Etiska aspekter

Genom att publicera detta arbete finns det alltid en risk för att uppgifterna som kommer från intervjuerna kan kopplas till organisationen eller respondenterna. Risken finns att identiteten för respondenterna och organisationen kan röjas. Arbete har gjorts för att hålla på anonymiteten i så stor utsträckning som möjligt. Respondenterna känner till varandra sedan tidigare och vet vilka som närvarat vid intervjuerna och i vilken ordning. Detta gör att det blir någon form av pseudoanonymitet i slutändan. Det finns en risk med att citaten kan kopplas till rollerna. Risken är att citaten kan

uppfattas som negativt internt för organisationen, vilket gör att det finns risk för konsekvenser för den personen som uttalade sig. Det har in i det sista funderats över huruvida citaten skall kopplas till rollerna. Ur ett forskningsperspektiv så är det oerhört intressant att se hur attityder och funderingar kan kopplas till roller. Det bidrar även till spårbarhet och högre validitet som följd. Diskussioner har förts med både handledare och examinator på denna punkt. Det är ett svårt avvägande att göra, men bedömningen gjordes att citaten inte var av en sådan natur att respondenterna riskerar att utsättas för repressalier.

Referenser

Alvehus, J. (2013) Skriva uppsats med kvalitativ metod – En handbok, första upplagan. Liber förlag. ISBN 978-91-47-09915-3

Berndtsson, M., Hansson, J., Olsson, B. & Lundell, B. (2008) Thesis Projects- A Guide For Students in

Computer Science and Information Systems, Andra upplaga. Springer-Verlag. London.

Bryman, A. (2002) Samhällsvetenskapliga metoder. Malmö: Liber AB

Cavoukian, A. (2012) Operationalizing Privacy by Design: A Guide to Implementing Strong Privacy

Practices Finns tillgängligt på internet:

http://www.ontla.on.ca/library/repository/mon/26012/320221.pdf [Hämtad 20170220] Cradock, E., Stalla-Bourdillon, S. & Millard, D. (2016) Nobody puts data in a corner? Why a new

approach to categorising personal data is required for the obligation to inform. Computer Law &

Security Review Volume 33, Issue 2, s. 142–158 DOI: 10.1016/j.clsr.2016.11.005 Datainspektionen (2012) Datainspektionens faktablad Finns tillgängligt på internet:

http://www.datainspektionen.se/Documents/faktablad-inbyggd-integritet.pdf [Hämtad 20170513] Datainspektionen (2017) Lagar och regler Finns tillgängligt på internet:

http://www.datainspektionen.se/lagar-och-regler/ [Hämtad 20170213]

Dobos, L. (2017) Svenska företags anpassning till GDPR - Slutrapport från IDG Connects undersökning

om svenska företags anpassning till EUs Dataskyddsförordning. Whitepaper IDG Connect 2017-05-16

Stockholm: IDG AB

Europaparlamentets direktiv 2016/679 om skydd för fysiska personer med avseende på behandling

av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning). Bryssel.

http://eur-lex.europa.eu/legal-content/SV/TXT/HTML/?uri=OJ:L:2016:119:FULL&from=SV [Hämtad 20170212]

Hansen, M. (2012) Top 10 Mistakes in System Design from a Privacy Perspective and Privacy

Protection Goals. Advances in Information and Communication Technology, vol 375. Springer, Berlin,

Heidelberg Finns tillgänglig på http://dx.doi.org/10.1007/978-3-642-31668-5_2 [Hämtad 20170207] Kvale, S. & Brinkmann, S. (2009) Den kvalitativa forskningsintervjun, andra upplagan. Lund:

Studentlitteratur ISBN: 9789144055985

Limoncelli, T.A., Hogan, C.J. & Chalup, S.R. (2007) The Practice of System and Network Administration, andra upplagan. Boston: Addison-Wesley Educational.

ISBN 978-0-321-49266-1.

Medelius, H. & Segebaden, H. (2016) Internetanvändares möjligheter till undanröjande av

personuppgifter – En jämförelse mellan rätten till rättelse enligt 28 § PUL och rätten till radering (”rätten att bli bortglömd”) enligt artikel 17 i den allmänna dataskyddsförordningen.

Scarfone, K. & Mell, P. (2007) Guide to Intrusion Detection and Prevention Systems (IDPS) -

Recommendations of the National Institute of Standards and Technology Finns tillgängligt på

internet: http://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-94.pdf [Hämtad 20170518]

Pfleeger, C.P., Pfleeger, S.L. & Margulies, J. (2015) Security in computing, femte upplagan. Upper Saddle River, USA: Prentice Hall.

