Vår studie syftade till att undersöka hur verksamheter aktiva inom fastighetsbranschen i Sverige planerar och realiserar arbetet med IoT samt vilken eventuell inverkan GDPR har på detta arbete.
Studien har via intervjuer kartlagt hur företag med olika bakgrund idag arbetar med, eller i framtiden kommer att arbeta med IoT. Studien visar att samtliga företag ser stora möjligheter med att digitalisera sina processer och framförallt att anpassa sina affärsmodeller till det arbetet, för att på så vis utveckla nya områden som de kan erbjuda värde till sina kunder via. Gällande förordningens inverkan på detta arbete så ses den som ett regelverk avsett för att reglera processer som behandlar strukturerad data innehållande personuppgifter. Således upplever de intervjuade företagen att de verksamhetsförändringar som förordningen medför är frånskilda det arbete som utförs gällande att realisera fastighetsbaserade IoT-lösningar. Vi har dock, i relation till GDPR, observerat att det finns en delvis förlegad syn på vad som uppfattas som personuppgifter hos verksamheter, vilket är vad GDPR avser att reglera. Med detta som bakgrund menar vi att verksamheter bör operationalisera GDPR som ett verktyg för att genomföra förändringar. För att möjliggöra denna operationalisering menar vi att verksamheter bör utnyttja den digitaliserande möjlighet som GDPR medför och på så sätt förnya verksamheten för att stödja de processer som ligger till grund för utformandet av IoT-baserade helhetslösningar. Detta medför ytterligare potentiella verksamhetsförändringar som föranleds av att nya tolkningar av förordningen i högre grad kan undvikas.
Studiens avslutande delar exemplifierar detta med hjälp av tre modeller. Den första modellen visar på sambandet mellan affärsmodeller, IoT och smarta hem. Den andra modellen avser att illustrera hur verksamheter upplever att GDPR påverkar detta arbete.
Den avslutande modellen representerar vårt förslag på hur verksamheter kan operationalisera GDPR i utformandet av IoT-baserade helhetslösningar.
Slutligen vill vi lyfta att vi i vår studie avgränsat oss till att intervjua företag som arbetar med IoT i en kontext som är relaterad till smarta hem och fastighetshantering generellt. Vidare studier i ämnet som fokuserar på andra områden som IoT kan appliceras mot skulle därav vara värdefullt för att bekräfta eller dementera om ett liknande förhållande råder där. Vidare analys av förordningens rekommenderade mekanismer för certifiering och förhållningsregler skulle även det bidra med värdefull kunskap om hur relevant det faktiskt är att införa den typen av processer för att garantera den harmonisering som GDPR är framtagen för att skapa.
Eftersom denna studie genomfördes innan att GDPR träder i kraft, rekommenderar vi att framtida studier undersöker om förordningen har några faktiska effekter på IoT-relaterat arbete och de affärsmodeller som verksamheter formulerar. Ytterligare genererad kunskap i det området skulle vara intressant för att sätta dels vår studie, men också GDPR i sig i en reell kontext.
34
Referenslista
Ashton, K. (2009). That ‘internet of things’ thing. RFID journal, 22(7), 97–114.
Atzori, L., Iera, A., & Morabito, G. (2010). The internet of things: A survey. Computer Networks, 54(15), 2787—2805. https://doi.org/10.1016/j.comnet.2010.05.010 Borgia, E. (2014). The Internet of Things vision: Key features, applications and open
issues. Computer Communications, 54, 1-31.
https://doi.org/10.1016/j.comcom.2014.09.008
Brynjolfsson, E., McAfee, A., & Nordqvist, J. (2015). Den andra maskinåldern: Arbete, utveckling och välstånd i en tid av lysande teknologi. Göteborg: Daidalos.
Caron, X., Bosua, R., Maynard, S. & Ahmad, A. (2016). The Internet of Things (IoT) and its impact on individual privacy: An Australian perspective. Computer Law &
Security Review: The International Journal of Technology Law and Practice, 32(1), 4-15. https://doi.org/10.1016/j.clsr.2015.12.001
Constantiou, I. & Kallinikos, J. (2014). New games, new rules: Big data and the changing context of strategy. Journal of Information Technology, 30 (1), 44-57.
https://doi.org/10.1057/jit.2014.17
De Hert, P. & Papakonstantinou, V. (2016). The new General Data Protection Regulation:
Still a sound system for the protection of individuals? Computer Law & Security Review: The International Journal of Technology Law and Practice,32(2), 179-194. https://doi.org/10.1016/j.clsr.2016.02.006
Downes. L. (2018, 9 april). GDPR and the End of the Internet’s Grand Bargain. Harvard Business Review. Hämtad 2018, 10 april, från https://hbr.org/2018/04/gdpr-and-the-end-of-the-internets-grand-bargain
Fejes, A., & Thornberg, R. (2015). Handbok i kvalitativ analys (2., utök. uppl. ed.).
Stockholm: Liber.
