Balansgången mellan användbarhet och GDPR - en fallstudie av systemet SafeSite Axel Strömberg och Joel Tunudd

Uppsala universitet

Inst. för informatik och media

Balansgången mellan användbarhet och GDPR

- en fallstudie av systemet SafeSite

Axel Strömberg och Joel Tunudd

Kurs: Examensarbete

Nivå: C

Termin: VT-21 Datum: 2021-05-24

Sammanfattning:

I och med GDPR har det blivit mycket viktigt för företag att anonymisera personuppgifter då det finns en risk för böter om lagen skulle brytas. Denna studie ämnade att förstå hur kommunikationssystemet SafeSite skulle kunna få fler användare att följa GDPR-lagen och hur en sådan lösning på detta problem skulle påverka användbarheten på sidan. För att ta reda på det förstnämnda genomfördes intervjuer med användare av systemet. De ansåg bland annat att informationen om GDPR på sidan var lätt att missa och att informationen inte riktigt var tillräcklig. Med intervjuerna som grund skapades därefter en enkel mockup på hur det nya systemet skulle kunna se ut. I mockupen gavs ytterligare information om GDPR som presenterades, till skillnad från nuvarande systemet, i en popup-ruta. Användarna ombads sedan att besvara en enkät som avsåg att avgöra vilken av den ursprungliga versionen och mockupen som var bättre i avseende att förmedla information om GDPR och att få användare att bättre följa lagen. I enkäten användes frågor från System Usability Scale (SUS), ett väletablerat användbarhetstest för att utvärdera hur användbarheten. Resultatet av enkäterna visade att användare med större sannolikhet skulle efterfölja GDPR med det nya designförslaget utan att den upplevda användbarheten försämras.

Nyckelord:

Användbarhet, GDPR, säkerhetssystem, anonymisering, informationssystem, SafeSite, Adilimo

Förord:

Ett stort tack till Johan Krantz och Niklas Kullinger på Adilimo AB som kom med förslag på intressanta problemområden, hjälpte oss att komma i kontakt med användare och gjorde det möjligt att utföra detta arbete. Vi vill även tacka vår entusiastiska handledare Andreas Bergqvist som outtröttligen agerat bollplank under hela skrivprocessen och hela tiden sett till att vi gått i rätt riktning. Till sist vill vi tacka Franck Tetard och Simone Callegari för deras värdefulla kommentarer och hjälp med att analysera vår data.

Innehållsförteckning

1 Inledning 2

1.1 Bakgrund 2

1.1.1 Användbarhet 3

1.1.2 Adilimo AB och SafeSite 3

1.2 Problemformulering / Kunskapsbehov 4

1.3 Syfte och forskningsfrågor 6

1.3.1 Syfte 6

1.3.2 Forskningsfrågor 6

1.4 Avgränsning 6

2 Teori 8

2.1 Tidigare forskning 8

2.1.1 GDPR och användbarhet 9

2.1.2 SUS och användbarhetsriktlinjer 10

2.2 Webbdesign och användbarhetsriktlinjer 10

2.3 Användbarhetstest 12

2.3.1 System Usabiliy Scale (SUS) 12

3 Metod 15

3.1 Formulering av forskningsstrategi 15

3.2 Forskningsparadigm 16

3.3 Intervjuer 17

3.3.1 Datainsamling med intervjuer 17

3.3.2 Kvalitativ dataanalys för intervjuer 19

3.4 Skapandet av en mockup 20

3.5 Enkäter 21

3.5.1 Datainsamling med enkäter 21

3.5.2 Kvantitativ dataanalys för enkäter 25

4 Resultat/Empiri 27

4.1 Resultat intervjuer 27

4.2 Resultat mockup 29

4.3 Resultat enkätsvar 30

4.3.1 Demografiska frågor 30

4.3.2 GDPR och användbarhet 31

4.3.3 Öppna valfria frågan 34

5 Analys 36

5.1 Vad tycker användare av tjänsten SafeSite kan förbättras

för att få fler att följa GDPR? 36

5.2 Hur kan kommunikationssystem som SafeSite få fler

5.3 På vilka sätt påverkas användbarheten av att försöka få fler

användare att följa GDPR? 41

6 Diskussion och slutsats 45

6.1 Reflektion och generalisering 45

6.2 Inför framtida forskning och brister i studien 47

6.3 Slutsatser om forskningsfrågor 48

Källförteckning 50

Bilagor

Bilaga 1: Enkätfrågor 54

Bilaga 2: Utskick av information om enkät 59

Bilaga 3: Intervjufrågor 60

1 Inledning

1.1 Bakgrund

2016 stiftade Europaparlamentet nya lagar för bland annat hantering av personuppgifter på nätet. Dataskyddsförordningen (GDPR) skapades för att stärka individers rättigheter och friheter och ge dem rättigheten att skydda sina personuppgifter (EU, 2016/679). I praktiken innebär det här att alla webbplatser som lagrar personuppgifter måste anonymisera denna information eller be om individens tillstånd att lagra uppgifterna. Anonymisering av data innebär att personuppgifter görs omöjliga att koppla till en fysisk person. Enligt EU

(2016/679) definieras anonymisering som ”data som framställs anonymt på ett sådant sätt så att en fysisk person inte längre kan identifieras”.

EU (2016/679) ställer även krav på de som hanterar lagringen av data då de måste säkerställa att det inte finns sannolika risker att informationen som lagras kan kopplas till en fysisk person. Stridande mot GDPR kan leda till skadestånd på 20 miljoner euro eller 4% av företagets årliga inkomst beroende på vad som blir det högsta beloppet (EU, 2016/679). Det kan därför vara fördelaktigt för företag att följa GDPR på ett korrekt sätt, dels för att skapa förtroende hos användarna och dels för att undvika det höga skadeståndet.

Proton Technologies AG (2019) berättar om ett danskt taxibolag, Taxa 4x35, som var tvungna att betala ca €160 000 på grund av att de inte mött de krav för anonymisering av data som GDPR ställer. Enligt artikeln trodde Taxa 4x35s styrelse att de följde lagen då de inte lagrade personuppgifter som direkt kan kopplas till en fysisk person, exempelvis namn och

personnummer. Däremot lagrade de andra personuppgifter som till exempel telefonnummer, vilket kan användas utan större svårigheter för att identifiera en person. Det är alltså inte tillräckligt att endast ta bort information som direkt kan kopplas till en fysisk person utan ofta är det nödvändigt med ytterligare åtgärder för att förhindra identifiering av en fysisk person.

En effektiv anonymiseringslösning förhindrar alla parter från att utesluta en enskild individ i ett dataset genom att koppla samman flera uppgifter och från att härleda information från dessa uppgifter (Proton Technologies AG, 2019).

1.1.1 Användbarhet

Petrie och Bevan (2009) beskriver användbarhet som ett mått på hur en produkt kan användas av specifika användare för att nå specifika mål på ett effektivt och tillfredsställande sätt i ett specifikt användningsområde. Med andra ord kan användbarhet beskrivas som hur väl en produkt hjälper användaren att utföra sina uppgifter och hur positiv användarens inställning är till den.

Enligt ISO (2021) består användbarhet av tre faktorer; ändamålsenlighet, effektivitet och tillfredsställelse. Ändamålsenlighet handlar om att användare ska nå sina mål på ett träffsäkert och fullständigt sätt. Effektivitet är hur mycket resurser som krävs för att användarna ska kunna uppnå dessa mål och tillfredsställelse är måttet på hur bekvämt systemet är att använda samt användarnas attityd till systemet (ISO, 2021).

1.1.2 Adilimo AB och SafeSite

Ett företag som är berört av GDPR och har mycket fokus på användbarhet är Adilimo AB (Adilimo, 2021). Detta är ett företag som utvecklar webbaserade hemsidor och applikationer med skräddarsydda databaslösningar till små- och medelstora kunder. Företaget har i

samarbete med bland annat Polisen och Securitas utvecklat SafeSite som är en webbaserad säkerhetslösning med ett kommunikationssystem. Detta system möjliggör för dess användare på butiker, hotell och restauranger att skicka varningar till varandra om brott eller

brottsmisstankar via e-post eller SMS. Detta kan röra sig om exempelvis väsktjuvar eller personer som blivit utkastade från hotell för att de inte sköter sig. När de sedan söker sig till nästa hotell kan det redan vara förvarnat med höjd säkerheten tack vare SafeSite. Polisen kan i sin tur följa upp dessa varningar och använda dem som tips samtidigt som verksamheten kan agera för att förebygga exempelvis stölder eller bedrägeri. Företagen kan även få uppgifter av polisen via SafeSite beträffande hot eller kriminell aktivitet. Det huvudsakliga syftet med applikationen är att kunna höja säkerheten för verksamheten, anställda och kunderna (SafeSite, 2021).

