Programvaruutvecklingen efter GDPR

1

Lisa Nord

22 Mars 2020

Effekten av GDPR hos mjukvaruföretag

Programvaruutvecklingen efter GDPR

Faculty of Computing

Blekinge Institute of Technology SE-371 79 Karlskrona Sweden

2 Faculty of Computing

Blekinge Institute of Technology SE-371 79 Karlskrona, Sweden

Internet : www.bth.se Phone : +46 455 38 50 00 Fax : +46 455 38 50 57 Contact Information:

Author(s):

Lisa Nord

myno10@student.bth.se

This thesis is submitted to the Faculty of Computing at Blekinge Institute of Technology in partial fulfillment of the requirements for the bachelor’s degree in software engineering. The thesis is equivalent to 10 weeks of full-time studies.

University advisor:

Jürgen Börstler

Department of Software Engineering

SAMMANFATTNING

GDPR (General data protection regulation, generella dataskyddsförordningen) är en ny europeisk förordning som reglerar behandlingen av känsliga uppgifter samt det fria flödet av dessa inom EU.

Förordningen utgör ett skydd för fysiska personer vid behandling av deras personuppgifter inom unionen vilket är en grundläggande rättighet.

GDPR har sedan den trädde i kraft i Maj 2018 varit en förordning att räkna med då dess

bötesbelopp är höga. Alla företag inom Europa behöver följa reglerna samt företag utanför EU som hanterar europeiska personuppgifter. Målet med detta arbete är se vilken effekt GDPR har haft hos svenska mjukvaruutvecklare och hur de ser på sin arbetsbörda. Detta har gjorts genom en

enkätundersökning hos svenska mjukvaruföretag som blivit slumpmässigt utvalda.

Av uppsatsens resultat framgår det att många mjukvaruföretag som skapar egen programvara eller distribuerar programvara för en tredje part har den nya förordningen inneburit ett tyngre arbetslass samt omförhandling av existerande programvarulösningar. Något som inneburit nya arbetsplatser eller arbetsgrupper hos många företag. När GDPR först trädde ikraft lades det ner många

arbetstimmar på att omvandla redan existerande lösningar för att uppfylla kraven. Trots detta har det lagts många fler timmar vid utveckling även efter GDPR för att se till att den nya programvaran även den lever upp till de krav som är ställda.

Av resultatet kan vi även finna att många företag ser väldigt strikt på hantering av känsliga uppgifter de samlat in från deras kunder men ser mindre strikt på lagring och hantering av personuppgifter av sina egna anställda.

ABSTRACT

GDPR(General data protection regulation) is a new European regulation that regulates data, protection, and privacy. It also addresses the transfer of personal data to countries outside of the European Union. Ever since the GDPR was enforceable May 2018, it has been a regulation for businesses to strictly follow and be wary of due to the hefty fines. All European businesses need to follow the new regulation and likewise, so to the businesses outside of the E.U. in which handles any type of personal data of Europeans. The goal with this thesis is to see the effect the GDPR has had for Swedish software developers and how they portray their workload. This data has been shown in the form of a questionnaire which was randomly distributed to a number of Swedish software companies.

In conclusion, this thesis shows that the new regulation has had a big impact on the developers that create new software/distributes software, primarily in form of a heavier workload and the need to re-negotiate already existing software. This has provided new jobs and/or new teams for many of the companies that were a part of this study. When GDPR was first introduced, the software companies spent countless hours on converting already existing software. Even tho they spend a lot of time in the beginning, the dedication of time is spent on every solution to make sure it meets the requirements of GDPR:

We can also see that many businesses spend a lot more time and money on data protection for their clients personal data, but they do not treat their employees personal data in the same way.

4

I NNEHÅLLSFÖRTECKNING

1. Introduktion 6

1.1 Bakgrund 6

1.2 Syfte 7

2. Litteratur 9

3. Undersökning 11

4. Undersökningsmetod 13

4.1 Användarvilkor 13

4.2 Jämförelse av GPPR och PUL 13

4.3 Enkätundersökning 13

4.4 Pilotundersökning 15

5. Analys och resultat 16

5. 1 Analys 16

5.2 Resultat 21

6. Slutsats 24

7. Begränsningar och hot mot validiteten 26

7.1 Utformning och analys av enkät 26

7.2 Tidsbegränsning och tolkning 26

8. Framtida arbete 28

9. References 29

1. Introduktion

1.1 Bakgrund

1.1.1 General Data Protection Regulation

GDPR (General Data Protection Regulation), eller dataskyddsförordningen som den kallas på Svenska,trädde i kraft den 25 maj 2018 i hela Europeiska Unionen, från och med nu kallad EU.

