Stort tack till alla deltagande som medverkade i intervjuerna till den här uppsatsen och speciellt tack till för det engagemang de visade och gjorde vår uppsats möjlig.
Källförteckning
Benaquisto, Lucia. (2008). Codes and coding. In L. Given (Ed.), The SAGE Encyclopedia of
Qualitative Research Methods.Thousand Oaks, CA: SAGE Publications, Inc.
Cooper, D. P., Milner-Smith, H., Young, M., & Moss, A. (2017). Are You Ready for the European General Data Protection Regulation? A Practical Checklist for Employers.
Employee Relations Law Journal, 43(3), 60-65. https://web-b-ebscohost-
com.db.ub.oru.se/ehost/detail/detail?vid=0&sid=eca5ec24-e87b-40fb-ad96-
17262ef20b4c%40sessionmgr120&bdata=JnNpdGU9ZWhvc3QtbGl2ZQ%3d%3d#AN=1258 74514&db=buh
Danielsson, L., Lindström, K. & Nilsson, S. (2018). Del 2: Här är 7 gdpr-konsekvenser för utvecklare. Hämtad 2019-01-08 från https://cio.idg.se/2.1782/1.674864/gdpr-konsekvenser- utvecklare/sida/2/del-2-har-ar-7-gdpr-konsekvenser-for-utvecklare
Datainspektionen. (2018a). Första svenska GDPR-granskningen klar. Hämtad 2018-12-04 från
https://www.datainspektionen.se/globalassets/dokument/ovrigt/gdpr-granskning-dso.pdf
Datainspektionen. (u.å.a). Måste vi utse ett dataskyddsombud?. Hämtad 2019-01-10 från https://www.datainspektionen.se/lagar--
regler/dataskyddsforordningen/dataskyddsombud/maste-vi-utse-ett-dataskyddsombud/
Datainspektionen. (u.å.b). För dig som är personuppgiftsbiträde. Hämtad 2018-01-11 från https://www.datainspektionen.se/vagledningar/personuppgiftsbitraden/
Depict data studio (2019). How to Visualize Qualitative Data. Hämtad: 19-01-03 från https://depictdatastudio.com/how-to-visualize-qualitative-data/
Digital Single Market. (2018). Proposal for an ePrivacy Regulation. Hämtad 2018-12-06 från https://ec.europa.eu/digital-single-market/en/proposal-eprivacy-regulation
Eickmeier, F (2018) What does the ePrivacy Regulation mean for the online industry?. ePrivacy. Hämtad 2018-12-06 från https://www.eprivacy.eu/en/about-us/news-press/news- detail/article/what-does-the-eprivacy-regulation-mean-for-the-online-industry/
Europaparlamentets och rådets förordning (EU) (EES 2016:679). Hämtad från EUR-Lex
webbplats: https://eur-lex.europa.eu/legal-
content/SV/TXT/PDF/?uri=CELEX:32016R0679&rid=1
Europeiska kommissionen. (u.å.). Hur länge får man behålla uppgifter och behöver de uppdateras?. Hämtad 2018-10-11 från
https://ec.europa.eu/info/law/law-topic/data-protection/reform/rules-business-and- organisations/principles-gdpr/how-long-can-data-be-kept-and-it-necessary-update-it_sv
Koščík, M. & Myška, M. (2018). Data protection and codes of conduct in collaborative research. International Review of Law, Computers & Technology, 2(1), 141-154. doi: 10.1080/13600869.2018.1423888
Lag (2018:218). Lag (2018:218) med kompletterande bestämmelser till EU:s
dataskyddsförordning Hämtad 2018-12-05 från https://lagen.nu/2018:218#K1P2
Oates, J.B. (2006). Researching Information Systems and Computing. London: Sage
Tikkinen-Piri, C., Rohunen, A. & Markkula, J. (2018). EU General Data Protection
Regulation: Changes and implications for personal data collecting companies. Computer Law
& Security Review, 34(1), 134-153. doi: https://doi.org/10.1016/j.clsr.2017.05.015
Zaccheus, U. (Producent). (2018). GDPR - Vad är det? [TV-program]. Sverige: SVT. Hämtad från https://www.svt.se/nyheter/inrikes/gdpr-vad-ar-det
Bilagor
Bilaga 1: Exempel på transkribering och indelning i segment
Intervjuare 1: Så. Då sätter vi igång inspelningen. Vi börjar med att du ger ditt samtycke till
att vi spelar in intervjun, och att vi samlar in dina uppgifter.
Respondent: Ja. Jag samtycker.