General Data Protection Regulation, Europaparlamentets och rådets förordning (EU) (2016/679) Hämtad 2018-03-31 från Datainspektionens webbplats:
https://www.datainspektionen.se/dataskyddsreformen/
Gubbi, J., Buyya, R., Marusic, S. & Palaniswami, M. (2013). Internet of Things (IoT): A vision, architectural elements, and future directions. Future Generation
Computer Systems, 29(7), 1645-1660.
https://doi.org/10.1016/j.future.2013.01.010
IDG.se (2017, 15 maj). Wannacry – det här behöver du veta om den massiva
ransomware-attacken. IDG. Hämtad 2018, 10 april, från
https://www.idg.se/2.1085/1.682599/wannacry--har-ar-allt-du-behover-veta-om-den-massiva-ransomware-attacken
Internet world stats (2017) Internet usage statistics. Hämtad 2018-03-15 från https://www.internetworldstats.com/stats.htm
35
Krystlik, J. (2017). With GDPR, preparation is everything. Computer Fraud & Security, 2017(6), 5-8. https://doi.org/10.1016/S1361-3723(17)30050-7
Kubler, S., Yoo, M., Cassagnes, C., Främling, K., Kiritsis, D., & Skilton, M. (2015).
Opportunity to Leverage Information-as-an-Asset in the IoT -- The Road Ahead.
Future Internet of Things and Cloud (FiCloud), 2015 3rd International Conference on, 64-71. 10.1109/FiCloud.2015.63
Lee, I. & Lee, K. (2015). The Internet of Things (IoT): Applications, investments, and challenges for enterprises. BusinessHorizons, 58(4), 431-440.
https://doi.org/10.1016/j.bushor.2015.03.008
Lindhe, J. (2018). Detta har hänt: Facebook och Cambridge Analytica. Hämtad 2018, 16 Maj från: https://svt.se/nyheter/utrikes/detta-har-hant-facebook-och-cambridge-analytica
Lu, Y., Papagiannidis, S. & Alamanos, E. (2018). Internet of Things: A systematic review of the business literature from the user and organisational perspectives.
Technological Forecasting and Social Change.
https://doi.org/10.1016/j.techfore.2018.01.022
Mansfield-Devine, S. (2016). Securing small and medium-size businesses. Network Security, 2016(7), 14-20. https://doi.org/10.1016/S1353-4858(16)30070-8
Nationalencyklopedin, sakernas internet. Hämtad 2018-04-12, från https://www.ne.se/uppslagsverk/encyklopedi/l%C3%A5ng/sakernas-internet OECD (2016), OECD Science, Technology and Innovation Outlook 2016, OECD
Publishing, Paris. http://dx.doi.org/10.1787/sti_in_outlook-2016-en.
Porter, M., & Heppelmann, J. (2015). HOW SMART, CONNECTED PRODUCTS ARE TRANSFORMING COMPANIES. Harvard Business Review, 93(10), 96. Hämtad 2018, 10 April från: https://hbr.org/2015/10/how-smart-connected-products-are-transforming-companies?referral=03758&cm_vc=rr_item_page.top_right
Saarikko, T., Westergren, U. & Blomquist, T. (2017). The Internet of Things: Are you ready for what’s coming? Business Horizons, 60(5), 667-676.
https://doi.org/10.1016/j.bushor.2017.05.010
Sundmaeker, H., Guillemin, P., Friess, P., & Woelfflé, S. (2010). Vision and challenges for realising the Internet of Things. Cluster of European Research Projects on the Internet of Things, European Commision, 3(3), 34-36.
http://www.robvankranenburg.com/sites/default/files/Rob%20van%20Kranenb urg/Clusterbook%202009_0.pdf
Tankard, C. (2016). What the GDPR means for businesses. Network Security, 2016(6), 5-8. https://doi.org/10.1016/S1353-4858(16)30056-3
Tikkinen-Piri, C. Rohunen, A. & Markkula, J. (2018). EU General Data Protection Regulation: Changes and implications for personal data collecting companies.
36
Computer Law & Security Review: The International Journal of Technology Law and Practice, 34(1), 134-153. https://doi.org/10.1016/j.clsr.2017.05.015
Van Kranenburg, R., & Bassi, A. (2012). IoT Challenges. Communications in Mobile Computing, 1(1), 1-5. https://link.springer.com/content/pdf/10.1186%2F2192-1121-1-9.pdf
Weinberg, B., Milne, G., Andonova, Y. & Hajjat, F. (2015). Internet of Things:
Convenience vs. privacy and secrecy. Business Horizons, 58(6), 615-624.
https://doi.org/10.1016/j.bushor.2015.06.005
Vermesan, O., & Friess, P. (2014). Internet of Things Applications - From Research and Innovation to Market Deployment. Aalborg: River.
Vetenskapsrådet (2002). Forskningsetiska principer inom humanistisk-samhällsvetenskaplig forskning. ISBN:91-7307- 008-4
Zerlang, J. (2017). GDPR: A milestone in convergence for cyber-security and compliance.
