya lagen samt vilka utmaningar som dataskyddsförordningen kommer att medföra. Genom intervjuer inom både privat och offentlig sektor kom vi fram till ett antal förutsättningar som krävs för att möta dataskyddsförordningen, bland annat gott samarbete mellan ledning och anställda och uppmuntran till delaktighet inom organisationerna. Däremot är det svårt att bedöma exakt vilka förutsättningar som kommer att vara viktiga för att möta dataskyddsförordningen innan lagen träder i kraft i maj 2018. Vi kom även fram till att utmaningarna med den nya lagen är många och kommer innebära mer ansvar och arbete. Bland annat kommer man ta större ansvar när det kommer till att lagra och lokalisera personuppgifter samt ta fram nya rutiner och arbetssätt för att kunna förankra den nya lagen inom organisationerna. / Gathering and storing of data has grown exponentially the last two decades and today, personal information is to a much greater extent available to the public. Concerning the technical development in today’s society, EU has decided that the national interpretations of EU: s data retention directive is to be replaced by a mutual directive called the general data protection regulation (GDPR). This is a case study in which we’ve studied what qualifications and obstacles organizations possess in order to meet the new law and what challenges GDPR will bring. Through interviews in both the private and public sector we’ve concluded that there are a number of qualifications needed to meet GDPR. Among them, good cooperation between employees and management and encouragement to participation within the organizations. However, it is hard to estimate exactly what qualifications will be necessary to meet the new law before it’s implemented in May of 2018. We also concluded that the challenges with the new law will be many and will implicate more responsibility and work. More responsibility will be required when it comes to storing and localizing personal information, and to compile new routines and ways to work in order to anchor the new law within the organizations.

Dataskyddsförordnigen

GDPR

dataskyddsreformen

organisationsförändring

organisationell förändring

Information Systems

Det är inte lagarna som passerar, det är lagarna vi minns : hur företag förbereder sig inför de förändringar som införandet av GDPR innebär

Pettersson, Julia, Brädefors, Maja

January 2018

Den tjugofemte maj 2018 träder EU:s nya dataskyddsförordning i kraft, GDPR, en lag som kommer att ersätta de 20 år gamla reglerna för hantering av personuppgifter i Sverige. Lagen ställer hårdare krav på företags datahantering, vilket kan innebära omfattande förändringar för organisationer som hanterar personuppgifter. Studien syftar till att ge en förståelse för hur företag förbereder sig för de förändringar som GDPR innebär. Resultatet baseras på semistrukturerade intervjuer med tre av de fyra största svenska e-handelsföretagen inom klädbranschen, som alla hanterar personuppgifter. Studien besvarar syfte och forskningsfråga och visar att företagen har en positiv inställning till den nya lagen samt att förberedelserna inletts.

Organisationsförändring

General Data Protection Regulation

GDPR

Dataskyddsförordningen

personuppgifter

Business Administration

Företagsekonomi

Det andra betaltjänstdirektivet och dess påverkan på tredjepartsleverantörer : Särskilt om kundautentisering i förhållande till dataskyddsförordningen / The Second Payment Service Directive and its Effect on Third Party Providers : Especially Regarding the Rules on Customer Authentication in relation to the General Data Protection Regulation

Elbra, Caroline

January 2018

Marknaden för betaltjänster har ökat avsevärt de senaste åren i och med teknikens utveckling och konsumenters ändrade betalningsvanor. Betalningarna har gått från att domineras av kontanter till att idag bestå av kortbetalningar och moderna betaltjänstlösningar via t.ex. mobiltelefoner. I takt med att e-handeln har expanderat och nya leverantörer av betaltjänster har trätt in på marknaden har behovet av ett gemensamt regelverk på EU-nivå för betaltjänster ökat, detta för att samtliga betalningar som sker inom EU ska vara lika effektiva och säkra som nationella betalningar.   Den 13 januari 2018 trädde det andra betaltjänstdirektivet (PSD2) ikraft, vilket syftar till att harmonisera marknaden för elektroniska betalningar och skapa bättre förutsättningar för innovativa, säkra och effektiva betalningar inom EU. I och med införandet av PSD2 utvidgades definitionen av betaltjänster till att innefatta betalningsinitieringstjänster och kontoinformationstjänster, vilka är tredjepartsleverantörer och fungerar som ett mellanled mellan en bank och slutkunden på betaltjänstmarknaden. Marknaden för tredjepartsleverantörer har hittills varit oreglerad, men omfattas nu av PSD2:s tillämpningsområde, vilket gör att tredjepartsleverantörerna kan få tillgång till bankernas kundinformation och kunddata genom öppna applikationsprogrammeringsgränssnitt. Under våren 2018 kommer en ny dataskyddsförordning att träda i kraft, vilken ämnar till att ge ett ökat skydd för den personliga integriteten genom att införa striktare regler angående behandling av personuppgifter.   Uppsatsen fokuserar på tredjepartsleverantörer och hur de påverkas av de nya regelverken och om innovationsmöjligheterna för nya betaltjänster kommer att främjas genom införandet av PSD2. För att kunna se hur tredjepartsleverantörerna påverkas av regelverken kommer uppsatsen fokusera på behandlingen av person- och kontouppgifter för att avgöra om bestämmelserna i PSD2 är förenliga med dataskyddsförordningen. Av uppsatsens resultat går det att utläsa att innovationen av nya betaltjänster fortsättningsvis torde främjas av de nya reglerna i PSD2 och att utvecklingen torde ske i en snabbare takt än tidigare. Det går även att utläsa att reglerna i de båda regelverken till viss del stämmer överens, men även att det finns bestämmelser som är motstridiga.

Det andra betaltjänstdirektivet

PSD2

tredjepartsleverantörer

TPP

dataskyddsförordningen

GDPR

betaltjänster

betaltjänstmarknaden

kundautentisering

personuppgiftsbehandling

personlig integritet

Law

Juridik

Hur påverkas svensk systemförvaltning av GDPR? : En explorativ studie av tysk informationssäkerhetspraktik

Andersson, Adam, Åhlenius, Melina

January 2018

Today, personal data is used to generate added value for organizations. Consequently, misuse of private data is not surprising. The upcoming implementation of General Data Protection Regulation (GDPR) is an attempt to restrict the exploitation of private data. In contrast to the current privacy law, GDPR will be more adjusted to the conditions of the contemporary society. System maintenance is at the core of privacy issues since information is stored in the systems. Based on Germany’s already established strict privacy regulation mirrored in GDPR, Germany is used as a source of comparison for the purpose of this study. Through a qualitative approach of system maintenance and GDPR, we analyze different strategies to comprehend the complexity in information security regarding privacy data. Based on our study we present four distinct contributions; first, concrete suggestions to consider in order to successfully handle personal information; second, a recognition of an organizational perspective on information security; third, we provide empirical evidence of how the field of system maintenance has evolved over time; fourth, a methodological contribution on how to study upcoming effects.

Systemförvaltning

Informationssäkerhet

GDPR

Sverige

Tyskland

Information Systems, Social aspects