Digital direktmarknadsföring och personlig integritet : En obeaktad gråzon? / Digital direct marketing and personal integrity : A disregarded grey area?

Pettersson Thorell, Sandro, Björkman, Fredrik

January 2020

I takt med en tilltagande användning av internet och teknologiska enheter har tillgången till användargenererad data om individer ökat. Denna personliga data kan, genom fenomen som Big Data, vidare exploateras av företag som grund för att utforma och anpassa marknadsföring i linje med konsumenters individuella preferensmönster. Detta utgör delar inom digital direktmarknadsföring. Emellertid existerar det en problematik med specifikt utformad direktmarknadsföring i digital miljö. Konsumenter som mottager denna typ av marknadsföring har en tendens till att uppleva att företagen kommer för nära inpå privatlivet. Tidigare studier visar att företag kan få tillgång till för känslig information om konsumenter och deras aktiviteter i vardagen. I många fall sker detta utan att konsumenten är medveten om hur denna information har erhållits och en konsekvens av detta är att den personliga integriteten kan bli föremål för intrång. Uppsatsens syfte tar grund i en strävan efter att undersöka hur konsumenter uppfattar den personliga integriteten vid exponering mot individuellt riktad digital marknadsföring. Mer specifikt utforskas det eventuella sambandet mellan personlig integritet och digital direktmarknadsföring. Den teoretiska referensramen behandlar teorier och begrepp som är relevanta för få en övergripande förståelse kring ämnet. Under avsnittet presenteras bland annat Westins teori om den personliga integriteten och dess olika tillstånd. Därtill behandlas även beskrivningar av begrepp såsom digital direktmarknadsföring, Big data, Surveillance Capitalism och dataskyddsförordningen (GDPR). Här beaktas variablerna känslighet på direktmarknadsföring, omfattning av direktmarknadsföring, ålder, utbildningsnivå, kön samt kontrollvariabelninternetanvändning. Utifrån dessa variabler samt tidigare forskning har fem hypoteser formulerats. Den empiriska undersökningen baserades på en tvärsnittsstudie av deduktiv karaktär där det genomfördes en digital enkätundersökning. Totalt deltog 203 respondenter i denna studie. Enkäten innefattade frågor som baserades på uppsatsens variabler. För att se om det går att finna stöd eller inte för dessa hypoteser används en multivariat regressionsanalys. Undersökningens resultat visar att uppfattningen av den personliga integriteten påverkas av direktmarknadsföring. Det kan utläsas att både känsligheten och omfattningen på direktmarknadsföringen har en jämnstark och statistiskt signifikant effekt på uppfattningen av den personliga integriteten. Därtill indikeras det även att ålder är en variabel som har en effekt på hur den personliga integriteten påverkas, där äldre individer tenderar att vara mer oroade över den personliga integriteten än vad yngre individer är. Utifrån denna undersökning går det vidare att uttyda att det föreligger tendenser till intrång på den personliga integriteten i den digitala miljön vid exponering mot digital direktmarknadsföring. / Given the increased availability of internet and technological devices, the access to user-generated data has increased. This personal data is made accessible to companies and through phenomena such as Big Data it can be exploited and adapted to lay the foundation for marketing aimed directly at individual consumers. This is also known as direct marketing. However, it seems as if there exists a tendency for digital direct marketing to result in companies entering the individual’s personal space and as a consequence – the personal integrity is jeopardized. The purpose of this thesis is to examine the way consumers on the Swedish retail market perceive the personal integrity when being exposed to digital direct marketing. The study is of cross-sectional deductive character and it investigates the possible relationship between personal integrity and digital direct marketing. This is done through a digital survey with questions based on five hypotheses which in turn reflect the following variables that have been defined; Sensibility to direct marketing,Extent of direct marketing, Age, Level of education, and Gender. In addition to this, the control variable Internet-usage is added. The hypotheses are then tested in a multiple regression analysis. From the discussion and conclusion of this thesis the results show that consumers experience that the personal integrity is affected by digital direct marketing. The findings indicate further that both sensibility to direct marketing, the extent of direct marking, and age have a statistically significant effect on the individual’s perception of the personal integrity in this context. Given the result from the survey, the regression analysis and its application on the hypotheses, this study finds implications for violation of the consumer’s personal integrity.