Intervjuare 1: Perfekt. Och syftet med vår uppsats är då att ta reda på vilka aktiviteter
utvecklare utför nu när GDPR trätt i kraft, och om det uppstått några problem i samband med
det. Och vi ska låta dig tala fritt.
Respondent: Ja. Och jag kan väl börja med att berätta att jag arbetar på ett relativt stort
företag. Och vi sysslar mest med vidareutveckling av redan existerande produkter. Min roll är som utvecklare och konsult och jag har arbetat där i ungefär 5 år.
Intervjuare 2: Okej.
Respondent: När det gäller vårt arbete med GDPR så har vi på företaget interna riktlinjer som vi följer, som vi då satt på plats i och med inträdet av lagen. Vi har bl.a. sett över hur vi hanterar dataintrång, och införa en rutin för hur vi ska rapportera sådana. Och då vi är ett stort företag har vi också behövt anställa en s.k. data protection officer...
Intervjuare 3: Jaha, okej...
Respondent: Jag kommer inte på vad det heter på svenska... Data något...
Intervjuare 3: Dataskyddsombud?
Respondent: Ja precis, dataskyddsombud. Så det har vi fått göra.
Intervjuare 3: Mm.
Respondent: Sen har vi också uppdaterat alla policies, t.ex. på vår hemsida där våra kunder hämtar sin information, för att reflektera hur vi hanterar personlig data. Då har vi fått lägga till information om varför vi samlar in viss data och hur länge vi lagrar datan, och sen också information om att alla data subjects har rätt att dra tillbaka sitt samtycke till detta.
Intervjuare 1: Okej.
Respondent: Men detta har inte varit helt lätt. Jag personligen tycker inte att GDPR är särskilt tydlig i sina instruktioner för hur man ska gå tillväga för att följa den. Vi gör bara vårt bästa med den information vi har och sen får vi se när det görs en inspektion om vi gjort rätt eller inte. Jag tror att alla trippar på tå för att vi inte vet alla gånger hur vi ska gå tillväga.
Intervjuare 2: Mm...
Respondent: Det är svårt att veta hos vem ansvaret ligger för vissa av dessa bitar, problemet landar hos kunden som skickar vidare till chefen som kommer till oss utvecklare med problemet.
Bilaga 2: Exempel på identifiering av aktiviteter och problem
Aktiviteter:
• När det gäller vårt arbete med GDPR så har vi på företaget interna riktlinjer som vi följer, som vi då satt på plats i och med inträdet av lagen. Vi har bl.a. sett över hur vi hanterar dataintrång, och införa en rutin för hur vi ska rapportera
sådana. Och då vi är ett stort företag har vi också behövt anställa en s.k. data protection officer…
-Införa interna riktlinjer
-Se över hantering av dataintrång
-Införa rutin för rapportering av dataintrång -Följa interna riktlinjer
-Rapportera in dataintrång -Anställa dataskyddsombud
• Respondent: Sen har vi också uppdaterat alla policies, t.ex. på vår hemsida där våra kunder hämtar sin information, för att reflektera hur vi hanterar personlig data. Då har vi fått lägga till information om varför vi samlar in viss data och hur länge vi lagrar datan, och sen också information om att alla data subjects har rätt att dra tillbaka sitt samtycke till detta.
-Uppdatera policies om hanteringen av personlig data
• Det är svårt att veta hos vem ansvaret ligger för vissa av dessa bitar, problemet landar hos kunden som skickar vidare till chefen som kommer till oss utvecklare med problemet.
-Skyfflar vidare ansvaret
Problem:
• Men detta har inte varit helt lätt. Jag personligen tycker inte att GDPR är särskilt tydlig i sina instruktioner för hur man ska gå tillväga för att följa den. Vi gör bara vårt bästa med den information vi har och sen får vi se när det görs en inspektion om vi gjort rätt eller inte. Jag tror att alla trippar på tå för att vi inte vet alla gånger hur vi ska gå tillväga.
-Otydlighet i GDPR
-Osäkerhet gällande om man gör rätt -Okunskap om hur man ska gå tillväga
• Det är svårt att veta hos vem ansvaret ligger för vissa av dessa bitar, problemet landar hos kunden som skickar vidare till chefen som kommer till oss utvecklare med problemet.
-Okunskap om ansvarsfördelning -Skyfflar vidare ansvaret
Tabeller:
Bilaga 3: Indelning av aktiviteter och problem i 4 kategorier
(säkerhet, arbetssätt, juridik, information)
Säkerhet
Aktiviteter (24st)Problem (11st)
Arbetssätt
Aktiviteter (65st)
Problem (22st)
Juridik
Aktiviteter (7st)Problem (12st)
Information
Aktiviteter (13st)