Privacy and Security Analysis : Assessing Risks and Harm to Patients / Analys av Personlig Integritet och Informationssäkerhet : Bedöma Risker och Skador på Patienter

Wairimu, Samuel

January 2022

Disruptive technologies in the form of e-Health or electronic healthcare (the use of information technology in health) have the ability to provide positive implications to both patients and healthcare professionals. Recently, public health agencies deployed contact tracing apps with the aim of curbing the spread of COVID-19, by aiding manual contact tracing, and lifting restrictions. Despite this, their ubiquitous nature in the sector has opened doors to new threats in the area of information security and privacy, where these apps, for instance, contain security and privacy risks such as violation of the principle of least privilege, which when exploited can cause privacy harms to the user, for example, re-identification of users. In general, information security and privacy in the healthcare sector is essential due to the nature of the data they process, and the need to keep the patient safe. While this is so, the general security posture of the sector, which is poor due to its under-financing in IT security among other reasons such as the use of legacy systems, makes it vulnerable to cyber-attacks that end up with exfiltration of personal health data, among other data, for instance, relevant research data. Such data can be misused incurring privacy harm to patients that have been affected by the breach. This thesis follows an experimental approach to assess the privacy and security risks of m-Health apps, with the selected case study of these m-Health apps, that is, COVID-19 contact tracing apps. In addition, it also contributes with a theoretical approach to assessing impacts and consequences in the healthcare sector, including what harms patients could face in the event of a state-sponsored cyber-attack. In addition, the research aims at contributing to the field by proposing a sector-specific model that can be used to evaluate the impact on the privacy of patients affected by a data breach. / Störande teknologier i form av e-hälsa eller elektronisk sjukvård (användning av informationsteknologi inom hälsa) har förmågan att ge positiva implikationer för både patienter och vårdpersonal. Folkhälsomyndigheter har nyligen implementerat så kallade kontaktspårningsappar i syfte att hindra spridningen av COVID-19, genom att bidra till manuell kontaktspårning och införande av restriktioner. Trots detta har deras allmänt förekommande natur i sektorn öppnat dörrar för nya hot i områdena informationssäkerhet och personlig integritet, Där dessa appar, till exempel, innehåller säkerhets- och integritetshot såsom brott mot lägsta prioritetsprincipen (eng. principle of least privilege), som, när exploaterad, kan orsaka personlig integritets-skador för användaren, exempelvis återidentifiering av användare. Generellt kan sägas att informationssäkerhet och skydd av personlig integritet inom hälso- och sjukvården är absolut nödvändigt med tanke på egenskaperna hos de personuppgifter som behandlas, och behovet av att skydda patienten. Trots detta gäller att sektorns generella hållning , som är svag på grund av dess underfinansiering av IT-säkerhet bland andra skäl på grund av användning av gamla system, gör dem sårbara för IT-angrepp som slutar med exfiltrering av persondata, bland annat forskningsdata. Sådana data kan missbrukas och därmed orsaka skada för de patienters som drabbats. Avhandlingen argumenterar för att hälso- och sjukvårdssektorns låga kvalitet på informationssäkerhet kan leda till att säkerheten och integriteten hos hälsodata, särskilt personlig hälsodata, kan exploateras för att orsaka integritetsskador inte bara från opportunister eller hacktivister, utan också från angripare som sponsras av stater, som exempelvis Fancy Bear i fallet World Anti-Doping Agency år 2016. Det följer ett experimentellt tillvägagångssätt för att säkerställa påverkan och konsekvenser i vårdsektorn, inklusive vilka skador patienter skulle kunna möta om ett angrepp sponsrad av ett annat land skulle ägan rum. I grunden visar forskningen på de kritiska och signifikanta egenskaperna i sektorn och den påverkan en IT-angrepp skulle ha på individer och på sektorn själv. Dessutom strävar forskningen efter att bidra till området genom att föreslå en sektorspecifik modell som kan användas för att evaluera påverkan på de patienters personliga integritet som drabbats av ett dataläckage.

Privacy

Security

e-Health

Risks

Harms

Personlig integritet

Informationss ̈akerhet

e-h ̈alsa

Risker

Skador

Computer and Information Sciences

Data- och informationsvetenskap

Internetanvändares möjligheter till undanröjande av personuppgifter : En jämförelse mellan rätten till rättelse enligt 28 § PUL och rätten till radering (”rätten att bli bortglömd”) enligt artikel 17 i den allmänna dataskyddsförordningen. / Internet users possibilities of removal of personal data : A comparison between the right to rectification under 28 § PUL and the right to erasure (”right to be forgotten”) in accordance with the General Data Protection Regulation.