1.2 Problemformulering / Kunskapsbehov

Det finns en balansgång mellan ett systems användbarhet och ett systems säkerhet och integritet då ett större fokus på det ena kan innebära en försämring av det andra (Dhillon et.

al., 2016). För att koppla detta till GDPR menar Renaud och Shephard (2018) att ändamålet med information om GDPR är att reducera riskfyllt beteende. Att tillåta mer riskfyllt beteende kan däremot innebära ökad användbarhet eftersom att det är lättare för användare att inte ta hänsyn till risker än att behöva följa krav på informationssäkerhet (Albrechtsen, 2007). Det finns därmed även en balansgång mellan ett systems användbarhet och förmedling av

information om GDPR. Reid (2019) menar också att valet mellan användbarhet och sekretess är ett strategiskt beslut som alla webbdesigners måste göra.

Albrechtsen (2007) menar att riskfyllt beteende som hotar att bryta mot GDPR kan reduceras genom att användarnas kunskap om riskerna ökas. Detta kan ändra användarnas uppfattning av riskerna och därmed även deras beteende (Albrechtsen, 2007). Att ge användarna

tillräckligt med information om informationssäkerhet och om hur de ska genomföra dessa handlingar är ett simpelt sätt att uppmana ett varsamt beteende (Albrechtsen, 2007). Renaud och Shepherd (2018) förklarar att för att kommunicera information på bästa sätt måste informationen designas med noggrannhet.

För att följa GDPR måste användare av ett system behandla personuppgifter på ett korrekt sätt, vilket inte är helt oproblematiskt. Enligt Albrechtsen (2007) finns det olika faktorer till varför användare kan uppfatta informationssäkerhet som ett hinder. Han menar att ifall behandling av personuppgifter inte är användarens främsta ändamål så kan kravet att agera med informationssäkerhet anses vara ett störningsmoment för användarens huvudsakliga mål.

Användare som inte själva är ansvariga för informationssäkerheten och användare som anser att informationssäkerhet försvårar arbetsuppgifterna riskerar att förbise

informationssäkerheten och sin personliga roll inom den (Albrechtsen, 2007). Därmed kan användarna själva vara ett problem för efterlevnaden av GDPR.

I SafeSite:s fall gestaltar sig denna problematik i att användarna ibland skriver ut information som direkt (t.ex. namn) eller indirekt (t.ex. registreringsnummer) kan kopplas till en fysisk

person trots att det finns en varningstext om att detta inte är tillåtet¹. Användarnas främsta uppgift är att göra inlägg på sidan som varnar andra användare om misstänkta personer, inte huvudsakligen att behandla personuppgifter. Detta har resulterat i att Adilimo manuellt måste behandla otillåten information i efterhand². I dagsläget är den främsta användargruppen (utöver Polisen och Securitas) hotellpersonal och även om de sköter personuppgifter

tillräckligt bra för att systemet ska fungera så eftersöks förbättring. Systemet lämpar sig även för andra branscher såsom restauranger och butiker vars insikt i sekretess och behandling av personuppgifter inte nödvändigtvis är lika stor vilket belyser problemet ytterligare.

Även information om informationssäkerhet kan anses som störande. Information om säkerhet och integritet är något som datoranvändare kommer i kontakt med mycket frekvent vilket gör att användarna kan bli överväldigade av den och avskräckta från att läsa den (Renaud och Shephard, 2018). Enligt Waldman (2018) har användare ibland svårt att veta vilka åtgärder som bör vidtas efter att ha läst integritetsriktlinjer och i en studie av Obar och Oeldorf-Hirsch (2018) var det endast 26 % av 543 användare som ens läser dem. Större krav på och mer information om informationssäkerhet leder till att användare upplever en försämrad användbarhet (Albrechtsen, 2007). Det kan således vara en svår balansgång mellan att

optimera användbarheten och samtidigt få användare att respektera och förstå lagar och regler om hur personuppgifter bör hanteras.

SafeSites användbarhet är av största vikt då tanken med systemet är att det inte ska behövas någon form av utbildning (SafeSite, 2021). Systemet ska vara så enkelt att vem som helst kan logga in och börja använda tjänsten (SafeSite, 2021). Att leva upp till denna målsättning har emellertid visat sig vara en intrikat uppgift då lagar såsom GDPR-lagen måste tas i hänsyn.

Systemet ska dels förhindra att användarna skriver meddelanden utan att anonymisera personuppgifter, samtidigt som det ska kunna förmedla information som är relevant för mottagaren på ett enkelt och snabbt sätt (SafeSite, 2021). Det finns följaktligen ett genuint intresse för Adilimo AB att undersöka vad som kan förbättras på SafeSite för att

informationen om GDPR ska framgå tydligare utan att det sker på bekostnad av användbarheten.

1Niklas Kullinger, VD för Adilimo AB, I ett möte över internet med Adilimo AB den 25 januari 2021.

1.3 Syfte och forskningsfrågor

1.3.1 Syfte

Syftet med denna studie var att undersöka hur Adilimo AB:s applikation SafeSite skulle kunna förbättras så att användare är mer benägna att följa GDPR och att analysera hur användbarheten påverkas av detta. Målet var att resultatet av studien sedermera skulle kunna användas som en grund för att utveckla och förbättra kommunikationssystemet SafeSite eller andra tjänster som står inför en liknande uppgift och problematik.

1.3.2 Forskningsfrågor

1) Vad tycker användare av tjänsten SafeSite kan förbättras för att få fler att följa GDPR?

2) Hur kan kommunikationssystem som SafeSite få fler användare att följa GDPR utan att försämra dess användbarhet?

3) På vilka sätt påverkas användbarheten av att försöka få fler användare att följa GDPR?

1.4 Avgränsning

I denna studie var målet att förtydliga och förbättra informationen på SafeSite utan att försämra användbarheten. Syftet med studien var därmed inte att förbättra användbarheten.

Vidare definierades användbarhet enligt den traditionella trion ändamålsenlighet, effektivitet och tillfredsställelse (ISO, 2021). Petrie och Bevan (2009) beskriver begreppen lärbarhet och flexibilitet inom användbarhet vilket är exempel på två begrepp som inte användes i denna studie då ISO:s (2021) definition bedömdes vara tillräcklig för studiens syfte.

För studiens ändamål var det tillräckligt att använda just användbarhet som ett mått på hur ett system uppfattas. Ett annat begrepp som kan förekomma i samband med användarnas

perspektiv av ett system är användarupplevelse. Användarupplevelse går istället mer djupgående in på användarens tillfredsställelse, något som inte var det centrala för denna studie (Petrie och Bevan, 2009). Därmed avgränsades studien till att mäta just användbarheten och inte användarupplevelsen.

Ytterligare en avgränsning gjordes till att endast undersöka hur just hotellpersonal använder applikationen och inte andra branscher då denna användargrupp var den största.

Applikationen undersöktes därmed inte heller från Polisen eller Securitas perspektiv.

2 Teori

I kapitel 2.1 presenteras och diskuteras tidigare forskning, bland annat tre studier som avser att förstå hur GDPR-information kan utformas på bästa möjliga sätt till användaren med användbarhet som en viktig parameter. Vidare kommer fem riktlinjer för användbarhet att presenteras i 2.2 och slutligen avslutas teoridelen med 2.3 som beskriver vad System Usability Scale (SUS) är för något.

2.1 Tidigare forskning

En stor del av den tidigare forskningen som berör GDPR tillsammans med användbarhet handlar om hur användare påverkas av notifikationer om webbkakor eller hur användare kan bestämma över och ändra sina val av datainsamling på sidan (Kulyk et. al., 2018; Habib et.

al., 2020; Utz et. al., 2019; Almeida, F., och Monteiro, J. 2021; Sahqani, W., och Turchet, L., 2021). En annan del av forskningen handlar om hur ett system bör designas för att användarna på ett användbart sätt ska förstå informationen om hur deras personuppgifter behandlas

(Renaud och Shephard, 2018; Waldman, 2016).

Det som skiljer den tidigare forskningen om GDPR och användbarhet från den här studien är själva ändamålet med informationen som ska förmedlas till användaren. I den tidigare forskningen är ändamålet med informationen att upplysa användarna om hur deras

personuppgifter lagras. På SafeSite ska inte några personuppgifter lagras alls och det är därför inte nödvändigt att förmedla någon information om hur användarnas personuppgifter lagras.