Digital direct marketing

Privacy

Personal integrity

Social media marketing

Big data

Surveillance capitalism.

Digital direktmarknadsföring

Direktmarknadsföring

Sociala medier

Personlig integritet

Integritetsintrång

Big data

Övervakningskapitalism.

Social Sciences

Samhällsvetenskap

Business Administration

Företagsekonomi

Individuell marknadsföring : En kvalitativ studie om konsumenters uppfattning kring individanpassad marknadsföring gällande personlig integritet / Individual marketing : A qualitative study on consumers' perceptions of personalized marketing regarding personal privacy

Asp Sandin, Agnes

January 2020

Digitaliseringen av samhället har ökat kraftigt det senaste decenniet och hela 95% av Sveriges befolkning uppger att de använder internet dagligen. Det har också lett till att data som personer lämnar efter sig på nätet även den har ökat. Denna ökning i kombination med smartare analysverktyg för att utvinna information ur dessa datamängder har möjliggjort en ny typ av marknadsföring, den individanpassade marknadsföringen. Det innebär att företag riktar sina erbjudanden och annonser för den specifika konsumenten med hjälp av dennes egen data även kallat digitala fotspår. De digitala fotspår som företag använder sig utav kan vara köpbeteende, GPS- koordinater och tidigare sökhistorik på exempelvis Google. Dock finns det en risk att företag kan kränka den personliga integriteten när den individanpassade reklamen blir för specifik eller är baserad på känslig information om konsumenten. Detta leder in på studiens forskningsfråga som är ” Vad är konsumentens uppfattning kring individanpassad marknadsföring gällande den personliga integriteten?”. Denna forskningsfråga har även två delfrågor som är ” Vilka faktorer bidrar till att konsumenten i mindre utsträckning uppfattar individanpassad reklam som integritetskränkande?” och ” Vad uppfattas som integritetskränkande för konsumenten?”. Dessa delfrågor ska tillsammans hjälpa till att svara på huvudfrågan. Ordet konsument avser i denna studie de som handlar digitalt och använder sig av olika digitala tjänster där de blir exponerade för individanpassad reklam.Forskningsfrågan besvaras med hjälp av en kvalitativ metod och samtalsintervjuer där en induktiv med inslag av deduktiv tematisk analys används för att analysera materialet. Studien kommer fokusera på att undersöka individanpassad marknadsföring gällande integritet utifrån ett konsumentperspektiv och kommer därmed inte gå in på hur företag resonerar kring denna fråga. Syftet med studien är att ge företag en inblick i vilken information som konsumenter tycker är okej att de använder sig av för att individanpassa reklam samt när de anser att det blir integritetskränkande.Det resultat som studien kom fram till är att olika åtgärder från företag så som att ge konsumenten ökad kontroll över sin personliga information samt en ökad transparens kring vilken information som samlas in och används leder till ett ökat förtroende för företaget vilket i sin tur bidrar till ett positivare mottagande av reklamen. Vidare uppfattas reklam som är baserat på konsumentens köpbeteende och tidigare sökningar3som minst integritetskränkande medan reklam som baseras på ljudupptag, GPS- koordinater samt vilka konsumenten integrerar med som mest integritetskränkande. Företaget som ligger bakom en reklam som uppfattas som integritetskränkande kan få en skadad image vilket kan leda till att konsumenten i framtiden väljer ett annat företag.

Individual marketing

individual commercial

personal integrity

big data

data mining

digital footprints

personal information

Individanpassad marknadsföring

Individanpassad reklam

Personlig integritet

Big data

Datamining

Webbmining

Digitala fotspår

Personlig information

Information Systems

A Cloud-native Vehicular Public Key Infrastructure : Towards a Highly-available and Dynamically- scalable VPKIaaS / En cloud-native public key infrastruktur för fordon : För ett VPKI med hög tillgänglihhet och dynamisk skalbarhet