Medelius, Hanna, von Segebaden, Hanna

January 2016

Tekniken utvecklas ständigt och utvecklingen har bland annat lett till att det idag kan lagras och bearbetas mycket större mängder data än förr, vilket innebär att även behandlingen av personuppgifter är mer omfattande än tidigare. Den tekniska utvecklingen tillsammans med dess nya fenomen och förfaranden ställer krav på en förnyad lagstiftning. Inom EU nåddes under hösten 2015 en överenskommelse om en ny dataskyddslagstiftning vilken har resulterat i en dataskyddsreform innehållande två rättsakter: en förordning och ett direktiv. Förordning- en trädde ikraft den 24 maj 2016 och ska tillämpas från och med den 25 maj 2018. Uppsatsen kommer att behandla huruvida personuppgiftsskyddet vid internetanvändning för enskilda internetanvändare kommer att förändras genom införandet av den nya förordningens artikel 17. Artikeln lagstadgar en rätt till radering (”rätten att bli bortglömd”), och motsva- rande rättigheter finns i gällande rätt i 28 § personuppgiftslagen, i vilken möjligheten till rät- telse stadgas. Syftet med artikeln är att stärka internetanvändarnas kontroll över sina person- uppgifter. Genom införandet av artikel 17 i den allmänna dataskyddsförordningen kommer den enskilde internetanvändarens rätt att få uppgifter undanröjda att tillgängliggöras och förstärkas, genom lägre krav på tillämplighet i jämförelse med 28 § personuppgiftslagen. Möjligheterna till att erhålla fullständig information om vilka personuppgifter som kan påverka internetanvändaren är dessvärre nästintill obefintliga, varför dennes faktiska kontroll inte försäkras genom artikel 17. Trots att den enskilde internetananvändarens kontroll över sina personuppgifter förstärks, kommer syftet med artikel 17 inte nödvändigtvis säkerställas i praktiken genom införandet av den allmänna dataskyddsförordningen.

The right to be forgotten

the right to erasure

Rätten att bli glömd

rätt till radering

IT-rätt

internetanvändning

personlig integritet på nätet

Bland digitala gräsrötter, pirater och aktivister : - en studie av alternativa sociala rörelsers opinionsbildning och varumärkesbyggande

Sundving, Robin

January 2009

<p><strong>Syfte:</strong> Att studera hur alternativa sociala rörelseorganisationer - med Internet som huvudmedium - profilerar sig och bedriver opinionsbildning.</p><p><strong>Metod:</strong> Metoderna som använts för insamling av empiriskt material är informationsinsamling från webbplatser, dokument, filmer, transkribering av speaker-röster samt innehållsanalyser av tidningsartiklar, blogginlägg och dess kommentarer.</p><p><strong>Slutsatser:</strong> Det tycks existera ett band mellan den digitala medborgar-journalistiken och mainstream-media, där respektive områdes agendor påverkar varandra. Alla tre rörelser beskrivs i media som ett ”isolerat” fenomen. Anhängarna beskrivs ibland som en varierad skara från olika samhällsskikt, ibland ges de specifika smeknamn. Zeitgeist är den mest alternativa rörelsen, därefter Infowars och nära mainstream-sfären ligger Piratrörelsen. I samtliga rörelser finns en betydelse av personliga varumärken. Historia är en komponent som också används. Ibland är historien en länk mellan organisationerna.</p><p>De dominanta metoderna för opinionsbildningen är filmer, aktivism, nätverk och samtalet. Slutmålen i opinionsbildningen skiljer sig åt. Det används ”vi-mot-dem-” eller ”David mot Goliath”-perspektiv. Det knyts an till ”globala hot”, problemroten till dessa är dock inte alltid global. Uppmanandet till politiskt handlande gränsar ibland in mot individualisering och livspolitik.</p>

Internet

sociala rörelser

piratkopiering

fildelning

personlig integritet

varumärke

opinionsbildning

aktivister

gräsrötter

konspirationsteorier

elfte september

zeitgeist

sociala medier

SOCIAL SCIENCES

SAMHÄLLSVETENSKAP

Media and communication studies

Medie- och kommunikationsvetenskap

Bland digitala gräsrötter, pirater och aktivister : - en studie av alternativa sociala rörelsers opinionsbildning och varumärkesbyggande