Denna studie studerar istället hur information om GDPR kan förses till användarna så att de inte bryter mot GDPR i sina fria inlägg på SafeSite.

Den gemensamma nämnaren för denna fallstudie och den tidigare nämnda forskningen är att de båda undersöker hur information om GDPR kan förmedlas på bästa sätt och hur

informationen kan göras användbar. Den tidigare forskningen belyser problematiken inom användbarhet som uppstår i och med GDPR och erkänner därmed den balansgång mellan GDPR och användbarhet som denna studie bygger på.

2.1.1 GDPR och användbarhet

Renaud och Shepherd (2018) genomförde en studie med målet att skapa riktlinjer för hur sekretessriktlinjer både kan följa GDPR och samtidigt vara användbara. De identifierade de viktigaste delarna av GDPR som användarna måste bli informerade om. Genom en

litteraturstudie fann de även relevanta riktlinjer för användbarhet som kunde appliceras till dessa delar av GDPR. Dessa riktlinjer var bland annat att skapa förtroende hos användaren och att maximera förståelsen i informationen om GDPR (Renaud och Shepherd, 2018).

Studien framför alltså vilka delar av GDPR som måste förmedlas till användarna och förser ett antal riktlinjer på hur denna information kan presenteras för användarna på ett användbart sätt.

Enligt Utz et. al. (2019) visar mer än 60 % av populära webbplatser i europa upp

notifikationer om webbkakor för användarna sedan GDPR-lagarna infördes. Detta har gjort att användare blivit överväldigade av sekretessnotifikationer och tröttnat på dem och många har installerat tillägg på sin webbläsare som blockerar dessa notifikationer (Utz et. al., 2019). Utz et. al. (2019) genomförde därför tre experiment som undersökte hur notifikationer av

webbkakor påverkade 80 000 användare på en tysk webbsida. De kom fram till att

notifikationer påverkade användarnas beteende beroende på notifikationens position på sidan, hur många val som presenterades för användaren samt om det fanns någon länk till

sekretessriktlinjer och hur tekniskt språket var (Utz et. al., 2019).

Även Habib et. al. (2020) belyser problematiken med att en stor del av alla webbplatser presenterar notiser om webbkakor och sekretess för användare. Habib et. al. (2020) menar att bara för att informationen om GDPR finns tillgänglig för användaren så betyder inte det att den har hög användbarhet. I studien nås slutsatsen att placeringen och funktionaliteten av sekretessvalen på webbplatser måste stämma bättre överens med användarnas föreställning om hur man hittar dessa val och var de finns. Ändringar på hemsidan såsom bättre rubriker och mer lättförståelig information skulle göra dessa val mer användbara och öka användarnas självförtroende i användningen av dem (Habib et. al., 2020).

De tre ovan nämnda studierna är exempel på tidigare forskning som undersöker hur

information om GDPR på ett mer användbart sätt kan presenteras för användaren. De framför

även konkreta förslag eller riktlinjer på hur detta kan uppnås. Det här är även vad denna studie försöker uppnå, att presentera förslag på hur information om GDPR kan framföras tydligare men också på ett användbart sätt.

2.1.2 SUS och användbarhetsriktlinjer

Alhadreti (2020) utförde en fallstudie som mätte användbarheten hos ett saudiarabisk universitets blackboard system, vilket är en utlärningsplattform. För att mäta användbarheten genomfördes enkäter baserat på både SUS och Computer System Usability Questionnaire (CSUQ), vilket är ett annat vanligt verktyg för att mäta användbarhet genom enkäter. Ett starkt samband uppstod mellan resultatet från SUS och resultatet från CSUQ och därmed drogs slutsatsen att SUS och CSUQ väsentligen mäter samma fenomen.

En annan fallstudie på ett universitets system har utförts av Abror et. al. (2019) som iterativt utvärderade systemets användbarhet tre gånger. Först mätte de användbarheten hos systemet i det skick som det ursprungligen befann sig i. Efter det utvecklade de en lo-fi prototyp av systemet som baserades på resultatet av den första mätningen samt Usability Guidelines (GSA och HHS, 2004). Därefter utfördes två ytterligare mätningar av användbarheten som genomfördes med hjälp av SUS. Resultatet blev att användbarheten ökade inom alla dess tre delar; ändamålsenlighet, effektivitet och tillfredsställelse.

Sammanfattningsvis är SUS en stark kandidat vid valet av användbarhetsmått eftersom att det är vida accepterat och mäter essentiellt samma parametrar som andra användbarhetsmått, som till exempel CSUQ. Vid utveckling av prototyper eller mockups med användbarhet i fokus så har GSA:s och HHS:s (2004) riktlinjer används i tidigare forskning för att framgångsrikt förbättra användbarheten hos ett system.

2.2 Webbdesign och användbarhetsriktlinjer

GSA och HHS (2004) presenterar 209 riktlinjer för webbdesign och användbarhet som kan användas inom utveckling eller skapande av websidor för att basera designval på tidigare forskning. Riktlinjerna ger en tydlig bild av vilka problem som designers måste ta i beaktning

vid planering och utveckling av webbsidor. Ett urval av de riktlinjer som ansågs vara mest relevanta för denna studie har valts ut som grund för utvecklingen av en mockup av SafeSite, tillsammans med förbättringsförslagen från användarna av systemet. Dessa utvalda riktlinjer anses relevanta eftersom att de behandlar antingen hur viktig information ska presenteras eller tillvägagångssätt under och inför designarbetet. Antalet riktlinjer begränsades till fem stycken och nedan presenteras de som valts ut från GSA och HHS (2004):

1. Markera viktig data.

Enligt GSA och HHS (2004) måste viktig information som kräver användarnas uppmärksamhet visuellt särskiljas från andra föremål på webbsidan. Sådan information kan vara nyligen förändrad data, data som stiger över en viss gräns eller data som inte uppfyller ett visst kriterium. Att visuellt särskilja information innebär att betona, understryka eller tydliggöra information och är som mest effektivt om det inte överanvänds (GSA och HHS, 2004).

2. Designa för arbetsminnets begränsningar.

GSA och HHS (2004) förklarar att människor minns relativt lite information under en relativt kort tidsperiod. Arbetsminnet är begränsat vilket måste tas hänsyn till vid designen av webbsidor. En användare kan endast komma ihåg tre eller fyra bitar information i några sekunder när hon navigerar från en sida till en annan. Det bästa är att ha informationen tillgänglig sida vid sida så att användaren inte behöver komma ihåg informationen i huvudet, även om det endast är under en kort tidsperiod (GSA och HHS, 2004).

3. Inkludera användare vid upprättande av användarkrav.

För att förbättra träffsäkerheten och helheten av användarkrav menar GSA och HHS (2004) att det kan vara fördelaktigt att inkludera användarna. Tidigt och kontinuerligt fokus på användarna är en av de grundläggande principerna vid användarcentrerad design. Användare är dock inte de bästa på att hjälpa till med designbeslut men kan ge en värdefull inblick i vad systemet bör göra (GSA och HHS, 2004).

4. Använd parallell design.

GSA och HHS (2004) berättar om parallell design, vilket innebär att flera utvecklare oberoende av varandra får ge designförslag och sedan används de bästa förslagen från varje design. Detta tillvägagångssätt är effektivt eftersom att om endast en designer bestämmer över designen finns det en risk att gå miste om idéer och strategier som är mer optimala. Samtidigt är det bevisat att gruppdiskussioner av designproblem (brainstorming) inte leder till de bästa lösningarna. Parallell design är en mellanväg mellan de båda tidigare beskrivna tillvägagångssätten och ger en stor mängd designidéer innan den bästa lösningen väljs (GSA och HHS, 2004).

5. Använd svart text på enkla bakgrunder med hög kontrast.

När användare förväntas att snabbt läsa och förstå text är det enligt GSA och HHS (2004) bäst att använda svart text på en enkel bakgrund med hög kontrast utan mönster. Svart text på en ljus bakgrund läses 32% fortare än vit text på en mörk bakgrund (GSA och HHS, 2004).

2.3 Användbarhetstest

Systemutvecklare vill naturligtvis att sina system ska fungera så väl som möjligt. För att se till att systemen fungerar som de ska från ett användarperspektiv kan det vara fördelaktigt att utföra en utvärdering av användbarheten genom ett användbarhetstest. Enligt Sauro och Lewis (2012) finns det generellt sett två typer av användbarhetstest: den ena är formativ och söker efter användbarhetsproblem i syfte att lösa dessa problem och den andra är summerande och beskriver användbarheten av en applikation genom ett visst mått. En typ av summerande användbarhetstest är jämförande test vilket möjliggör en jämförelse mellan två olika systems användbarhet (Sauro och Lewis, 2012).

