Anonymization of directory-structured sensitive data / Anonymisering av katalogstrukturerad känslig data

Folkesson, Carl

January 2019

Data anonymization is a relevant and important field within data privacy, which tries to find a good balance between utility and privacy in data. The field is especially relevant since the GDPR came into force, because the GDPR does not regulate anonymous data. This thesis focuses on anonymization of directory-structured data, which means data structured into a tree of directories. In the thesis, four of the most common models for anonymization of tabular data, k-anonymity, ℓ-diversity, t-closeness and differential privacy, are adapted for anonymization of directory-structured data. This adaptation is done by creating three different approaches for anonymizing directory-structured data: SingleTable, DirectoryWise and RecursiveDirectoryWise. These models and approaches are compared and evaluated using five metrics and three attack scenarios. The results show that there is always a trade-off between utility and privacy when anonymizing data. Especially it was concluded that the differential privacy model when using the RecursiveDirectoryWise approach gives the highest privacy, but also the highest information loss. On the contrary, the k-anonymity model when using the SingleTable approach or the t-closeness model when using the DirectoryWise approach gives the lowest information loss, but also the lowest privacy. The differential privacy model and the RecursiveDirectoryWise approach were also shown to give best protection against the chosen attacks. Finally, it was concluded that the differential privacy model when using the RecursiveDirectoryWise approach, was the most suitable combination to use when trying to follow the GDPR when anonymizing directory-structured data.

data anonymization

data privacy

directory-structured data

k-anonymity

l-diversity

t-closeness

differential privacy

GDPR

Computer Engineering

Datorteknik

La protection du consommateur à l'épreuve des technologies de l'information et de la communication : étude du droit ivoirien à la lumière du droit français / The Protection of consumer against the rise of information and communication technologies : study of Ivorian system in the light of French law

Alleme, Apo

28 June 2019

Les technologies de l’information et de la communication (TIC) qui recouvrent l’ensemble des outils et techniques résultant de la convergence des télécommunications ont révolutionné les comportements et les habitudes des consommateurs. Si ces technologies ne se limitent pas au réseau internet c’est la montée d’internet qui a renouvelé la problématique de la protection du consommateur. En réponse, le législateur ivoirien a, à travers la loi de 2016 relative à la consommation, essayé de s’arrimer aux standards internationaux relatifs à la protection du consommateur. Le nouveau dispositif adopté s’ajoute au droit positif ivoirien et au cadre législatif communautaire (UEMOA et CEDEAO). Cependant, le système se révèle insuffisant et, à certains égards, inadapté à la protection du consommateur, notamment dans l’hypothèse d’une vente conclue par le canal des TIC. Ces insuffisances s’observent au moment de la formation et de l’exécution du contrat de vente. Dans ce contexte, le cadre législatif français qui étend ses sources dans le droit communautaire européen peut, à bien d’égards, inspirer le législateur ivoirien. Il ne s’agit pas de transposer intégralement ce système en droit ivoirien. En effet, à l’épreuve des TIC, la protection du consommateur passe par la recherche de nouveaux points d’équilibre entre le consommateur et le professionnel. / Information and communication technologies (ICTs), which encompass all the tools and techniques resulting from the convergence of telecommunications, have revolutionized the behavior and habits of consumers. These technologies are not limited to the Internet, the rise of which has renewed the problem of consumer protection. In response, the Ivorian legislator, through the 2016 law on consumption, tried to be consistent with international standards relating to consumer protection. The new mechanism adopted is in addition to current Ivorian law and the Community legislative framework (UEMOA and ECOWAS). However, the system is proving insufficient and, in some respects, unsuitable for consumer protection, especially in the event of a sale through the ICT channel. These deficiencies occur at the time of the formation and enforcement of the sales contract. In this context, the French legislative framework that extends its sources in European Community law can, in many ways, inspire the Ivorian legislator. It does not entail the total transposition of the French system into the Ivorian law. Actually, with the new challenges of ICTs, the protection of the consumer can only be guaranteed by the search for equilibrium between the consumer and the professional.