Sundving, Robin

January 2009

Syfte: Att studera hur alternativa sociala rörelseorganisationer - med Internet som huvudmedium - profilerar sig och bedriver opinionsbildning. Metod: Metoderna som använts för insamling av empiriskt material är informationsinsamling från webbplatser, dokument, filmer, transkribering av speaker-röster samt innehållsanalyser av tidningsartiklar, blogginlägg och dess kommentarer. Slutsatser: Det tycks existera ett band mellan den digitala medborgar-journalistiken och mainstream-media, där respektive områdes agendor påverkar varandra. Alla tre rörelser beskrivs i media som ett ”isolerat” fenomen. Anhängarna beskrivs ibland som en varierad skara från olika samhällsskikt, ibland ges de specifika smeknamn. Zeitgeist är den mest alternativa rörelsen, därefter Infowars och nära mainstream-sfären ligger Piratrörelsen. I samtliga rörelser finns en betydelse av personliga varumärken. Historia är en komponent som också används. Ibland är historien en länk mellan organisationerna. De dominanta metoderna för opinionsbildningen är filmer, aktivism, nätverk och samtalet. Slutmålen i opinionsbildningen skiljer sig åt. Det används ”vi-mot-dem-” eller ”David mot Goliath”-perspektiv. Det knyts an till ”globala hot”, problemroten till dessa är dock inte alltid global. Uppmanandet till politiskt handlande gränsar ibland in mot individualisering och livspolitik.

Internet

sociala rörelser

piratkopiering

fildelning

personlig integritet

varumärke

opinionsbildning

aktivister

gräsrötter

konspirationsteorier

elfte september

zeitgeist

sociala medier

SOCIAL SCIENCES

SAMHÄLLSVETENSKAP

Media and communication studies

Medie- och kommunikationsvetenskap

Personlig integritet i arbetslivet : Arbetsgivarens möjlighet till kontroll av arbetstagarens Internet- och e-postanvändning

Bengtsson, Sofi

January 2008

Sammanfattning Skyddet för arbetstagarens personliga integritet är ett aktuellt ämne där teknikutvecklingen ger arbetsgivaren ökade möjligheter att kontrollera arbetstagaren. Därmed äventyras skyddet för arbetstagarens personliga integritet. Det finns i dagsläget inte någon direkt specialanpassad lagstiftning till skydd för den personliga integriteten i arbetslivet och svensk lagstiftning saknar en enhetlig definition på begreppet personlig integritet. Det är oklart vilka möjligheter arbetsgivaren har att vidta kontrollåtgärder av arbetstagarens Internet- och epostanvändning samt vilket skydd arbetstagaren har för sin personliga integritet. Syftet med uppsatsen är att reda ut vilket rättsligt skydd arbetstagaren på den svenska arbetsmarknaden har för sin personliga integritet, vilka möjligheter arbetsgivaren har att vidta kontrollåtgärder av arbetstagarens Internet- och e-postanvändning, samt vad begreppet god sed på arbetsmarknaden i detta fall innebär. För att uppnå syftet används en rättsdogmatisk metod, som innebär att aktuella rättskällor det vill säga lagtext, förarbeten, praxis från Arbetsdomstolen och doktrin kommer att studeras. Arbetsgivaren ges möjlighet att vidta integritetskänsliga åtgärder såsom kontroll av arbetstagarens Internet- och e-postanvändning med stöd av den allmänna arbetsledningsrätten, avtal, kollektivavtal eller lagstiftning. Dock begränsas möjligheterna till att åtgärden inte får stå i strid med god sed på arbetsmarknaden. För att avgöra vad nämnda begränsning innebär gör Arbetsdomstolen en intresseavvägning. Arbetstagarens intresse av skydd för sin personliga integritet jämförs med arbetsgivarens intresse av kontroll av arbetstagarens Internet- och e-postanvändning. Dessutom måste det finnas en rimlig proportion mellan mål och medel för kontrollåtgärden, alltså måste intrånget i arbetstagarens privatliv som åtgärden vållar stå i rimlig proportion till arbetsgivarens syfte med kontrollen. Avslutningsvis kan sägas att vilka kontrollåtgärder arbetsgivaren får vidta och vilket skydd arbetstagaren har för sin personliga integritet är en fråga som får avgöras efter bedömning av det enskilda fallet. / Abstract The protection for the employee’s personal integrity is a current subject where the technology development gives the employer increased possibilities to check upon the employee. Thereby the protection for the employee’s personal integrity is jeopardized. At present there is no special legislation of protection for the personal working life integrity and the Swedish legislation lacks a uniform definition of the concept personal integrity. It is unclear which possibilities the employer has to take control measures of the employee’s Internet- and e-mail use and which protection the employee has for its personal integrity. The purpose with the essay is to find out which legal protections the employee on the Swedish labour market has for its personal integrity, which possibilities the employer has to take control measures of the employee’s Internet- and e-mail use, and what the concept of good labour market practice means. In order to achieve the purpose a law dogmatic method is used, which means that current sources of law i.e. law text, preparation of law text, good practice from labour court and doctrine will be studied. The employer is given the possibility to take integrity sensitive actions, like control of the employee’s Internet- and e-mail use by virtue of the right to direct work, agreement, collective agreement or legislation. However, the possibilities are limited as the action must not go against good labour market practice. In order to decide what stands against good labour market practice the labour court does a weighing of interest. The employee’s interests of protection for its personal integrity are compared with the employer’s interests of control of the employee’s Internet- and e-mail use. Moreover, there must be a reasonable proportion between the objective and means for the control measure, therefore the trespass in the employee’s private life that the measure causes must stand in reasonable proportion to the employer’s aim with the control. In conclusion can be said that which control measures the employer can take and which protection the employee has for its personal integrity is a question that must be decided after assessment of every individual case.