2.3.1 System Usabiliy Scale (SUS)

Ett vedertaget sätt att bedöma användbarheten hos ett system via enkäter är med hjälp av System Usability Scale (SUS) som utvecklades 1986 av John Brooke (Sauro, 2011). Även om detta sätt att mäta användbarhet på börjar bli relativt gammalt är det fortfarande ett

välfungerande och enkelt tillvägagångssätt som är relevant än idag (Lewis, J. och Sauro, J.

2009). SUS består av 10 påståenden riktade till användare av systemet som får svara på frågorna genom en skala från 1-5 där ett betyder "instämmer inte alls" och där 5 på skalan representerar "instämmer helt". De tio påståendena (Sauro, 2011) visas i tabell 2.1:

SUS-påståenden

Instämmer Instämmer inte alls helt 1. Jag tror att jag skulle vilja använda det här

systemet ofta.

1 2 3 4 5

2. Jag tycker det här systemet är för komplext. 1 2 3 4 5 3. Jag tycker systemet var enkelt att använda. 1 2 3 4 5 4. Jag tror att jag skulle behöva teknisk support av

någon för att använda det här systemet.

1 2 3 4 5

5. Jag tycker att de olika funktionerna i systemet var väl integrerade.

1 2 3 4 5

6. Jag tycker det här systemet var för inkonsekvent. 1 2 3 4 5 7. Jag tror att många personer skulle lära sig att

använda det här systemet mycket snabbt.

1 2 3 4 5

8. Jag tycker systemet var besvärligt att använda. 1 2 3 4 5 9. Jag känner mig självsäker vid användandet av

systemet.

1 2 3 4 5

10 Jag måste lära mig många saker innan jag kan börja använda det här systemet.

1 2 3 4 5

Tabell 2.1 - System Usability Scale

För att mäta hur pass användbart ett system är måste man summera svaren på dessa frågor.

Den uppmärksamme läsaren märker att de frågor med jämna siffror är negativt laddade och de med ojämna siffror är positivt laddade och därför måste svaren summeras på olika sätt.

Alhadreti (2020) förklarar hur resultatet av svaren på SUS-frågorna räknas ut. Poängen på en positiv fråga beräknas som svaret (1-5) minus ett. En negativ fråga får en poäng som är fem minus svaret. Dessa poäng summeras och multipliceras sedan med 2.5 vilket gör att

SUS-värdet kan bestå av en poäng mellan 0-100. Ett SUS-värde över 68 räknas som över medelvärdet och ett SUS-värde under 68 är under medelvärdet.

Sauro (2011) presenterar fördelar och nackdelar med SUS och beskriver att fördelarna med det här måttet på användbarhet är att det är mycket enkelt att använda. Dels är det endast ett fåtal frågor som är mycket enkla och tydligt utformade vilket gör att enkäten blir enklare att besvara och minskar risken för att deltagaren ska känna sig överväldigad av frågorna. Det går även att använda SUS på ett litet antal deltagare utan att det påverkar resultatet. Som tidigare nämnt är det också vedertaget, det är ett verktyg som fungerar och kan därför mäta användbarheten på ett giltigt vis. Nackdelarna med SUS är att själva värderingssystemet är någorlunda komplext och att skalan inte tar reda på om ett system faktiskt är användbart eller inte, utan mäter endast till vilken grad ett system är enkelt att använda (Sauro, 2011).

3 Metod

I detta kapitel redovisas de forskningsstrategier och forskningsparadigm som valts för studien.

Även de tre kronologiska stegen som utgjorde studiens huvudprocess kommer att redovisas och motiveras ytterligare.

De tre stegen var:

1) Intervjuer med användare av SafeSite i syfte att generera förbättringsförslag till systemet i avseende på informationen om GDPR till användare.

2) Skapandet av en mockup med förbättringsförslag/intervjuerna som grund.

3) Utvärdering av skapad mockup med hjälp av enkäter.

3.1 Formulering av forskningsstrategi

Syftet var att se vilka åtgärder som specifikt SafeSite skulle kunna utföra för att få fler användare att följa lagarna angående lagring av personuppgifter utan bekostnad av användbarheten på sidan samt att se på vilka sätt som användbarheten påverkades av dess åtgärder. Istället för att undersöka ett fenomen generellt ämnade studien att mer grundligt granska webbplattformen SafeSite i ett försök att skapa en djup insyn i just detta fall.

Goldkuhl (2011) beskriver att forskningsstrategier antingen används för att undersöka på bredden eller på djupet. Genom att undersöka på bredden uppnås ett större omfång, medan undersökning på djupet fångar in fler aspekter för att skapa en allsidig bild. Den mest uppenbara forskningsstrategi vid undersökning av enskilda fall är fallstudie, vilket var den valda strategin för denna uppsats. Fallstudier är empiriska undersökningar som granskar ett samtida fenomen inom dess kontext och kan användas som grund för framtida forskning eller generaliseras till liknande organisationer som det som undersöktes (Oates, 2005).

Eftersom att det även har skapats en mockup i denna uppsats kan det argumenteras att den valda forskningsstrategin inte är en fallstudie, utan design och skapande. Anledningen till att fallstudie är den valda forskningsstrategin är att designmomentet i denna studie endast är en del av det övergripande syftet. Fallstudie som strategi används för att nå en djupare förståelse för hur SafeSites användare uppfattar systemet, för att undersöka hur eventuella förändringar

skulle påverka deras uppfattningar och för att förstå balansgången mellan användbarhet och att tydligt förmedla information om GDPR. Designförslaget är i detta fall endast ett verktyg för genomförandet av denna fallstudie.

Studiens upplägg gjorde det svårt att genomföra en långsiktig fallstudie. Det mest passande valet av fallstudie för denna uppsats var en kortsiktig fallstudie, vilket enligt Oates (2005) innebär att studien beskriver hur situationen befinner sig i samtiden, inte hur den har förändrats eller hur den kommer att förändras över tid. Oates (2005) beskriver att det finns tre olika grundläggande typer av fallstudier: utforskande, beskrivande och förklarande. För denna uppsats ändamål var det både tillräckligt och mest passande att genomföra en beskrivande fallstudie, då syftet var att beskriva hur SafeSite kan få fler användare att följa GDPR utan att försämra användbarheten och hur användbarheten påverkades av designförslaget.

3.2 Forskningsparadigm

Oates (2005) beskriver interpretivism, vilket är ett forskningsparadigm som blivit allt mer accepterat inom informationssystem under de senaste 20 åren. I detta paradigm är ontologin att det inte finns en enskild version av sanningen eftersom att olika grupper och kulturer uppfattar världen på olika sätt. Epistemologin är att försöka skapa en rik förståelse över en unik kontext och förstå hur människor uppfattar sin värld.

Fallstudier oftast associerade med det interpretativa forskningsparadigmet eftersom att studien ämnar att undersöka hur ett visst fall ser ut i en viss situation (Oates, 2005). Detta är ett passande paradigm eftersom att det som är sant för SafeSite inte nödvändigtvis behöver vara sant för andra webbplatser eller företag. Förbättringsförslag från användare av SafeSite kan teoretiskt sett vara försämringar i andra situationer. Förslag på förändringar kan också manifesteras på flera olika sätt. Det finns alltså inte en korrekt lösning som positivismen anser att det finns. Det är också viktigt att förstå att författarna av denna studie inte har möjlighet att vara fullständigt objektiva, vilket är ett problem som interpretativismen understryker (Oates, 2005). Till exempel valdes källor, enkätfrågor och intervjufrågor av författarna som följaktligen formade studien och dess resultat till en viss grad.

3.3 Intervjuer

3.3.1 Datainsamling med intervjuer

Det första steget för att samla in data från användare av systemet var genom en kvalitativ forskningsansats. Detta genomfördes med hjälp av intervjuer som utfördes över samtal via Microsoft Teams på grund av den rådande corona-pandemin. Ett bekvämlighetsurval gjordes för att få tag i intervjudeltagare då Adilimo frågade efter intresserade via SafeSite självt.

Intervjuer som metod för att utvinna förbättringsförslag och information om systemet i fråga var högst aktuellt då de frågor som behövde ställas kunde vara relativt öppna och komplexa att besvara. Intervjuerna utformades således till semi-strukturerade intervjuer. Detta möjliggjorde att den intervjuade kunde ge mer detaljerade och fria svar på frågor samtidigt som ordningen av frågor och dess innehåll inte var lika rigid som i fullt strukturerade intervjuer (Oates, 2005).