Consommateur

Commerce électronique

Paiement électronique

Protection des données personnelles

RGPD

Consumer

E-commerce

Electronic payment

Personal data protection

GDPR

340

Hinder vid automatiseringen av Rätten att bli Bortglömd med RPA : En explorativ fallstudie om automatisering inom intern IT / Obstacles in automating The Right to be Forgotten with RPA : An explorative case study on automation within internal IT

Flores Osorio, Eduardo

January 2019

Den nya dataskyddsförordningen som även kallas GDPR, ställer idag krav som företag och organisationer måste uppfylla samt regler som måste följas när det kommer till hur personuppgifter ska behandlas. Att radera data är en stor del i GDPR och i Rätten att bli bortglömd som är en del i GDPR, måste data raderas. Detta är regler som såklart ska följas men det manuella arbetet för detta är en väldigt lång och tidsödande process för den som ska utföra det arbetet. Robotic Process Automation är en relativt ny teknik som används för att automatisera manuella, repetitiva och tidskrävande affärsprocesser inom företag och organisationer. Syftet med studien är dels att undersöka hur fallföretaget kan uppfylla GDPR-kravet Rätten att bli Bortglömd med RPA tekniken. Rätten att bli bortglömd innebär att personuppgifter som kan kopplas till en viss individ ska raderas bort från ett företag om den specifika individen skulle begära det. Studien kommer även belysa de problem som uppstår mellan RPA tekniken ochRätten att bli Bortglömd inom fallföretaget. Studiens empiri består av den egna erfarenheten men kommer även kompletteras med intervjuer samt avstämningsmöten som skall användas som stöd och underlag för själva genomförandet av RPA. Studiens resultat visar de identifierade hindren som har uppstått i undersökningen. Det finns inget regelverk för hur fallföretaget går tillväga när de ska söka och radera personuppgifter. Undersökningens avgränsade process för Rätten att bli bortglömd var varken standardiserad, mogen, regelbaserad, repetitiv eller återkommande vilket gör automatiseringen problematisk och olämplig för RPA automation. För att uppfylla kravet Rätten att bli bortglömd med hjälp av RPA tekniken måste fallföretaget jobba med att få fram ett tydligt regelverk för hur de ska söka och hitta personuppgifter. Därefter krävs det att processen standardiseras och process stegen väl definieras för att kunna identifiera vilka delar av processen som går att automatisera med RPA.

Robotic Process Automation

RPA

Automatisering

Dataskyddsförordningen

GDPR.

Information Systems, Social aspects

Addswift : En webbplattform för internetanvändare över hela världen

Gauffin, Christopher

January 2018

New technologies arise everyday, but which ones are the best for your project? How do you store data in a safe manner that complies with the new European GDPR law? How do you plan, develop and complete a project? These are but a few formulations of questions that the study in this report will cover.  The report is based around a business idea and vision for a company that offers advanced products built with modern technologies. The first step for the development of this company is to create a prototyp of its first product, a web platform. The prototyp will be formed after a projectplan with meetings with a supervisor and with the use of professional tools like Gantt, WBS and Trello. First and foremost a study will be done behind the theory of different frameworks and technologies but also a reasearch about GDPR and data security. The design phase will be the first part in shaping the projekt where wireframes, sitemap and ERdiagram have been created and documented. The choice of frameworks, mainly Vue, Express and MongoDB and the data security standards JWT and Oauth will be explained and used in the prototype as a base for the technical aspects of the project. Lastly the results och the finished prototype will be presented together with a discussion regarding problems that arose during the project, improvments that needs to be done and what the future holds for the complete web platform. / Nya tekniker växer i rasande fart, men vilka är bäst för ens projekt? Hur lagrar man data på ett säkert sätt som följer den nya europeiska GDPR lagen? Hur planerar, utvecklar och genomför man ett projekt? Dessa är några få frågeställningar som undersökningen i denna rapport tar tittar närmare på.  Rapporten grundar sig på en affärsidé och vision för ett företag som erbjuder avancerade produkter skapade med moderna webbteknologier. Det första steget för företagets utveckling är att skapa en prototyp av den första produkten, en webbplattform. Prototypen kommer att utvecklas efter en projektplan med handledningsmöten och användning av professionella verktyg som Gantt, WBS och Trello. Först och främst studeras teorin bakom om olika ramverk och tekniker men även en undersökning om GDPR och datasäkerhet. Designfasen kommer sedan vara det första momentet för projektets utformning där bland annat wireframes, sitemap och ERdiagram har skapats och dokumenterats. Valet av ramverk, främst Vue, Express och MongoDB samt datasäkerhetsstandarna JWT och Oauth kommer att förklaras och användas i prototypen som grund för projektets tekniska skapande.  Slutligen presenteras resultatet av den färdiga prototypen tillsammans med en diskussion över problem som uppstod under projektets gång, förbättringar som behöver göras och vilka framtidsplaner som finns för den fullständiga webbplattformen.