SFS 1994:1219 Lag om den europeiska konventionen angående skydd för de mänskliga rättigheterna

och de grundläggande friheterna. Artikel 8. Regeringskansliets rättsdatabaser, Justitiedepartementet

L6. Finns tillgänglig på internet http://rkrattsbaser.gov.se/sfst?bet=1994:1219 [Hämtad 170516] SFS 1998:204 Personuppgiftslag. Stockholm, Justitiedepartementet. Finns tillgängligt på internet http://www.notisum.se/rnp/sls/lag/19980204.htm [Hämtat 20170218]

Simmingsköld, C. (2013) PRIVACY BY DESIGN - Inbyggd integritet i patientjournaler. Kandidatuppsats, datalogi. Skövde: Högskolan i Skövde

Stair, R. & Reynolds, G. (2008) Fundamentals of Information Systems, fjärde upplagan. Thomson Learning, Inc. Kanada.

Swedish Standards Institute (2006) Ge din information rätt säkerhet - Handbok i

informationssäkerhet, version 6. Finns tillgängligt på internet:

http://users.du.se/~hjo/cs/common/doc/632968667772474250.pdf [Hämtad 20170218] Swedish Standards Institute (2007a) SIS Handbok 550. Terminologi för informationssäkerhet. SIS Förlag AB. Stockholm.

Swedish Standards Institute (2007b) SIS 27002:2005. Säkerhetstekniker – Riktlinjer för styrning av

informationssäkerhet. SIS Förlag AB. Stockholm.

Swedish Standards Institute (2015) SIS TR 50:2015 Terminologi för informationssäkerhet. Teknisk

rapport. Editorer: Korkmaz, B., Rydstedt, B., Andersson, J-O. Söderlund, L. och Åhlfeldt, R-M.

Publicerad 2015-10- 27, Stockholm, Utgåva 1, ICS: 01.040.35; 04.050; 35.020; 35.040

Tsormpatzoudi P., Berendt B. & Coudert F. (2016) Privacy by Design: From Research and Policy to

Practice – the Challenge of Multi-disciplinarity. In: Berendt B., Engel T., Ikonomou D., Le Métayer D.,

Schiffner S. (eds) Privacy Technologies and Policy. APF 2015. Lecture Notes in Computer Science, vol 9484. Springer, Cham

Van der Auwermeulen, B. (2017) How to attribute the right to data portability in Europe: A

comparative analysis of legislations. Computer Law & Security Review Volume 33, Issue 1, Februari

2017, s. 57–72 195 Finns tillgänglig på internet DOI: http://dx.doi.org/10.1016/j.clsr.2016.11.012 [Hämtad 20170215]

Van Rest J., Boonstra D., Everts M., Van Rijn, M. & Van Paassen, R. (2014) Designing

Privacy-by-Design. In: Preneel B., Ikonomou D. (eds) Privacy Technologies and Policy. APF 2012. Lecture Notes in

Vejseli, A. & Hedberg, S. (2016) Hinder och möjligheter med införandet av ISO 27001 Kandidatuppsats, Informatik. Växjö: Linnéuniversitetet

Åhlfeldt, R-M., Spagnoletti, P. & Sindre, G. (2007) Improving the Information Security Model by using TFI. In Proceedings of the 22tn IFIP TC-11 International Information Security Conference (SEC 2007). Sandton, South Africa, May 14-16, 2007. pp 73-84. ISBN: 13:978-0- 387-72366- 2, eISBN: 13:9780-387- 72367-9, ISSN: 1571-5736

Bilaga A Frågor till respondenter

I inledande skede informera respondenterna om deras rättigheter samt vad materialet skall användas för.

Inledande frågor

 Kan du berätta om din roll i organisationen?  Vad har du för bakgrund inom branschen?

o Hur länge har du arbetat i organisationen?

 På vilket sätt är du delaktig i processen av införandet av nya dataskyddsförordningen/GDPR  Om ja,

o Hur upplever du att ni ligger till i ert arbete gentemot uppfyllande av nya dataskyddsförordningen/GDPR?

o Upplever du att ni har utmaningar i uppfyllande av kraven från GDPR?  Om nej,

o Anser du att organisationen borde involvera dig? Privacy by design

 Känner du till privacy by design sedan tidigare? o Om ja, arbetar ni enligt Cavoukian´s filosofi?

Informera respondenten: Du ska nu få läsa om sju olika principer och efter varje princip kommer jag ställa några frågor.

1. “Förebyggande, inte reaktivt”

 Anser du att organisationen arbetar efter den?

o Om ja, ge exempel på hur organisationen efterlever principen. o Om nej, anser du att ni borde arbeta på detta sätt?

 Vilken/vilka avdelningar/personer kan tänkas arbeta med detta? o Är det någon annan avdelning/person som borde involveras?

2. ”Personlig integritet som standard”

 Anser du att organisationen arbetar efter den?

o Om ja, ge exempel på hur organisationen efterlever principen. o Om nej, anser du att ni borde arbeta på detta sätt?

 Använder ni er av anonymisering? o Om ja, kan du ge exempel

o Om nej, är det något du anser att ni borde ha?

3. ”Inbyggd integritet”

 Anser du att organisationen arbetar efter den?

o Om ja, ge exempel på hur organisationen efterlever principen. o Om nej, anser du att ni borde arbeta på detta sätt?

4. ”Full Funktionalitet”

 _{Anser du att organisationen arbetar efter den?}

o Om ja, ge exempel på hur organisationen efterlever principen. o Om nej, anser du att ni borde arbeta på detta sätt?