Intervjuerna utgjorde en slags förstudie där resultatet användes som ett underlag till ett senare steg då en mockup skapades för att illustrera hur systemet skulle kunna vara. Ambitionen med intervjuerna var följaktligen inte att insamlade förbättringsförslag i sig skulle kunna generaliseras till samtliga användare, utan snarare endast som inspiration till en blivande mockup. Givet detta och den begränsade tidsramen för studien så intervjuades totalt tre personer. Ett frivilligt svarande gjordes för att få tag i dessa intervjuobjekt. Detta genom att Adilimo AB skickade ut information till samtliga användare där de frågade efter frivillig, intresserad och tillgänglig hotellpersonal.

Målet med dessa intervjuer var att utforska vad användare tycker om det nuvarande systemet och i synnerhet om de hade några förbättringsförslag med avseende på information om GDPR. De centrala och viktigaste frågorna var därmed de som syftade att samla in användarens synpunkter om vad som direkt eller indirekt skulle kunna förbättras i systemet för att informationen om GDPR skulle kunna framgå tydligare.

Intervjuer skiljer sig ifrån en vanlig konversation då det finns en tydlig agenda som styr frågorna som ska ställas. Det var därför viktigt att intervjuaren var tydlig och öppen med

forskningsagendan så att intervjuobjektet var helt införstådd om detta (Oates, 2005).

Intervjuerna inleddes således med en förklaring om uppsatsens ämne och syftet med intervjuerna. För att förstå eventuellt komplexa eller specifika svar var det viktigt att skapa en förståelse för systemets kontext och användning. Detta ökar i sin tur tilliten för den som utför intervjun. Av denna anledning gavs författarna av denna uppsats tillgång till SafeSite och hade ett flertal möten med Adilimo AB för att bättre förstå systemet och hur det används. För att ytterligare öka tilliten och chanserna till fler förbättringsförslag skickades e-mail ut så att den intervjuade skulle få en chans att fundera på ämnet i förhand (Oates, 2005).

Att leda en konversation och föra intervjun framåt kräver både hårt arbete och omtanke enligt Castillo-Montoya (2021). Intervjufrågorna konstruerades för att effektivt uppnå en balans mellan att ställa frågor och leda en konversation. Vidare var frågorna noggrant utvalda för att inte nå en återvändsgränd i konversationen. Enligt Castillo-Montoya (2021) kan intervjufrågor med fördel delas in i fyra olika typer: ”introduktionsfrågor”,

”övergångsfrågor”, ”nyckelfrågor” och ”avslutande frågor” vilket även gjordes i detta fall:

Introduktionsfrågor

- Vilken roll har du inom hotellet?

- Berätta om en situation där du använde SafeSite?

- Hur ofta använder du SafeSite?

- Hur bekant är du med GDPR-lagen?

Övergångsfrågor

- Hur väl tycker du att det framgår på sidan vad som får och inte får publiceras?

- Har det någonsin uppstått en situation där du har varit tveksamt till vad man får/inte får skriva angående personuppgifter på SafeSite?

- På SafeSite finns en ruta som förklarar vad som är tillåtet och inte angående personuppgifter. Hur mycket information tycker du att det ger?

Nyckelfrågor

- Ibland händer det att en användare skriver ut namn eller annan information, som strider mot GDPR, varför tror du att det är så?

- Om du fick ändra eller lägga till någonting på SafeSite för att göra informationen om GDPR tydligare, vad hade du gjort då?

Avslutande frågor

- Så för att sammanfatta så menar/tror du att…?

- Innan vi avslutar intervjun, finns det något annat vi inte diskuterat som du tror kan leda till att informationen om GDPR blir bättre?

Utöver ovanstående frågor ställdes även en del följdfrågor i avsikt att förtydliga och utveckla då det behövdes.

Intervjuer spelas oftast in och transkriberas eller antecknas för att inte förlita sig enbart på minnet (Oates, 2005). I detta fall antecknades det som sades under intervjuerna men de spelades inte in. Enligt (Saunders m.fl., 2012) kan intervjuobjektet känna sig mindre bekväm vid inspelade intervjuer. Detta var ytterst relevant att ta i beaktning då frågor ställdes om huruvida personen följde GDPR eller inte när de gjorde inlägg i systemet och det var viktigt att svaren var sanningsenliga. Transkriptioner ansågs också vara för tidskrävande med tanke på uppsatsens omfattning och tidsbegränsning då varje intervju kan ta väldigt lång tid att transkribera (Oates, 2005).

3.3.2 Kvalitativ dataanalys för intervjuer

Intervjuerna resulterade i kvalitativ data i form av tankar och förslag från användare för att informationen om GDPR skulle framgå tydligare. För att enklare utvinna detta ur

anteckningarna utfördes flera metoder. Det första steget för att reducera texten var att gå igenom hela texten i sin helhet och införa kodning. Kodning innebär att skriva ut nyckelord i marginalerna för att sammanfatta ett större relevant stycke så att det blir lättare att analysera.

Datorprogram kan nyttjas för att underlätta processen med detta, men valdes bort då intervjuerna var korta och fokuserade på endast förbättringsförslag.

Texten delades sedan in i teman. Oates (2005) ger förslag på att inledningsvis ha tre teman:

”irrelevant för syftet”, ”viktiga segment med deskriptiv information” och ”relevanta segment

för forskningsfrågorna”. Denna struktur följdes för att enklare utvinna förslag eller finna brister i systemet som sedan kunde användas till skapandet av en mockup.

3.4 Skapandet av en mockup

I studiens andra steg användes resultatet från intervjuerna tillsammans med fem designprinciper som grund för att skapa en mockup. Oates (2006) hävdar att IT-artefakter bör baseras på systemutvecklingsprinciper och således har ett urval av fem design- och användbarhetsriktlinjer från GSA och HHS (2004) legat till grund för designbesluten. Två av dessa riktlinjer handlar om hur en designer bör gå tillväga för att genomföra en design. Den ena av dessa är att designa med hjälp av parallell design. Skribenterna av denna uppsats skapade därför varsin version av en mockup oberoende av varandra. De två versionerna var mycket lika varandra och därför valdes den designen som skribenterna ansåg vara den mest estetiskt tilltalande. Den andra riktlinjen är att låta användarna delta vid skapandet av användarkrav, vilket de fick göra under intervjuerna genom att ge förbättringsförslag.

De tre resterande riktlinjerna som valdes ut från GSA och HHS (2004) berörde själva designen. Dessa var att markera viktig data, designa för arbetsminnets begränsningar och använda svart text på enkla bakgrunder med hög kontrast. Då samtliga av dessa riktlinjer går att efterfölja vid skapandet av ett popup-fönster valdes just detta eftersom det även var en av de konkreta förslagen från användarna som gavs under intervjuerna.

Det gjordes även ett försök att förbättra själva texten om GDPR genom att förtydliga vad som menas med information som indirekt kopplas till fysisk person. Här användes SND:s definition som utgångspunkt (Svensk Nationell Datatjänst, 2021).

Mockupen skapades i programmet Adobe Photoshop genom att ta skärmdumpar på hemsidan och sedan omarbeta dessa. Även Google Chrome’s Developer Tools användes för att omarbeta knappar och gränssnitt på hemsidan som sedan lades in i bilden (mockupen) genom att ta skärmdumpar på dessa enskilda element.

En tydlig problematik som togs upp under intervjuerna var att användarna ofta byter ut bokstäver i namn mot asterisker för att på så sätt inte bryta mot GDPR. Detta problem var emellertid inget som mockupen specifikt ämnade att lösa, och detta av två anledningar. För det första var avsikten att få användare att följa GDPR bättre och att då uppmuntra, klargöra eller avgöra hur många asterisker som är tillåtet skulle kunna motstrida det huvudsakliga syftet. Detta då tanken är att användare inte ska skriva ut namn överhuvudtaget. För det andra införde Adilimo en ny funktion i systemet som avsåg att lösa just denna problematik med asterisker under just den tid som mockupen skapades.

3.5 Enkäter

3.5.1 Datainsamling med enkäter

I det tredje och sista steget gjordes en enkätundersökning för att utvärdera den mockup som skapats med tidigare intervjuer som grund. Mockupen jämfördes med det nuvarande systemet genom att båda versioner var bifogade som bilder i en enkät. I denna studie valdes webbaserade enkäter då de kan leda till en stor mängd data både snabbt och kostnadseffektivt.

Enkäterna gick ut till användare av systemet som har tillräcklig datorvana för att fylla i rutor i SafeSite och därmed bedömdes att besvarande av webbaserade enkäter inte utgör något större problem. Det var ändock viktigt att inse vikten av att inte ha för långa enkäter som besvaras över internet då respondenter ofta har sämre tålamod vid just webbaserade enkäter. Det tar längre tid att fylla i en enkät digitalt och risken för att behöva börja om från början ökar vid tekniska problem (Oates, 2005).