GDPR

Vue

Node

Express

MongoDB

JWT

Oauth

Datasäkerhet

Projektutveckling

Gantt

ER

WBS

Trello

Wireframe

Sitemap

Computer Engineering

Datorteknik

Samtyckets chimär / Illusory consent

Elfstadius, Simon

January 2018

Den 25 maj 2018 blev våra inboxar fyllda av nervösa företag som ägnade sig åt att försöka säkerställa att vi var tillräckligt informerade för att de skulle få fortsätta behandla våra personuppgifter. Det rörde sig naturligtvis om den nya dataskyddsförordningens ikraftträdande. Förordningen innebär dryga sanktionsavgifter för den som inte säkerställer att den registrerade är tillräckligt informerad och att all behandling av personuppgifter sker på en rättslig grund. Denna uppsats utforskar två av dessa företags agerande, Google och Facebook. Dessa två företag är båda amerikanska men har en stor andel av sin marknad i Europa. Därmed så måste de båda företagen tillämpa dataskyddsförordningen och de måste se till att följa den. Företagen är speciella för att information är deras handelsvara. Genom att samla information och sedan rikta anpassade annonser mot användarna tjänar de pengar. Deras verksamheter har samtidigt blivit några av våra viktigaste forum och informationskällor, närmast vitala för det demokratiska samhället under 2010-talet. Vi har dock blivit påminda om vad som kan hända om den insamlade informationen missbrukas. Frågan är nu vad som har hänt i och med dataskyddsförordningens ikraftträdande. Har vår personliga integritet nu plötsligt blivit så pass skyddad som mailen antyder? Har vi fått någon som helst makt över Googles och Facebooks hantering av personuppgifter? Har vi fått en större kontroll? Dessa är några av de frågor den här uppsatsen utforskar.

dataskyddsförordningen

GDPR

dataskydd

samtycke

sociala medier

sökmotor

Google

Facebook

Law (excluding Law and Society)

The Digital Transformation of the Swedish Banking Industry : A study on the digitalisation of Swedish banks and how it affects their perspective on customer experience