personal integrity

good labour market practice

control measure

Internet- and e-mail use

personlig integritet

god sed på arbetsmarknaden

kontrollåtgärd

Internet- och epostanvändning

LAW/JURISPRUDENCE

RÄTTSVETENSKAP/JURIDIK

Personlig integritet i arbetslivet : Arbetsgivarens möjlighet till kontroll av arbetstagarens Internet- och e-postanvändning

Bengtsson, Sofi

January 2008

<p>Sammanfattning</p><p>Skyddet för arbetstagarens personliga integritet är ett aktuellt ämne där teknikutvecklingen</p><p>ger arbetsgivaren ökade möjligheter att kontrollera arbetstagaren. Därmed äventyras skyddet</p><p>för arbetstagarens personliga integritet. Det finns i dagsläget inte någon direkt</p><p>specialanpassad lagstiftning till skydd för den personliga integriteten i arbetslivet och svensk</p><p>lagstiftning saknar en enhetlig definition på begreppet personlig integritet. Det är oklart vilka</p><p>möjligheter arbetsgivaren har att vidta kontrollåtgärder av arbetstagarens Internet- och epostanvändning</p><p>samt vilket skydd arbetstagaren har för sin personliga integritet.</p><p>Syftet med uppsatsen är att reda ut vilket rättsligt skydd arbetstagaren på den svenska</p><p>arbetsmarknaden har för sin personliga integritet, vilka möjligheter arbetsgivaren har att vidta</p><p>kontrollåtgärder av arbetstagarens Internet- och e-postanvändning, samt vad begreppet god</p><p>sed på arbetsmarknaden i detta fall innebär. För att uppnå syftet används en rättsdogmatisk</p><p>metod, som innebär att aktuella rättskällor det vill säga lagtext, förarbeten, praxis från</p><p>Arbetsdomstolen och doktrin kommer att studeras.</p><p>Arbetsgivaren ges möjlighet att vidta integritetskänsliga åtgärder såsom kontroll av</p><p>arbetstagarens Internet- och e-postanvändning med stöd av den allmänna arbetsledningsrätten,</p><p>avtal, kollektivavtal eller lagstiftning. Dock begränsas möjligheterna till att åtgärden inte får</p><p>stå i strid med god sed på arbetsmarknaden. För att avgöra vad nämnda begränsning innebär</p><p>gör Arbetsdomstolen en intresseavvägning. Arbetstagarens intresse av skydd för sin</p><p>personliga integritet jämförs med arbetsgivarens intresse av kontroll av arbetstagarens</p><p>Internet- och e-postanvändning. Dessutom måste det finnas en rimlig proportion mellan mål</p><p>och medel för kontrollåtgärden, alltså måste intrånget i arbetstagarens privatliv som åtgärden</p><p>vållar stå i rimlig proportion till arbetsgivarens syfte med kontrollen.</p><p>Avslutningsvis kan sägas att vilka kontrollåtgärder arbetsgivaren får vidta och vilket skydd</p><p>arbetstagaren har för sin personliga integritet är en fråga som får avgöras efter bedömning av</p><p>det enskilda fallet.</p> / <p>Abstract</p><p>The protection for the employee’s personal integrity is a current subject where the technology</p><p>development gives the employer increased possibilities to check upon the employee. Thereby</p><p>the protection for the employee’s personal integrity is jeopardized. At present there is no</p><p>special legislation of protection for the personal working life integrity and the Swedish</p><p>legislation lacks a uniform definition of the concept personal integrity. It is unclear which</p><p>possibilities the employer has to take control measures of the employee’s Internet- and e-mail</p><p>use and which protection the employee has for its personal integrity.</p><p>The purpose with the essay is to find out which legal protections the employee on the Swedish</p><p>labour market has for its personal integrity, which possibilities the employer has to take</p><p>control measures of the employee’s Internet- and e-mail use, and what the concept of good</p><p>labour market practice means.</p><p>In order to achieve the purpose a law dogmatic method is used, which means that current</p><p>sources of law i.e. law text, preparation of law text, good practice from labour court and</p><p>doctrine will be studied.</p><p>The employer is given the possibility to take integrity sensitive actions, like control of the</p><p>employee’s Internet- and e-mail use by virtue of the right to direct work, agreement,</p><p>collective agreement or legislation. However, the possibilities are limited as the action must</p><p>not go against good labour market practice. In order to decide what stands against good labour</p><p>market practice the labour court does a weighing of interest. The employee’s interests of</p><p>protection for its personal integrity are compared with the employer’s interests of control of</p><p>the employee’s Internet- and e-mail use. Moreover, there must be a reasonable proportion</p><p>between the objective and means for the control measure, therefore the trespass in the</p><p>employee’s private life that the measure causes must stand in reasonable proportion to the</p><p>employer’s aim with the control.</p><p>In conclusion can be said that which control measures the employer can take and which</p><p>protection the employee has for its personal integrity is a question that must be decided after</p><p>assessment of every individual case.</p>