Webbaserade enkäter var en lämplig metod för studiens ändamål då målet var att nå ut till fler personer än i det första steget och på grund av behovet för en större datainsamling. SafeSite används i flera svenska städer och den geografiska spridningen av respondenter motiverade valet av enkäter ytterligare. Ett bekvämlighetsurval gjordes då enkäten skickades ut till samtliga 150 hotell i Stockholm, Göteborg och Västerås som använde systemet. Detta med förhoppningen att få så många svar som möjligt. Enkäten skickades ut via själva kommunikationssystemet och besvarades självmant och anonymt istället för att vara

administrerad för att användaren skulle vara mer benägen att svara ärligt och inte bli påverkad av exempelvis frågeställarens tonläge eller annan påverkan (Oates, 2005).

Alla frågor i enkäten förutom en avslutande öppen fråga begränsades till stängda frågor med fördefinierade svarsalternativ och enkäten var således en kvantitativ forskningsansats. Enligt Oates (2005) förenklar stängda frågor processen för respondenten då det går snabbare att svara på enkäten, samtidigt som den insamlade datan blir enklare att analysera. Vidare konstruerades de stängda frågornas svarsalternativ uteslutande i form av en så kallad likertskala. Likertskalan är en typ av flervalsfråga där det är vanligt att respondenter svarar hur starkt de håller med om ett påstående i en skala från exempelvis 1-5 (Oates, 2005).

Vid enkäter som datainsamlingsmetod finns ingen möjlighet att ställa följdfrågor eller att förtydliga frågor i efterhand vilket ställer höga krav på noggrannhet vid urvalet av frågor.

Frågorna ska förstås likadant av samtliga respondenter och relatera till frågeställningen samt hypotesen (Oates, 2005). Detta eftersträvades vid skapandet av denna enkät. Frågorna behövde även vara tillräckligt väl utformade för att uppfylla det vetenskapliga behovet vilket i detta fall var att ta reda på vad användare anser om en ny mockup på sidan jämfört med det nuvarande systemet.

Den första delen av enkäten ämnade att ta reda på hur den subjektiva upplevelsen av användbarhetens olika delar påverkas av mockupen och vilken av de två olika versionerna som hade högst användbarhet enligt användarna. Dessa frågor utformades utifrån System Usability Scale (SUS) som är en snabb och pålitlig skala för att mäta just användbarheten (Sauro, 2011). Det hade inte varit orimligt att låta användare besvara SUS-frågorna för både mockupen och det ursprungliga systemet för att sedan jämföra dess respektive SUS-poäng för att se vilken av de två som har bäst användbarhet. Ett problem med detta är dessvärre att det gör enkäterna mer långdragna då deltagarna måste svara på 10 SUS-frågor två gånger, vilket riskerar att färre användare deltar i enkäterna. Genom att modifiera SUS-frågorna för att direkt jämföra de två olika systemen med varje fråga så kunde detta problem lösas med förhoppningen att det skulle leda till fler enkätdeltagare.

Modifierade SUS-frågor Starkt Starkt för A för B F1. Vilken version skulle du vilja använda oftast? 1 2 3 4 5 F2. Vilken version verkar mest komplicerad? 1 2 3 4 5 F3. Vilken version verkar enklast att använda? 1 2 3 4 5 F4. Vilken version passar bäst in i systemet? 1 2 3 4 5 F5. Vilken version är mest konsekvent i sin design? 1 2 3 4 5 F6. Vilken version tror du att de flesta skulle lära sig

snabbast att använda?

1 2 3 4 5

F7. Vilken version är mest besvärlig att använda? 1 2 3 4 5 F8. Vilken version skulle du känna dig mest

självsäker i att använda?

1 2 3 4 5

Tabell 3.1 - Modifierade SUS-frågor

I tabell 3.1. har de ursprungliga SUS-frågorna (se tabell 2.1) modifierats så att deltagarna direkt får välja vilken av de två olika versionerna av systemet som de föredrar på en skala mellan 1-5 där 1 står för ”starkt för (version) A” och 5 står för ”starkt för (version) B”. Enligt Alhadreti (2020) är det möjligt att göra mindre ändringar i frågorna utan att skapa några problem i resultatet. Exempelvis kan ordet ”system” bytas ut mot någonting liknande och i denna studie är det två olika versioner av en sida hos ett system som ska jämföras och därför ersätts ordet ”system” med ”version”. Det går att argumentera att omstruktureringen av SUS som genomförts i Tabell 3.1 är en stor ändring. Vid jämförelse av de omstrukturerade SUS-frågorna (Tabell 3.1) och de ursprungliga SUS-påståendena (Tabell 2.1) går det att se att själva frågorna i princip är likadana och därmed bör inte denna ändring vara avgörande. Den största skillnaden genom denna ändring är att svaret inte längre visar hur pass användbart ett system är, utan vilket av två system som är mest användbart.

I Tabell 3.1 har fråga 4 från de ursprungliga SUS-påståendena valts bort eftersom att den kan framstå som förvirrande då ett så simpelt designförslag som denna studie presenterar förmodligen inte kommer att kräva någon teknisk support. Även fråga 10 valdes bort med samma resonemang. Dessutom menar Lewis och Sauro (2009) att påstående 4 och 10 mer är inriktade på systemets learnability medan de åtta resterande påståendena är inriktade på systemets användbarhet och därför drabbas inte denna studies resultat av att ta bort fråga 4.

Den andra delen av enkäten ämnade att utreda ifall användaren tror sig vara mer benägen att följa GDPR med den nya föreslagna mockupen jämfört med det nuvarande systemet.

GDPR-frågor Starkt Starkt för A för B F9. Vilken version tycker du förmedlar tydligast

information om GDPR?

1 2 3 4 5

F10. Vilken version tycker du förmedlar tydligast vad man får/inte får skriva?

1 2 3 4 5

F11. Vilken version förklarar bäst vad som menas med direkt/indirekt information?

1 2 3 4 5

F12. I Vilken version tror du att minst antal personer skulle missa informationen om GDPR?

1 2 3 4 5

F13. Vilken version tror du skulle göra att fler följer dessa regler från GDPR?

1 2 3 4 5

Tabell 3.2 - Frågor om GDPR/Informationen om GDPR.

Utöver detta ställdes en del inledande demografiska frågor om ålder, kön, hur ofta SafeSite används och på vilken plattform. Respondenter fick även chans att tycka till om den nya versionen i en avslutande öppen fråga (se bilaga 1 för samtliga frågor och svarsalternativ).

Oates (2005) förespråkar även att en enkät bör testas och utvärderas innan den skickas ut på

riktigt och understryker att enkäten måste uppfylla validitet (att den mäter det den avser att mäta) och reliabilitet (tillförlitligheten hos mätningen). För att försäkra sig om detta så testades enkäten av författarna av denna uppsats samt av Adilimo AB innan den skickades ut till användare.

3.5.2 Kvantitativ dataanalys för enkäter

När deadlinen för enkätsvaren nåddes hade 28 användare av SafeSite svarat. Eftersom att det inte fanns tid att få in fler svar och att det inte krävs ett stort antal respondenter för att

genomföra en enkät med SUS så ansågs den insamlade datan som tillräcklig (Sauro, 2011).

Datan analyserades för att kartlägga respondenternas inställning till det nuvarande systemet kontra den föreslagna mockupen. Detta i avseende på hur pass väl GDPR-informationen förmedlades samt hur god användbarheten bedömdes vara. Analysens mål var också att undersöka eventuella mönster och samband mellan de olika frågorna.

Enligt Oates (2005) finns en hel del mjukvaruprogram tillgängliga som kan underlätta de mer matematiskt krävande stegen inom statistisk analys för att få mer objektiva och tillförlitliga resultat. I denna studie användes statistikprogrammet Jamovi för att analysera datan. Det första som gjordes var att rensa den insamlade datan. Det togs bort en dubblett och två uppenbart oseriösa svar. Programmet användes sedan för att skapa tabeller och diagram för statistiken. Det gjordes även ett så kallat ”one sample t-test” som utfördes i programmet för att ta reda på den uppskattade sannolikheten för att resultatet av enkäterna skulle kunna bero på slumpen. Enligt Oates (2005) anses fynd vara statistiskt signifikanta om probabiliteten (p) för att resultatet skulle bero på slump är mindre än 1 av 20 (p < 0,05). Därmed klassades resultat med ett p-värde över 0,05 som icke statistiskt signifikanta i samtliga t-test och korrelationstest.