Network Security, 2017(6), 8-11. https://doi.org/10.1016/S1353-4858(17)30060-0
Zhang, M., Liu, Y., Wang, J., & Hu, Y. (2016). A New Approach to security Analysis of Wireless Sensor Networks for Smart Home Systems. In Intelligent Networking
and Collaborative Systems (INCoS), 318-323.
https://ieeexplore.ieee.org/stamp/stamp.jsp?tp=&arnumber=7695193&tag=1
Bilaga 1 – Brev till respondenter
Forskningsetiska principer
Nedan följer information gällande de forskningsetiska principer som Vetenskapsrådet (2002) tagit fram. Dessa klargör vilka rättigheter du som respondent i vår studie har samt informerar om studiens syfte.
Studien utförs av Kristoffer Forsman och Henrik Dromberg, studenter vid Umeå Universitet som studerar det beteendevetenskapliga programmet med inriktning mot IT-miljöer. Som en del av programmet läser vi nu kursen Examensarbete i Informatik, utbildningen administreras av institutionen för Informatik vid Umeå Universitet.
Studien genomförs genom att respondenter med arbetslivsanknytning intervjuas, med mål att det berörda forskningsområdet ska kompletteras med relevant forskning och annan information som kan nyttjas för att uppnå studiens syfte. I samband med genomförd intervju har du som respondent bekräftat ditt samtycke och villighet att delta i studien.
Ditt deltagande som respondent i studien sker på en frivillig basis och du har som respondent rätten att bestämma hur länge en intervju ska pågå och på vilka villkor den ska genomföras. Intervjun kommer att spelas in via ett ljudinspelningsverktyg. Du har även rätten att under, efter och innan intervjun avbryta din medverkan utan att det medför några negativa konsekvenser för dig som respondent. Informationen som du bidrar med kommer inte användas med något annat syfte än att besvara studiens ändamål, och kommer hanteras enligt konfidentialitetskravet. Det bekräftar att informationen som ges under intervjun behandlas på ett säkert sätt som minimerar risken för spridning och att studiens ansvariga har tystnadsplikt. Detta innebär att information om din person, eller information som du delger som respondent under intervjun kommer att hanteras på ett sätt som gör att den inte på något sätt kan knytas till dig som person eller din arbetsplats.
Studien kommer efter godkänd publicering offentliggöras i den nordiska arkiverings- och publiceringsplattformen DiVA. Om du som respondent vill ta del av studiens resultat kommer du att bli kontaktad av studiens ansvariga när offentlig publicering är genomförd.
Bilaga 2 - Intervjuguide
Teman
Inledande bakgrundsfrågor Övergripande verksamhetsfrågor IoT och digitalisering
GDPR och hantering av personuppgifter Övriga frågor
Frågor
- Befattning/titel och arbetsuppgifter.
- Akademisk bakgrund
- Tidigare arbetslivserfarenheter.
- Hur länge har du varit anställd på Företag x?
- Tidigare befattning på ditt Företag x?
- Vad gör Företag x?
- Beskriv hur ni arbetar på Företag x?
- Vad arbetar ni med på din avdelning?
- Typiskt arbetsdag?
- Hur ser verksamheten ut?
- Vilka är era kunder?
- Vad är det ni erbjuder era kunder?
- Vad är er uppfattning av begreppet IoT?
- Hur arbetar ni med IoT på Företag x?
- Vilken typ av IoT använder ni på Företag x?
- Vanligaste användningen av IoT?
- Vad har den för funktion?
- Vad samlar den in?
- Vad ser ni för möjligheter med att nyttja IoT i verksamheter?
- Finns det några begränsningar som försvårar arbetet med IoT?
- Vilka risker kan förknippas med att nyttja IoT-teknik i allt större grad?
- Hur tror du att arbete med IoT kommer att se ut i framtiden?
- Hur skall man förhålla sig till IoT ur ett säkerhetsperspektiv?
- Vilka risker uppenbarar sig för den personliga integriteten vid användandet av IoT?
- Vilka överväganden tas för vart och hur datan samlas in?
- Hur arbetar ni med säkerhetsfrågor relaterade till IT?
- Vad ska man som organisation tänka om man vill göra en IoT-satsning?
- Hur definierar ni personuppgifter?
- Hur upplever ni det nya regelverk som GDPR förutsätter?
- Vilka skillnader för den personliga integriteten ser ni finns mellan PUL och GDPR?
- Skillnaden mellan PUL och GDPR, mellan alla EU länder.
- Hur skulle du karaktärisera den allmänna inställningen till GDPR?
- Vilken typ av personuppgifter relaterade till era kunder och/eller era anställda är det ni hanterar?
- Hur hanteras persondata som insamlas om kunder och anställda i dagsläget?
- Vilka förändringar gör ni som organisation inför GDPR?
- Vad kommer GDPR innebära för konkreta förändringar för er?
- Vad tror du förändringen kommer innebära…
- för ditt arbete?
- för verksamheten?
- för era kunder?
- Finns det något du skulle vilja lyfta som intervjun ännu inte adresserat?
- Är det okej om vi kontaktar dig ytterligare för eventuella frågor som uppstår efter detta intervjutillfälle?