Noroozi, Hamid

January 2021

Efforts towards standardization of Vehicular Communication Systems (VCSs) have been conclusive on the use of Vehicular Public-Key Infrastructure (VPKI) for the establishment of trust among network participants. Employing VPKI in Vehicular Communication (VC) guarantees the integrity and authenticity of Cooperative Awareness Messages (CAMs) and Decentralized Environmental Notification Messages (DENMs). It also offers a level of privacy for vehicles as VPKI provides them with a set of non-linkable short-lived certificates, called pseudonyms, which are used to sign outgoing messages by vehicles while they communicate with other vehicles referred to as Vehicle-to-Vehicle (V2V) or Roadside Units (RSUs) referred to as Vehicle-to-Infrastructure (V2I). Each vehicle uses a pseudonym for its lifetime and by switching to a not- previously- used pseudonym, it continues to communicate without risking its privacy. There have been two approaches suggested by the literature on how to provide vehicles with pseudonyms. One is the so-called pre-loading mode, suggesting to pre-load vehicles with all pseudonyms they need, which increases the cost of revocation in case they are compromised. The other one is the on-demand mode, suggesting a real-time offering of pseudonyms by VPKI at vehicles request e.g., on starting each trip. Choosing the on-demand approach imposes a considerable burden of availability and resilience on VPKI services. In this work, we are confronting the problems regarding a large-scale deployment of an on-demand VPKI that is resilient, highly available, and dynamically scalable. In order to achieve that, by leveraging state-of-the-art tools and design paradigms, we have enhanced a VPKI system to ensure that it is capable of meeting enterprise-grade Service Level Agreement (SLA) in terms of availability, and it can also be cost-efficient as services can dynamically scale-out in the presence of high load, or possibly scale-in when facing less demand. That has been made possible by re-architecting and refactoring an existing VPKI into a cloud-native solution deployed as microservices. Towards having a reliable architecture based on distributed microservices, one of the key challenges to deal with is Sybil-based misbehavior. By exploiting Sybil-based attacks in VPKI, malicious vehicles can gain influential advantage in the system, e.g., one can affect the traffic to serve its own will. Therefore, preventing the occurrence of Sybil attacks is paramount. On the other hand, traditional approaches to stop them, often come with a performance penalty as they verify requests against a relational database which is a bottleneck of the operations. We propose a solution to address Sybil-based attacks, utilizing Redis, an in-memory data store, without compromising the system efficiency and performance considerably. Running our VPKI services on Google Cloud Platform (GCP) shows that a large-scale deployment of VPKI as a Service (VPKIaaS) can be done efficiently. Conducting various stress tests against the services indicates that the VPKIaaS is capable of serving real world traffic. We have tested VPKIaaS under synthetically generated normal traffic flow and flash crowd scenarios. It has been shown that VPKIaaS managed to issue 100 pseudonyms per request, submitted by 1000 vehicles where vehicles kept asking for a new set of pseudonyms every 1 to 5 seconds. Each vehicle has been served in less than 77 milliseconds. We also demonstrate that, under a flash crowd situation, with 50000 vehicles, VPKIaaS dynamically scales out, and takes ≈192 milliseconds to serve 100 pseudonyms per request submitted by vehicles. / Ansträngningar för standardisering av Vehicular Communication Systems har varit avgörande för användandet av Vehicular Public-Key Infrastructure (VPKI) för att etablera förtroende mellan nätverksdeltagare. Användande av VPKI i Vehicular Communication (VC) garanterar integritet och autenticitet av meddelanden. Det erbjuder ett lager av säkerhet för fordon då VPKI ger dem en mängd av icke länkbara certifikat, kallade pseudonym, som används medan de kommunicerar med andra fordon, kallat Vehicle-to-Vehicle (V2V) eller Roadside Units (RSUs) kallat Vehicle-to-Infrastructure (V2I). Varje fordon använder ett pseudonym under en begränsad tid och genom att byta till ett icke tidigare använt pseudonym kan det fortsätta kommunicera utan att riskera sin integritet. I litteratur har två metoder föreslagits för hur man ska ladda fordon med pseudonym de behöver. Den ena metoden det så kallade offline-läget, som proponerar att man för-laddar fordonen med alla pseudonym som det behöver vilket ökar kostnaden för revokering i fall de blir komprometterat. Den andra metoden föreslår ett on-demand tillvägagångssätt som erbjuder pseudonym via VPKI på fordonets begäran vid början av varje färd. Valet av på begäran metoden sätter en stor börda på tillgänglighet och motståndskraft av VPKI tjänster. I det här arbetet, möter vi problem med storskaliga driftsättningar av en på begäran VPKI som är motståndskraftig, har hög tillgänglighet och dynamiskt skalbarhet i syfte att uppnå dessa attribut genom att nyttja toppmoderna verktyg och designparadigmer. Vi har förbättrat ett VPKI system för att säkerställa att det är kapabelt att möta SLA:er av företagsklass gällande tillgänglighet och att det även kan vara kostnadseffektivt eftersom tjänster dynamiskt kan skala ut vid högre last eller skala ner vid lägre last. Detta har möjliggjorts genom att arkitekta om en existerande VPKI till en cloud-native lösning driftsatt som mikrotjänster. En av nyckelutmaningarna till att ha en pålitlig arkitektur baserad på distribuerade mikrotjänster är sybil-baserad missuppförande. Genom att utnyttja Sybil baserade attacker på VPKI, kan illvilliga fordon påverka trafik att tjäna dess egna syften. Därför är det av största vikt att förhindra Sybil attacker. Å andra sidan så dras traditionella metoder att stoppa dem med prestandakostnader. Vi föreslår en lösning för att adressera Sybilbaserade attacker genom att nyttja Redis, en in-memory data-store utan att märkbart kompromissa på systemets effektivitet och prestanda. Att köra våra VPKI tjänster på Google Cloud Platform (GCP) och genomföra diverse stresstester mot dessa har visat att storskaliga driftsättningar av VPKI as a Service (VPKIaaS) kan göras effektivt samtidigt som riktigt trafik hanteras. Vi har testat VPKIaaS under syntetisk genererat normalt trafikflöde samt flow och flash mängd scenarier. Det har visat sig att VPKIaaS klarar att utfärda 100 pseudonym per förfråga utsänt av 1000 fordon (där fordonen bad om en ny uppsättning pseudonym varje 1 till 5 sekunder), och varje fordon fått svar inom 77 millisekunder. Vi demonstrerar även att under en flashcrowd situation, där antalet fordon höjs till 50000 med en kläckningsgrad på 100. VPKIaaS dynamiskt skalar ut och tar ≈192 millisekunder att betjäna 100 pseudonymer per förfrågan gjord av fordon.