Det råder brist på konsensus mellan akademiker om likertskalor ska hanteras via parametriska test (såsom one-sample t-test) eller istället icke parametriska test (såsom one sample wilcoxon test), men forskning har visat att det ena testet inte är överlägset det andra när det handlar om fem-skaliga likertskalor (de Winter och Dodou, 2010). I detta fall gjordes det

icke-parametriska Wilcoxon Signed-Rank Test då datan som samlades in från

SUS-utvärderingen och frågorna om GDPR uteslutande bestod av ordinal data. Detta gjordes genom att jämföra medianen av varje deltest mot en median på 3 vilket motsvarar ett neutralt resultat. Likaså råder det delade meningar om det är effektivt att slå ihop två olika likertskalor (de Winter och Dodou, 2010). I denna studie behandlades de två olika ämnena,

GDPR-information och användbarhet, separat medan poängen summerades för varje deltest.

Vidare användes Spearmans rangkorrelation för att undersöka korrelationer samt Mann-Whitney U-test i ett försök att identifiera skillnader de olika grupperna.

Tabeller och diagram användes också för att enklare kunna visualisera datan. Användandet av dessa visuella hjälpmedel underlättade arbetet med att identifiera intressanta aspekter och organisera datan. Det är emellertid viktigt att påpeka att det alltid finns en risk att påverka tolkningen av data rent subjektivt med visuella hjälpmedel (Oates, 2005).

4 Resultat/Empiri

4.1 Resultat intervjuer

Intervjuerna resulterade i förbättringsförslag till systemet, bättre förståelse för hur systemet SafeSite används av hotellpersonal och även mer kunskap om problematiken kring GDPR ur ett användarperspektiv. Intervjuobjekten använde sig av systemet för att varna varandra och tipsa polisen. Det var oftast den som stod i receptionen som skapade inlägg med en gemensam inloggning. Samtliga tre intervjuobjekt hade en grundförståelse för vad GDPR-lagen innebär och att den är till för att skydda personuppgifter, men de uttryckte även att det är svårt att förstå vad den innebär mer exakt.

Vid genomgången av datan från intervjuerna var det tydligt att intervjuobjekten upplevde att informationen om GDPR var lätt att missa. Detta nämndes i samtliga intervjuer.

Intervjuobjekt ett förklarade att det var för lätt att bara bläddra ner och börja skriva meddelandet utan att ta hänsyn till informationen om GDPR, och att detta förmodligen beror på att användaren ofta har bråttom och därmed vill få ut meddelandet för att kunna fortsätta jobba. Intervjuobjekt två trodde att det handlade om okunskap och att informationen inte framgått tillräckligt bra snarare än att det glöms bort. Denna användare tyckte även att rutan var för liten och otydlig. Intervjuobjekt tre trodde att det berodde på att användarna missar rutan om GDPR. Ett förslag på en potentiell lösning för detta gavs under första intervjun.

Förslaget var att implementera ett popup-fönster som tvingar användaren att intyga att den förstått informationen om GDPR. Intervjuobjektet sa även att detta fönster borde visas innan användaren påbörjar sitt inlägg, då det kan vara ett störningsmoment att behöva skriva om inlägget och börja om från början.

Även själva texten i rutan kunde enligt samtliga intervjuer förtydligas så att en användare enklare förstår vad som menas med att man inte indirekt får skriva information som kan kopplas till en fysisk person. I intervju två gavs även ett tips att lägga till texten ”har du frågor om vad som är tillåtet att skriva så kontakta admin för SafeSite”, men påpekade samtidigt att det förmodligen finns bättre lösningar då det skulle bli väldigt mycket arbete med att besvara dessa frågor över mail.

Det framkom även att användare ofta själva byter ut bokstäver i namn mot asterisker i ett försök att kunna skriva ut delar av namnet utan att bryta mot reglerna, men samtliga intervjuobjekt tyckte att det var svårt att veta hur många asterisker som krävdes för att inte direkt avslöja en persons identitet. Enligt intervjuobjekt två finns inte denna problematik med exempelvis personnummer, då hotell oftast nöjer sig med namn på gästen. Denna användare tyckte därför även att informationen om GDPR skulle kunna visas på fler ställen, då det finns väldigt många som läser på SafeSite men inte gör inlägg själv och därför kan bli konfunderad och undra varför det finns asterisker överhuvudtaget.

Figur 4.1 - Det nuvarande systemet för att skapa ett nytt inlägg.

4.2 Resultat mockup

Den skapade mockupen hade informationen om GDPR i ett popup-fönster för att fånga användarens uppmärksamhet och tydligt presentera informationen. Detta fönster placerades på den sida där det fanns risk att användarna bryter mot GDPR. En rubrik hade lagts till och texten var omstrukturerad för att förtydliga vad som avsågs med direkta och indirekta personuppgifter. Svart text användes mot en enkel bakgrund med högt kontrast för att informationen skulle vara lätt att läsa och svår att missa. Slutligen fanns även en knapp i samma design som på resten av sidan för att användaren skulle få bekräfta att den förstått informationen.

Figur 4.2 - Det nya mockup-förslaget för att skapa ett nytt inlägg.

4.3 Resultat enkätsvar

I detta delkapitel presenteras först resultatet av enkätens demografiska frågor följt av

resultatet av frågorna om GDPR och användbarhet. Slutligen presenteras svar från den öppna frågan om feedback av mockupen (version B). Totalt 28 användare av SafeSite svarade på enkäten som slutligen filtrerades ned till 25 svar efter att oseriösa svar och dubbletter hade valts bort.

4.3.1 Demografiska frågor

Enkätens deltagare bestod till nästan lika delar 26-39 åringar (44 %) och 40-59 åringar (40

%). Endast 4 av användarna var mellan åldrarna 19-25 (16 %). En nära jämn fördelning visade sig mellan män (44%) och kvinnor (56%). Plattformen som hotellpersonal använder till SafeSite var nästan uteslutande stationär dator eller laptop (96 %), då endast en respondent som använde mobiltelefon eller padda. Användarnas svar var relativt väl fördelade när det gällde hur ofta de använder systemet (Figur 4.3). Majoriteten av deltagarna använder systemet en eller flera gånger i veckan eller varje dag (52 %).

Figur 4.3 - Respondenternas svar på hur ofta de använder SafeSite.

4.3.2 GDPR och användbarhet

Nedan i figur 4.4 och 4.5 presenteras resultatet från samtliga frågor som ställdes om GDPR och användbarhet. Fråga 1-8 handlade om användbarhet och fråga 9-13 handlade om GDPR.

Figur 4.4 - Resultatet av frågorna om användbarhet. 1 är för den nuvarande versionen och 5 är för den föreslagna versionen.

Figur 4.5 - Resultatet av frågorna om GDPR. 1 är för den nuvarande versionen och 5 är för den föreslagna versionen.

Alla frågor förutom 2 och 7 var ställda på ett sätt så att användaren fick avgöra vilken version som var bäst (istället för sämst) i respektive avseende. Fråga 2 och 7 handlade alltså om vilken version som är sämre - och inte bättre. Poängen för dessa två frågor inverterades således genom att subtraheras med 6. Exempelvis gjordes alltså ett poäng på 5 om till 1 för att vara konsekvent med resterande frågors tolkning av poängen. Detta gjordes för att svaren på alla frågor skulle handla om vilken version som är att föredra. Vid observation av Figur 4.4 är det därför viktigt att notera att svarsfrekvensen för fråga 2 och 7 är inverterad.

Tabell 4.1 - Provstorleken (N), medianen och typvärdet (Mode) av alla svar för varje enskild fråga.

Tabell 4.1 visar att alla frågor om användbarhet fick en median på 3 poäng (ett neutralt resultat) förutom fråga 3 som istället fick en median på 2 till fördel för version A. I frågor om GDPR var medianen på samtliga frågor till fördel för version B.

Figur 4.6 - Varje respondents sammanställda poäng inom användbarhet och GDPR där 1 är för den nuvarande versionen och 5 är för den föreslagna versionen.

För varje respondent gick det att få fram en sammanställd poäng för användbarhet och en sammanställd poäng för informationen om GDPR. Medianen för fråga 1-8 fick för varje svar definiera en sammanställd poäng för användbarheten och likadant representerade medianen för fråga 9-13 en poäng för GDPR. Figur 4.6 visualiserar hur spridningen för dessa poäng såg ut. Medianen av dessa poäng blev 3 för frågor om användbarhet och 5 för frågor om GDPR.