 Vad för utmaningar ser du i att arbeta enligt denna principen?

5. ”Full Livscykelskydd”

 Anser du att organisationen arbetar efter den?

o Om ja, ge exempel på hur organisationen efterlever principen. o Om nej, anser du att ni borde arbeta på detta sätt?

 _{Har ni några funktioner för att gallra/radera uppgifter?} o Om ja, hur går det till?

o Om nej, anser du att det är något ni borde införliva?

6. ”Synlighet och transparens — Håll det öppet”  Anser du att organisationen arbetar efter den?

o Om ja, ge exempel på hur organisationen efterlever principen. o Om nej, anser du att ni borde arbeta på detta sätt?

 Har ni möjlighet att lämna ut registerutdrag till personer vars uppgifter har behandlats?  Finns det möjlighet för personen vars uppgifter har hanterats att få insyn?

 Finns det möjlighet för samarbetspartner att verifiera så att löften och mål uppnås?  Vad är den tekniska svårigheten med detta?

7. ”Respekt för personlig integritet — Håll det användarcentrerat”  Anser du att organisationen arbetar efter den?

o Om ja, ge exempel på hur organisationen efterlever principen. o Om nej, anser du att ni borde arbeta på detta sätt?

 _{Använder ni er utav samtycke för att registrera information?} o Om ja, kan du berätta hur ni går tillväga för att få detta?

o Om nej, anser ni att det är något som organisationen bör arbeta med?  Arbetar ni efter att ha individens integritet skyddad som fokus?

o Om ja, kan du ge exempel på hur ni arbetar med detta? o Om nej, är det något ni skulle vilja arbeta efter?

Tekniska frågor och utmaningar

 _{Vilka är utmaningarna för nya dataskyddsförordningen/GDPR rent tekniskt}  _{Har ni några tekniska lösningar för att skydda personuppgifter?}

 _{Loggar ni något?}

o Om ja, vad loggas och hur mycket loggas?  Tar ni backuper på något system eller dylikt?

o Om ja, vad tas det backuper på?

 Hur hanterar ni lagringsmedier som usb stickor eller hårddiskar när dessa tas ur bruk?  Gör ni någon skillnad på strukturerad och ostrukturerad data?

 Använder ni av kryptering?

o Om ja i vilket omfång och vart?

Slutfråga

Bilaga B Information till respondenter

1. “Proactive not Reactive; Preventative not Remedial” (förebyggande, inte reaktivt) Principen är att arbetet skall ske förebyggande istället för att arbeta enbart reaktivt. Detta görs genom att utveckla metoder och strategier för att kunna upptäcka och känna igen tecken på att den personliga integriteten riskeras.

2. ”Privacy as the Default Setting” (personlig integritet som standard)

Principen är att integritetstänk alltid skall finnas med som standard. Här skall den enskilda individen inte behöva slå vakt om sin personliga integritet, utan det skall finnas inbyggt i systemet.

3. ”Privacy Embedded into Design” (inbyggd integritet i designen)

Privacy by design skall implementeras i både design och arkitektur i IT-systemen, men även i affärsmetoder. Denna princip lyfter vikten av dokumentation, ett tydligt integritetstänk skall finnas och önskade funktioner samt potentiella risker identifieras. I detta arbete ingår även

informationssäkerhetsarbete i form av standarder och ramverk till stöd.

4. ”Full Functionality — Positive-Sum, not Zero-Sum” (full funktionalitet)

Principen innebär att målet är full integritet. Vanligen så brukar valet falla på antingen säkerhet eller integritet. Målet är att balansera upp båda sidor utan att onödiga kompromisser sker.

5. ”End-to-End Security — Full Lifecycle Protection” (full livscykelskydd)

Femte principen är skydd under hela livscykeln. Tyngdpunkten för denna princip ligger i hur den personliga integriteten säkerställs och hur denna säkerhet implementeras och underhålls. I arbetet behöver det finnas rutiner för hur information skall kunna tas bort eller förstöras

6. ”Visibility and Transparency — Keep it Open” (synlighet och transparens – håll det öppet) Principen tar upp att synlighet och transparens måste finnas. Det skall med andra ord vara tillgänglig, ha transparens och ge de personer vars personliga information har hanterats möjlighet att korrigera detta, under förutsättningen att personerna kan verifiera att det är just deras information som hanteras.

7. ”Respect for User Privacy — Keep it User-Centric” (respekt för personlig integritet - håll det användarcentrerad)

Sista principen är vikten av att ha respekt för den individuella integriteten och att arbetet behöver vara användarcentrerad. Med användarcentrering menas att systemet skall vara användarvänligt och centrera kring användaren. Beroende på hur känslig datan är, ju mer specifik måste förfrågan om medgivandet vara. Väl värt att notera är att medgivandet kan tas tillbaka. Den insamlade datan måste vara korrekt och komplett. Utöver detta skall den registrerade förses med information kring hur organisationen hanterar informationen.