personal integrity

good labour market practice

control measure

Internet- and e-mail use

personlig integritet

god sed på arbetsmarknaden

kontrollåtgärd

Internet- och epostanvändning

LAW/JURISPRUDENCE

RÄTTSVETENSKAP/JURIDIK

Intressebaserad annonsering - hot eller möjlighet? : En kvalitativ studie om konsumenters uppfattning om "online behavioural adverting"(OBA) på Facebook

Mekidiche, Lina, Movafagh, Sandra

January 1900

I samband med att människor idag är uppkopplade på internet i en större utsträckning har det bidragit till att allt fler människor har anslutit sig till sociala medier, varav Facebook är det största sociala nätverket. Detta har i sin tur resulterat i att företag ökar sina investeringar i Facebook och behövt ändra sin marknadsföringsverksamhet genom att de intressebaserar annonser utifrån konsumenters online-aktiviteter. Detta aktuella fenomen kallas för Online Behavioural Adveritising (OBA) där tidigare forskning har diskuterat problematiken som föreligger. Det råder en brist på kunskap om OBA bland konsumenter och konsumenter upplever även oro kring deras personliga integritet. Det är därmed av intresse att undersöka om en sådan kunskapsbrist är en potentiell risk till konsumenters upplevda oro. Denna studie ämnar att bidra med ökad förståelse för relevansen av kunskap kring Online Behavioural Advertising och hur det i sin tur påverkar konsumenters upplevda oro. Grundtanken är att ur ett konsumentperspektiv belysa kunskapens roll i den upplevda oron OBA skapar kring personlig integritet på Facebook. Utifrån den problematik som har beskrivits har två frågeställning formulerats: Vilken samt hur mycket kunskap har konsumenter på Facebook kring hur Online Behavioural Advertising fungerar? Hur påverkas konsumenters upplevda oro kring Online Behavioural Advertising av deras kunskap? Dessa frågeställningar har besvarats genom en kvalitativ forskningsmetodik där empirin har samlats in utifrån 16 stycken individuella intervjuer. Empirin analyserades därmed med en jämförelse av tidigare forskning och teorier. Resultatet tyder på att konsumenters upplevda oro kan bero på deras kunskap kring OBA. De respondenter som besatt en högre grad av kunskap om OBA kände ingen oro och respondenter som besatt lite kunskap om OBA kände generellt mer oro. / Due to the fact that the majority of people today are connected to the Internet, it has contributed to more and more people joining social media, where Facebook is the largest social network. This has resulted in companies increasing their investments in Facebook and changing their marketing activities by individually targeting their advertisements based on consumers online behaviour. This phenomenon is called Online Behavioral Advertising (OBA), where researchers have discussed existing problems concerning the area. There is a lack of knowledge about OBA among consumers and they also feel concerned about their privacy. Therefore, it is of interest to investigate if such a lack of knowledge is a potential risk to consumers' perceived concern. This study aims to provide with a better understanding of the relevance of knowledge about Online Behavioral Advertising and its effects on perceived concerns regarding OBA. Primarily, the idea is to highlight the role of knowledge in the perceived concerns that OBA creates regarding personal integrity on Facebook. Based on the purpose, the following research questions have been formulated: What and how much knowledge do consumers have on Facebook about how Online Behavioral Advertising works? How are consumer’s privacy concerns about Online Behavioral Advertising affected by their knowledge? These questions have been answered by a qualitative research methodology where empirical findings have been collected based on 16 individual interviews. The empirical data was analyzed by comparing previous research and theories. The results indicate that consumers' perceived concerns may be due to their knowledge regarding OBA. The respondents who possessed a higher degree of knowledge about OBA were not concerned and respondents who possessed little knowledge about OBA felt more concerned in general.