Security

Privacy

Vehicular PKI

VPKI

Identity and Credential Management

Vehicular Communications

VANETs

Availability

Scalability

Resilient

Efficiency

Microservice

Container Orchestration

Cloud

Pseudonym Transition

Pseudonym Unlinkability.

Säkerhet

personlig integritet

identitet- och behörighetsuppgifter

tillgänglighet

skalbarhet

motståndskraftig

effektivitet

moln

pseudonymitet

anonymitet

ospårbarhet.

Computer Sciences

Datavetenskap (datalogi)

Kamerabevakning utan tillståndskrav på platser där allmänheten inte äger tillträde – ett hot mot den personliga integriteten?

Khatun, Rahima

January 2022

In Sweden, camera surveillance in places where the public own access is regulated by a permit. This entails a lack of permit requirement for camera surveillance in places where the public does not own access. Such places can consist of a privacy-sensitive character. Surveillance constitutes processing of personal data whereupon the General Data Protection Regulation (GDPR) must be complied with.  Article 6 of the GDPR stipulates various legal bases that must be met in the processing of personal data. The ones who conduct surveillance in places where the public does not own access often fails to make correct legal assessments of Article 6(1)(e) and 6(1)(f) of the GDPR, as displayed by various supervisory decisions issued by the Swedish Authority for Privacy Protection. In this light, the purpose of the thesis is to examine and analyze how the ones who conduct surveillance and the Swedish Authority for Privacy Protection consider the personal integrity of the camera monitored individual in the assessments of Article 6(1)(e) and 6(1)(f) of the GDPR during camera surveillance without permit requirement in places where the public does not own access. Because of the differences between the legal assessments made by the ones who conduct camera surveillance and the Swedish Authority for Privacy Protection, the thesis also intends to shed light on the consequences that arise for the camera monitored individual by the fact that their personal integrity is assessed in different ways. The thesis also aims to evaluate the Swedish Authority for Privacy Protections’ supervisory work in relation to both personal integrity and the compliance with Article 6(1)(e) and 6(1)(f) of the GDPR during camera surveillance without permit requirement in places where the public does not own access. The Swedish Authority for Privacy Protections’ supervisory work is important as most of the camera surveillance takes place without a permit requirement and the fact that there is a lack of knowledge prevailing to the number of cameras in use. It is important that the Swedish Authority for Privacy Protections’ supervisory work is well-functioning since the ones who conduct surveillance carry out the legal assessments incorrectly. The risk with insufficient supervisory work is that personal integrity is violated and that the GDPR is ineffectual in the long run. In general, it can be said that the legal assessments of Article 6(1)(e) and 6(1)(f) of the GDPR are poorly carried out by both the ones who conduct surveillance and the Swedish Authority for Privacy Protection. This primarily affects the camera monitored individuals’ personal integrity. Because of the indications of shortcomings in the supervisory work, there are several improvement measures that can be taken to maintain personal integrity and ensure that the Swedish Authority for Privacy Protection continue to constitute an important function.