Al-Chalabi, Mustafa, Bahram, Lawand

January 2018

The Swedish banking industry has long been at the forefront when it comes to digital leadership. Currently, this industry is starting to fall behind other industries, and a closer look at the industry reveals that niche banks are having less trouble with adapting new technologies than bigger banks. There are a lot of studies on specific digitalisation areas within banking but nothing comprehensive about the strategies required for digital transformation within the banking industry. As the research area is new, there is little previous research on digital transformation by today’s standards. Therefore, the centralquestion in this thesis is “What do respondents in the Swedish banking industry think that the most important factors of digitalisation for customer experience are and what the consequences of digitalisation might be?” to find out what affects the digital strategies of a sample of Swedish banks. To answer the research question, semi-structured interviews with relevant profiles in the banking industry dealing with digitalisation and strategy at a management level were conducted. The interviews were conducted with five respondents from four different banks. In combination of this research method, the research strategy Case Study was implemented. The results revealed that digitalisation is in high focus amongst all the responding banks, for various reasons. The reasons can be seen as roughly divided into two categories, internal reasons and external reasons. The internal reasons have to do with streamlining current internal processes and creating more available resources for other projects. The external reasons were all towards improving customer experience. To improve customer experience, personalisation of the digital products and services is a key factor. However, personalisation is not without risk, as it may fail to be personalised enough for the banks’ customers if the personalisation is attempted towards a too wide customer segment. Some of the banks are operating 100% digitally, meaning that they do not have any physical bank offices for customers to visit, and thus all their work then becomes in one way or another digital work. The banking and finance industry is continually changing, and legal factors play a significant role. Not only do these legal factors affect how banks work internally, they also affect the competitiveness of the various actors and with it, how much digitalisation can affect. The thesis concludes that digital transformation is heavily influencing the strategies of banks in the Swedish banking industry through customer needs, competition and legal factors. / Den svenska banksektorn har länge varit i framkant när det kommer till digitala ledarskap. Dock, så har denna sektor för närvarande börjat halka efter andra branscher, och en närmare titt på branschen visar att nischbanker har mindre utmaningar när det kommer till att anpassa efter ny teknologi än större banker. Det finns många studier om särskilda digitaliseringsområden inom banksektorn men inget omfattande om de strategier som krävs för digital transformation inom banksektorn. Eftersom att forskningsområdet är nytt, så finns det mindre tidigare forskning på digital transformation i dagens benämning. Därför är den centrala frågan i denna avhandling “Vad anser respondenter i den svenska banksektorn att deviktigaste faktorerna för digitalisering för kundupplevelse är och vilka konsekvenserna avdigitalisering kan vara?” för att ta reda på vad som påverkar digitala strategier hos ett urval av svenska banker. För att besvara forskningsfrågan, genomfördes semistrukturerade intervjuer med relevanta profiler inom banksektorn som arbetar med digitalisering och strategi på en ledningsnivå. Intervjuerna var utförda med fem respondenter från fyra olika banker. I kombination med denna forskningsmetod, implementerades forskningsstrategin Fallstudie. Resultaten visade att digitalisering är i fokus bland de responderande bankerna, av olika skäl. Skälen kan ses som grovt indelat i två kategorier, interna skäl och externa skäl. De interna skälen har att göra med att effektivisera nuvarande interna processer och skapa mer tillgängliga resurser för andra projekt. De externa skälen var alla mot kunden, för att i ett eller annat sätt förbättra kundupplevelsen. För att förbättra kundupplevelsen så ligger fokus på personalisering av de digitala produkterna och tjänsterna. Dock har personalisering sina risker. Det kan misslyckas om organisationen försöker personalisera mot en större kundgrupp och därmed inte nå upp den nivå av personalisering som krävs av de olika kundsegmenten. Vissa banker bedrivs 100% digitalt, vilket innebär att de inte har några fysiska bankkontor för kunder att besöka, och därmed är deras arbete på ett sätt eller ett annat sätt digitalt arbete. Bank och finansbranschen förändras ständigt, och juridiska faktorer spelar en betydande roll i denna kontinuerliga förändring. Inte nog med att de juridiska faktorerna påverkar hur banker fungerar internt, så påverkar de även konkurrenskraften hos de olika aktörerna och med det, hur mycket digitaliseringen kan påverka. Studiens slutsats är att digital transformation påverkar kraftigt strategierna hos banker i Sverige genom kundbehov, konkurrens och juridiska faktorer.

Digital transformation

Banking

Financial industry

Process theory

Customer experience

Customer satisfaction

PSD2

GDPR

MiFID II

Information Systems

GDPR och dess påverkan vid systemutveckling : Riktlinjer för en säkrare kravspecificering.

Kinell, Alfred, Löfberg, Carl

January 2018

Syftet med denna uppsats är att undersöka vilka nya krav som kan tänkas uppstå i och med det nya dataskyddsdirektivet, och hur uppfyllandet av dessa krav kan underlättas, i form av riktlinjer utformade för att säkerställa en systemutveckling i enlighet med de säkerhets- och integritetskrav som ställs i och med GDPR. De behov och kravområden som identifierats, har sedan kategoriserats och konkretiserats i form av riktlinjer som skall kunna användas då personuppgifter hanteras. För att belysa hur GDPR kan förändra kravbilden har främst “Privacy by Design”, kravspecificering, samt de allmänna juridiska förändringar GDPR kommer att innebära studerats. För att besvara uppsatsens syfte och frågeställningar har en studie baserad på främst semistrukturerade intervjuer utförts. Detta för att identifiera potentiella nya krav som kan tänkas uppstå i och med det nya dataskyddsdirektivet. Med avstamp i teorin, samt intervjuunderlaget har sex stycken kategorier tagits fram. Dessa är samtycke, Privacy by Design, rätten att bli meddelad om intrång, rätten att bli glömd, dataportabilitet samt rätten till åtkomst. Dessa kategorier har sedan legat till grund för de riktlinjer som utgör resultatet av detta arbete.

GDPR

Privacy by Design

Personlig integritet

Krav

Kravspecifikation

Kravhantering

Agil

Dataportabilitet

Personuppgifter

Datalagring

Informationssäkerhet

Information Systems

Vybrané otázky aktuální právní úpravy osobních údajů v Evropské unii / Selected issues of the current legal regulation of protection of personal data in the European Union.