Online Behavioural Advertising

individually targeted advertisements

consumer behaviour

privacy concern

Facebook

knowledge

Online Behavioural Advertising

intressebaserade annonser

konsumentbeteende

personlig integritet

Facebook

kunskap

individanpassade annonser

Business Administration

Företagsekonomi

To start this vehicle, please verify yourself : Security and privacy, where shall we draw the line?

Björk, Hanna, Hagemann, Andreas

January 2005

Different security issues are a top subject around the world, especially since the terror threats seem to intensify. In the same time, the transport industry suffer from problems with smuggling and theft of valuable goods. One way to increase the security might be to have a verification system installed in commercial trucks, in order to assure that the driver is the proper one. This thesis has two purposes. One is to find appropriate methods for driver verification and build a prototype of a verification system which can be used for testing and further development. The other is to study how truck drivers perceive such a system and how their conception goes along with the growing demand for higher security. The present work is the result of a cooperation between an engineer and a cognitive scientist. The thesis focuses on the transport industry and was performed for Volvo Technology Corporation (VTEC), Gothenburg, Sweden. Eleven available verification methods were studied. To enable a well-based selection of methods to implement in the prototype, inquiries and interviews with truck drivers and haulage contractors were carried out to complement the theoretical study. One regular and three biometric verification methods were chosen for the test; fingerprint verification, face recognition, voice recognition and PIN verification. These methods were put together to a prototype system that was implemented in a truck simulator. A graphical user interface was developed in order to make the system user friendly. The prototype system was tested by 18 truck drivers. They were thoroughly interviewed before and after the test in order to retrieve their background, expectations and opinions as well as their perceptions and experiences of the test. Most of the test participants were positive to the prototype system. Even though they did not feel a need for it today they believed it to “be the future”. However, some participants felt uncomfortable with the system since they felt controlled by it. It became clear how important it is to have a system that respect the users’ privacy and to assure that the users are well informed about how the system is used. Some of the technology used for the verification system requires more development to fit in the automotive context, but it is considered to be possible to achieve a secure and robust system.