4.3.3 Öppna valfria frågan

Avslutningsvis i enkäten fick respondenterna möjligheten att svara på en öppen fråga som berörde övriga synpunkter med den nya versionen.Sju av deltagarna (28 %) valde att svara på den valfria öppna frågan och gav åsikter på bland annat risker med den föreslagna versionen och vad som skulle kunna förbättras med den (se tabell 4.2).

(VALFRI) Beskriv kort vad du tycker är bra eller dåligt med den nya versionen.

1. ”Att behöva klicka förbi informationen bör göra att folk blir lite mer upplyst om den.

Risken är att det blir som när man klickar i att man godtar användarvilkor vid köp eller installationer, dvs nåt man bara klickar förbi utan att läsa. Men lite mer tydligt borde det bli.”

2. ”En reflektion är att efter att man klickat bort pop-upen så står det inget om GDPR, med risk för att man "glömmer av" detta under fortsatta ifyllandet. Ett förslag blir därför att informationen om GDPR skulle förminskas och läggas i nederkant så att man alltid blir påmind om vad som gäller.”

3. ”Alternativt att man har både en pop up, samt skrivet längst ner så att man alltid kan kontrollera att man gjort rätt innan en skickar svartet. Jag gillar att kunna gå tillbaka och dubbelkolla och kunna jämföra med exakta reglerna, då en stängt ner en pop up blir det mer komplicerat om en vill dubbelkolla vad som stått.”

4. ”Den nya versionen är det svårare att missa informationen med då man måste godkänna innan man börjar skriva. Version B ger också en tydligare beskrivning av Datalagen och GPBR trots att den upprepar sig lite.”

5. ”Eftersom alternativ B är en popup ruta så tror jag tyvärr många enbart kommer klicka förbi rutan och sen glömma vad som stod och sen kanske inte veta vad man får skriva o inte”

6. ”Det som är bra är information gällande GDPR, det som är dåligt är att det är en pop-up ruta. Pop-up rutor är ett irritationsmoment då dessa finns på för många sidor.

Och det dåliga med GDPR är att det gör det svårt för oss att varna andra hotell om gäster. Man kanske kan skriva att man behöver inte maska hela namnet, det går bra att skriva tex John D. eller J. Doe, det hjälper mer än att skriva J** D**”

7. ”Tydlig, lite mer komplicerad med B alternativ men samtidigt tydligare, dvs mer komplicerad men inte komplicerad i sig.”

Tabell 4.2 - Samtliga svar på den avslutande öppna frågan i slutet av enkäten

5 Analys

I detta kapitel besvaras samtliga forskningsfrågor genom att analysera resultatet i föregående kapitel. Kapitlet är uppdelat i underrubriker av forskningsfrågorna:

- Vad tycker användare av tjänsten SafeSite kan förbättras för att få fler att följa GDPR?

- Hur kan kommunikationssystem som SafeSite få fler användare att följa GDPR utan att försämra dess användbarhet?

- På vilka sätt påverkas användbarheten av att försöka få fler användare att följa GDPR?

5.1 Vad tycker användare av tjänsten SafeSite kan förbättras för att få fler

att följa GDPR?

De utförda intervjuerna pekade på att det största problemet var att användaren alldeles för enkelt kunde missa informationsrutan om GDPR. Det beskrevs att informationen var för lätt att missa, ignorera eller bläddra förbi och att texten i sig kunde förbättras för att informationen skulle framgå tydligare. Användarnas förslag för att förbättra detta var genom att implementera en popup-ruta som tvingar användaren att intyga att den förstått samt förtydligande av texten om GDPR.

Svaren från de öppna frågorna (se tabell 4.2) gav kritik på vad som var bra eller dåligt med den nya versionen (version B). Respondent 1, 4 och 7 ansåg att ändringarna i version B borde göra att informationen blir tydligare men respondent 1 påpekade samtidigt att det finns en risk att användarna inte läser informationen, vilket respondent 5 höll med om. Denna respondent påpekade också att det är lätt att glömma vad som stod i rutan. En möjlig lösning för detta som både respondent 2 och 3 gav var att informationen om GDPR inte ska försvinna efter att en användare har klickat bort popup-fönstret, utan den ska finnas kvar på samma sida. Det skulle enligt denna användare göra att informationen inte glöms bort efter att fönstret försvunnit. Respondent 6 gav även ett argument för att popup-rutor är ett irritationsmoment vilket skulle göra version B mer besvärlig att använda.

Slutligen togs det upp i samtliga intervjuer ett mer övergripande problem med att användare

byter ut bokstäver i namn mot asterisker och att det är svårt att veta hur många bokstäver som är tillåtet. Även respondent 6 gav förslaget att låta användare skriva ut exempelvis första bokstaven i förnamnet och sedan hela efternamnet. Detta tyder på att vissa användare inte har förstått att ett delvis maskerat namn (eller ett helt efternamn) väldigt ofta kan avslöja en persons identitet och därmed bryter mot GDPR. Särskilt tillsammans med ytterligare information eller då namnet är ovanligt.

Sammanfattningsvis tyder resultatet på att användare inte tillräckligt väl har förstått

informationen om GDPR och efterfrågar tydligare information. Ett popup-fönster hade gjort informationen mer tydligt enligt användarna, men vissa tror att det finns risk att den ändå kan klickas ned i förbifarten och ändå förbises.

5.2 Hur kan kommunikationssystem som SafeSite få fler användare att följa

GDPR utan att försämra dess användbarhet?

Tabell 5.1 - Korrelation mellan SUS-frågorna. P-värden lägre än 0.05 är markerade med en röd ruta.

Som tabell 5.1 visar har de flesta frågor som handlade om användbarhet (fråga 1-8) en stark positiv korrelation med varandra. Det betyder exempelvis att om en användare svarade fördelaktigt för version A på fråga 1 så kommer denne förmodligen göra det på resten av SUS-frågorna också. Nollhypotesen för detta test är att det inte finns något samband mellan de två variablerna i den tillgängliga datan. Tre kombinationer av frågorna, F2, inverterad och F5 (r_s(26) = .247, p = .234), F2, inverterad och F4 (r_s(26) = .377, p = .063) samt F5 och F7, inverterad (r(26) = .332, p = .105) har en svagare korrelation och ett högre p-värde än de

andra frågorna och för dessa frågor är det inte möjligt att avvisa nollhypotesen. För de resterande frågorna kan däremot nollhypotesen avvisas och ett starkt positivt samband finns mellan dem.

Tabell 5.2 - Korrelationen mellan frågorna om GDPR-informationen. P-värden lägre än 0.05 är markerade med en röd ruta.

Tabell 5.2 visar på att alla frågor som berörde informationen om GDPR (fråga 9-13) har en stark positiv korrelation mellan varandra och är statistiskt signifikanta. Dessa frågor var formulerade utan någon bakomliggande forskning och inte baserade på någon etablerad mall som SUS-frågorna var. Svaren är konsekventa och har en stark korrelation med varandra vilket kan vara en indikation på att frågorna mäter samma fenomen.

Tabell 5.3 - T-test och normalitetstest av de sammanställda poängen. P-värden lägre än 0.05 är markerade med en röd ruta.

De sammanställda poängen för användbarhet och GDPR-information presenteras i figur 4.6 och resulterade i en median på 3 för det förstnämnda och 5 för det sistnämnda. Som

påminnelse betyder 1 i denna skala 1-5 att version A är att föredra, 3 att de båda versionerna anses som lika och 5 att version B är att föredra. Resultatet från enkäterna visar på att

designförslaget som den här studien presenterat enligt respondenterna skulle öka tydligheten av informationen om GDPR och göra att fler efterföljer GDPR. Designförslaget var att presentera informationen genom ett popup-fönster och påverkade inte användbarheten i sin helhet negativt, då den uppfattades som lika i version A och B av respondenterna. Ett designförslag som i denna uppsats borde alltså kunna leda till att informationen om GDPR förmedlas på ett mer framgångsrikt sätt än i nuläget utan bekostnad av användbarheten.

Ett Wilcoxon signed-rank test genomfördes för att undersöka om de sammanställda poängen (Figur 4.6) av GDPR-informationen eller användbarhet statistiskt skiljde sig från testvärdet 3.

Testvärdet representerade en avsaknad av preferens mellan version A eller version B vilket var nollhypotesen för detta test. Resultatet av testet visas i tabell 5.3 och det går att se en statistisk signifikant skillnad mellan de sammanställda poängen för GDPR-informationen och testvärdet (p < .001), vilket innebär att nollhypotesen kan avvisas och att det finns en

preferens mellan version A och B i det avseendet. P-värdet för de sammanställda poängen för