Kamerabevakning

Kamerabevakning utan tillståndskrav

Artikel 6 GDPR

Artikel 6.1e GDPR

Artikel 6.1f GDPR

Personuppgiftsbehandling

Kamerabevakningslag

KBL

Personlig integritet

Integritet

Integritetsskydd

Fri-och rättigheter

IT

Integritetsskyddsmyndigheten

IMY

Datainspektionen

Law

Juridik

Medical Internet of Things inom svensk hälso- och sjukvård : En intervjustudie om integritetsutmaningar och vidtagna åtgärder vid implementation och drift av MIoT / Medical Internet of Things in Swedish health care

Warell, Anton, Dali Khaled, Ahmad

January 2022

Today, healthcare is more connected to the internet and handles greater amounts of sensitive information than ever before. This information is managed to a greater extent by various IT systems that form the basis for the digitization that is carried out in healthcare, where IoT systems play a significant role. In healthcare, there are extensive challenges in protecting information and preserving privacy. Connected healthcare systems generate large volumes of information such as ongoing treatment for diseases and patient records. Therefore, healthcare becomes an attractive target for cyber-attacks. Initially, MIoT systems (Medical Internet of Things) used in healthcare are not secure enough to manage data and preserve privacy. The purpose of this study is to examine what measures are taken in Swedish healthcare to manage the security and privacy issues that exist when implementing and using MIoT. A qualitative interview study was conducted. As method for data collection a semi-structured interview was applied to answer the study’s purpose and research question. Based on previous literature and collected empirical data, 5 categories were identified and described thematically based on the informants' answers. The study examines the work with information security and cyber security within the implementation and use of MIoT at several organizations in the healthcare sector to obtain diversity in collected data. This study demonstrates the security measures that are taken in the healthcare sector to manage security and privacy issues during the implementation and management of MIoT. The study provides a description of the measures taken to protect information and preserve privacy, as well as further reasoning regarding the complexity of current legislation to manage personal data. The recommendations of this study show that additional security measures are required for a reliable and secure implementation of MIoT in healthcare.

Information security

IoT

Legislation

MIoT

Privacy

Challenges

Actions

Informationssäkerhet

IoT

Lagstiftning

MIoT

Personlig integritet

Utmaningar

Åtgärder.

Computer Systems

Datorsystem

Communication Systems

Kommunikationssystem

Medical Engineering

Medicinteknik

Information Systems

Vem ser dig? : En fallstudie kring kameraövervakning och integritet på universitet. / Who sees you?