Usability

Privacy

HMI

Verification

Biometrics

System testing

Security

Användbarhet

Personlig integritet

MMI

Verifiering

Biometri

Systemtest

Säkerhet

Human Computer Interaction

I Datamäklarens Nät : Om massiv datainsamling och dess effekt påIT-användning

Hallenquist, Peter

January 2017

The aim of this   study is to investigate whether IT users with a reasonable awareness of data   gathering, in the context of Big Data, perceive this data gathering as a   threat to their privacy and if they take steps to counteract it. Building   upon previous research, such steps are assumed to be either ”active” or   ”passive”. Active measures serve to hide data or obscure its contents from   those who would collect it, for example by using a VPN (Virtual Private   Network) or fake aliases, while passive methods might consist of avoiding to   speak out on certain topics or seek out information that may be deemed   suspicious. Based largely on the Theory of Reasoned Action a theoretical   model has been developed to investigate whether a correlation can be seen   between beliefs about data gathering as a privacy threat and the intention to   protect oneself from this threat. To this aim a survey was given to   university students at programmes closely related to IT, as they would likely   have a good understanding of the subject at hand and would be well equipped   to answer the survey´s questions. The results show that almost all of the respondents   see Big Data related data gathering as a threat to privacy and the majority   see themselves likely, to varying degrees, to take measures to protect   themselves. The data shows a reasonable, though weak, correlation between   this view of data gathering as a privacy threat and the tendency towards   self-protection. Further, there is a clear preference towards active   measures, though this may in part be a consequence of the respondents'   aptitude for IT. Further research should be done to investigate the prevalence   of the view of data gathering as a privacy threat in society at large, and   the extent to which it results in self-protective behaviour such as self   censorship. Additionally, the theoretical model developed for this study   should be further developed and tested so that it may be of use in future   studies on data gathering and its effect on IT users. / Denna studie ämnar utreda om IT-användare med en   viss medvetenhet om Big Data-relaterad datainsamling ser denna som ett hot   mot sin personliga integritet och om de då tar steg för att skydda sig från   detta hot. Baserat på tidigare forskning har två typer av   integritetsskyddande åtgärder identifierats: ”aktiva” och ”passiva”. Aktiva   åtgärder är sådana som syftar till att dölja eller otydliggöra data för den   som samlar in dem, exempelvis genom att använda en VPN (Virtual Private   Network) eller falska alias, medan passiva åtgärder kan gå ut på att undvika   att uttala sig om vissa saker eller söka ut information om suspekta ämnen. En   teoretisk modell, baserad till stor del på Theory of Reasoned Action, har   utvecklats för att undersöka om ett samband finns mellan övertygelser om   datainsamling som integritetshot och avsikten att skydda sig från detta. I   detta syfte har en enkätundersökning skickats ut till studenter på   universitetsprogram med stark IT-anknytning, då dessa antas ha en god   förståelse för undersökningens ämnesområde och bör vara väl rustade att svara   på dess frågor. Resultatet visar att nästan alla av respondenterna ser Big   Data-relaterad datainsamling som ett hot mot den personliga integriteten och   de flesta kan se sig själva, till varierande grad, ta steg för att skydda sig   från detta hot. Man kan se en rimlig, om än svag, korrelation mellan denna   syn på datainsamling som integritetshot och avsikten gentemot   integritetsskyddande beteende. Vidare kan man se en klar preferens för aktiva   åtgärder, vilket delvis kan ha att göra med respondenternas förmodade höga   IT-kunnande. Ett område för framtida forskning är hur utbredd synen på   datainsamling som integritetshot är i samhället i stort och i vilken   omfattning den ger upphov till integritetsskyddande beteende såsom   självcensur. Däröver bör den teoretiska modell som utvecklats för denna   studie ytterligare förbättras och testas, så att den kan användas som ett   verktyg i vidare forskning kring datainsamling och dess inverkan på   IT-användare.

Informatik

datainsamling

personlig integritet

Big Data

Theory of Reasoned Action

TRA

chilling effects

Information Systems, Social aspects

Myndigheters outsourcing av personuppgiftsbehandling i molntjänster : Särskilt om legalitetsprincipen och personlig integritet

Pettersson, Robin

January 2018

This thesis examines the legal means by which the Swedish government authorities can outsource personal data to be processed on digital clouds by private cloud providers as of May 25th, 2018. The objective of the thesis is to identify and examine to which extent legal obstacles and restrictions to such procedures occurs in the personal data protection regulation. Cloud computing is an information technology business model which could provide government au-thorities with higher administrative efficiency and lower administrative costs. The essential charac-teristics of cloud computing require that the cloud providers are entrusted with a portion of control of the IT-environment and data security, depending on the types of clouds and services provided. The thesis analyses particularly two questions. The first question is to which extent the legal require-ment to provide personal data with an appropriate level of security constrains government authori-ties to submit control of the IT-environment to private contractors. The second question targeted in the thesis is whether government authorities can disclose personal data that is subjected to official secrecy to the cloud providers.

Molntjänster

Digitala moln

Personuppgifter

GDPR

Dataskydd

Legalitetsprincipen

Personlig integritet

Personuppgiftsansvarig

Säkerhetsnivå

Informationssäkerhet

Sekretess

Överlämnande

Law (excluding Law and Society)