Švec, Martin

January 2018

The thesis "Selected issues of the current legal regulation of protection of personal data in the European Union" is focused on describing the development of personal data in the European Union and on current changes in this field of European law. The first chapter is focused on the historical development of the personal data protection on the European continent with the specific aim of looking at the development in the European Union. This chapter describes the progressive development of the right to the protection of personal data which was formed within the right to privacy because of technological developments. The first chapter also talks about personal data protection in primary and secondary legislation which became the foundation for the further development. The second chapter is devoted to the comparison of the former EU regulation of the personal data protection in the directive 95/46/ES with the new regulation in GDPR. The most important changes were chosen for the comparison together with the ones which were often discussed prior to GDPR coming into effect. The interim goal of this chapter is to explain to the reader the extent of changes which GDPR brings to the field of personal data protection. The third chapter is focused on the institute of the data protection officer which is a...

Att efterleva GDPR : En kvalitativ intervjustudie om handlingar, förberedelser och utmaningar kring införandet av den nya allmänna dataskyddsförordningen.

Karlsson, Calle

January 2018

Because of the increased digitization, the amount of data that companies process has increased significant. The EU Commission, the European Parliament and the Council of Ministers have therefore instituted a new law to ensure that data is handled correctly. This new law comes into force on May 25th 2018 and is called GDPR, or the General Data Protection Regulation. This law stands over the recent “Personuppgiftslagen” (PuL) and therefore require higher standards on system development, communication and routines which leads to a whole new approach to data management. This essay explains the structure of the law, but focuses on finding out what specific actions the companies implement to comply with the law's requirements. The focus is also on studying whether these actions (and the law itself) will affect the activities and what the businesses themselves consider to be the greatest challenges for compliance at the moment.

GDPR

Allmänna dataskyddsförordningen

Europeiska Unionen

Handlingar

Förberedelser

Utmaningar.

Övrig annan teknik

Fitnessindustrins hantering av personuppgifter i samband med införandet av gdpr : En kvalitativ fallstudie av utvalda gym inom fitnessbranchen i Skaraborg / The fitness industries handling of personal data in connection with the implementation of gdpr : A qualitative case study of selected gyms in the fitness industry in Skaraborg

Damberg Molin, Malin

January 2018

Den 25e maj i år 2018 träder den nya dataskyddsförordningen, även kallad ”General Data Protection Regulation” från EU i kraft. Det just nu rådande EU-direktivet som behandlar dataskydd är från år 1995, och mycket har förändrats sedan dess. Därför är det av hög grad aktuellt med en ny moderniserad förordning som passar bättre in i en växande digital värld. I dagsläget är det Sveriges personuppgiftslag, PuL som styr över hur personuppgifter skall behandlas. PuL kommer att ersättas av GDPR och detta kommer att medföra strängare lagar kring informationshantering av personliga uppgifter och även fler rättigheter till varje enskild individ. Ett exempel på det är att personer kommer att kunna ifrågasätta syftet med varför deras data hanteras och hur den skyddas. Det blir samtidigt en utmaning för företag att se över sina IT-system, så att informationen hanteras korrekt och lever upp till de nya regler som GDPR innefattar. I denna studie kommer detta problemområde att behandlas och då främst en djupdykning inom fitnessbranschen. För att kunna genomföra detta har fyra olika gym valts ut och undersökningen kommer att fokusera på hur de hanterar förändringar och utmaningar i sitt förberedande arbete för att uppnå kraven i GDPR. Det kommer även att vara inriktat på vilken typ av hälsodata som samlas in samt den tekniska hanteringen ur ett integritets- och säkerhetsperspektiv. / On 25 May in 2018, the new data protection regulation, also known as the "General Data Protection Regulation" of the EU, comes into force. The current EU directive dealing with data protection is from 1995, and much has changed since then. Therefore, it is highly relevant to a new modernized regulation that fits better into a growing digital world. At present, Sweden's Personal Data Act, PuL, governs how personal data are to be processed. PuL will be replaced by GDPR and this will impose stricter laws on information management of sensitive data and also more rights to each individual. An example of it is that people will be able to say that they want their data deleted and not have it stored. At the same time, it is a challenge for companies to review their IT systems, so that information is handled properly and meets the new requirements that GDPR includes. In this study this problem area will be addressed and then mainly a deep diving in the fitness industry. In order to accomplish this, four different gyms have been selected and the survey will focus on how they handle changes and challenges in their preparatory work to achieve the requirements of the GDPR. It will also focus on the type of health data collected and the technical management.

GDPR

General Data Protection Regulation

privacy

integrity

personal information

personal integrity

information security

health data

Computer and Information Sciences

Data- och informationsvetenskap