Karabas, Emre, Gullin, Petter

January 2021

The aim of this study is to examine how students and personnel at universities perceive camera surveillance and the handling of the data gathered by it. This is done through a qualitative research approach where the research strategy is a case study with interviews as a data collection method. The study is based on two perspectives - students and employees. The purpose of the study is to investigate how camera surveillance and management of the data collected is handled at a university, with Uppsala University as a case study. (The focus in the study is on awareness of and attitudes towards camera surveillance - to identify and gain a deeper understanding of university employees and students' attitudes towards camera surveillance and the management of the data that the university collects). The reason for camera surveillance at the University, perceived advantages and disadvantages as well as how the experience and importance of personal integrity, are affected by various factors such as the handling and use of surveillance data. Another issue is the respondents' knowledge of GDPR and the rights they have regarding camera surveillance. The survey is limited to people at Uppsala University. Other monitoring systems such as access systems and logging as well as the handling of this data are delimited from the study and excluded from the survey. / Uppsatsen avser undersöka studenters och universitetsanställdas inställning till kameraövervakning och hanteringen av de data som kan samlas in. Det görs genom en kvalitativ forskningsansats där forskningsstrategin är fallstudie med intervjuer som datainsamlingsmetod. Studien utgår från två perspektiv - studenter och anställda. Syftet med denna studie är att undersöka hur kameraövervakning och hantering av de data som samlas in fungerar på ett universitet, med Uppsala universitet som fallstudie. (Fokus i studien ligger på medvetenhet om och inställning till kameraövervakning - att identifiera och få en djupare förståelse för universitetsanställda och studenters inställning till kameraövervakning och hanteringen av de data som universitetet samlar in). Vad som motiverar (är anledningen till) kameraövervakning på Universitetet, upplevda för- och nackdelar samt hur upplevelsen och vikten av den personliga integriteten, påverkas av olika faktorer som til lexempel hanteringen och användandet av övervakningsdata. En annan frågeställning är respondenternas kunskaper kring GDPR och de rättigheter de har vid kameraövervakning. Undersökningen är avgränsad till personer vid Uppsala universitet. Andra övervakningssystem som till exempel inpasseringssystem och loggning liksom hantering av dessa data är avgränsade från studien och exkluderas från undersökningen.

Camera surveillance

Surveillance

University

Data storage

Privacy

Information security

The Camera Surveillance Act

GDPR.

Kameraövervakning

Övervakning

Universitet

Datalagring

Personlig integritet

Informationssäkerhet

Kamerabevakningslagen

GDPR

Information Systems, Social aspects

Computer and Information Sciences

Data- och informationsvetenskap

Information Systems

Other Computer and Information Science

Annan data- och informationsvetenskap

Protection of Personal Data, a Power Struggle between the EU and the US: What implications might be facing the transfer of personal data from the EU to the US after the CJEU’s Safe Harbour ruling?

Strindberg, Mona

January 2016

Since the US National Security Agency’s former contractor Edward Snowden exposed the Agency’s mass surveillance, the EU has been making a series of attempts toward a more safeguarded and stricter path concerning its data privacy protection. On 8 April 2014, the Court of Justice of the European Union (the CJEU) invalidated the EU Data Retention Directive 2006/24/EC on the basis of incompatibility with the Charter of Fundamental Rights of the European Union (the Charter). After this judgment, the CJEU examined the legality of the Safe Harbour Agreement, which had been the main legal basis for transfers of personal data from the EU to the US under Decision 2000/520/EC. Subsequently, on 6 October 2015, in the case of Schrems v Data Protection Commissioner, the CJEU declared the Safe Harbour Decision invalid. The ground for the Court’s judgment was the fact that the Decision enabled interference, by US public authorities, with the fundamental rights to privacy and personal data protection under Article 7 and 8 of the Charter, when processing the personal data of EU citizens. According to the judgment, this interference has been beyond what is strictly necessary and proportionate to the protection of national security and the persons concerned were not offered any administrative or judicial means of redress enabling the data relating to them to be accessed, rectified or erased. The Court’s analysis of the Safe Harbour was borne out of the EU Commission’s own previous assessments. Consequently, since the transfers of personal data between the EU and the US can no longer be carried out through the Safe Harbour, the EU legislature is left with the task to create a safer option, which will guarantee that the fundamental rights to privacy and protection of personal data of the EU citizens will be respected. However, although the EU is the party dictating the terms for these transatlantic transfers of personal data, the current provisions of the US law are able to provide for derogations from every possible renewed agreement unless they become compatible with the EU data privacy law. Moreover, as much business is at stake and prominent US companies are involved in this battle, the pressure toward the US is not only coming from the EU, but some American companies are also taking the fight for EU citizens’ right to privacy and protection of their personal data.

EU

EU Law

US Privacy Law

Safe Harbour

Safe Harbor

Data Protection

Personal Data transfer

Facebook

Articles 7

8 and 47 of the Charter

Article 16(1) of the TFEU

Article 8 ECHR

EDPS

Decision 2000/520/EC

Directive 95/46/EC

Personal Integrity

Right to Privacy

Right to Private Life

Data Retention

Surveillance

IT Law

Article 29 Working Party

EU-rätt

EU-stadgan

datalagring

datalagringsdirektivet

personlig integritet

dataskydd

grundläggande rättigheter

proportionalitetsprincipen