Många av medlemsländerna hade redan innan dess utformat sina egna lagar kring datalagring av personuppgifter med denna nya europeiska lag skulle förenkla för medlemsländernas interna samarbete samt öka skyddet för dess invånare.

Sverige hade sin egna lagstiftning vilken gick under beteckningen PUL (PUL är en förkortning för PersonUppgifts Lagen). Både PUL samt GDPR strävar efter beskydda känsliga uppgifterna från en tredje part för att se till att dessa uppgifter inte blir missbrukade. I GDPRs utformning lades en större vikt på hur personuppgifter lagrades och delades mellan olika parter. En av de mest kännbara skillnaderna mellan PUL och GDPR för företag är den nya bötesregeln där brott mot GDPR kan ge böter upp mot 200 miljoner euro eller maximalt 4% av företagets omsättning.

Samtyckeslagen har även den blivit inkluderad i GDPR då missbruksregeln från PUL har avskaffats. Samtyckeslagen innebär att man redan i ledet vid uppsamlande av data måste be om personens medgivande. Man måste således ha samtycke av de personer vars personuppgifter man hanterar samt att de ska kunna få sina uppgifter borttagna när de så önskar. Samtycket ligger som företag att införskaffa och i senare led kunna bevisa att de personer vars data man hanterar har godkänt alla instanser av denna data. De personuppgifter som klassas som känsliga i ett datasystem är de som enskilt eller tillsammans kan avslöja identiteten på en individ. Detta kan vara allt från personnummer till de små detaljer som lagrats på ett sådant sätt att de går att röja personens identitet vid en sammanställning. Andra känsliga personuppgifter som enligt lag klassas som känsliga är de som visar på ras, etnisk tillhörighet, sexuell läggning, politisk åskådning, facktillhörighet, genetiska uppgifter, biometriska uppgifter samt en persons hälsa[1].

Missbruksregeln var utformad så ostrukturerade personuppgifter fick hanteras fritt så länge man inte kränkte den som uppgifterna gällde. Detta betydde att man kunde skriva ut personuppgifter fritt i en löpande text så länge dessa uppgifter inte var kränkande.

Efter att GDPR introducerades och alla de mail godkännanden av uppgifter, lagringsmöjligheter eller riktade marknadsföring som företag skickar ut så har användaren blivit mer uppmärksammad på vilka uppgifter som egentligen delas samt att det är användaren själv som äger sin egen data. De förfrågningar från webbplatser om att acceptera cookies eller acceptera delar av de cookies som webbplatsen använder har också fått användare att mer och mer tänka till vad som delas [2]. Dock tillåts godkännande av vissa typer av cookies och tracking walls fortfarande även efter GDPR vilket Paulin Stepfaniak avhandlar i sitt arbete från 2018 [2].

6

1.1.2 PUL (Personuppgifts Lagen)

Så som tidigare nämt fanns det en föregångare till GDPR i Sverige nämligen PUL. PUL hade inte lika många användningsområden som GDPR och inte heller lika många restriktioner. PUL var den europeiska dataskyddslagen 95/46/EG och var en av Sveriges första dataskyddsförordningar tillsammans med EU. Den trädde ikraft redan 1998 då dataanvändningen blev större och större och byggde på gemensamma förordningar om hur personuppgifter får användas och lagras. När fler länder har liknande lagar underlättar informationsöverförningen mellan länderna.

Då mer och mer information lagrades, skickades och användes via datorer, mobiltelefoner och all annan ny teknologi under de sista två decennier kom EU överens om en ny lagstiftning för att skydda dess invånare. Denna nya lagstiftning kom att bli GDPR.

1.1.3 CCPA

Kalifornien (USA) skapade i samband med GDPR sin egen lagstiftning som trädde ikraft den första januari 2020. CCPA står för California Consumer Privacy Act blev lagstiftad i juli 2018 bara några månader efter GDPR vilket skedde lite i skymundan från dess Europeiska motsvarighet.

Hela Kalifornien hanterar nu frågor på mer eller mindre liknande sätt som EU gjort sen 2018 vilket betyder att de stora mjukvaruföretagen i Silicon Valley även kan ställas till rätta aven under

Amerikansk lagstiftning.

1.2 Syfte

Det ursprungliga syftet med denna studie var att se om svenska företag har tagit till sig den nya lagstiftningen i form av GDPR samt hur den har påverkat arbetet för programvaruutvecklare. Då GDPR är mycket mer utförlig än PUL och en lag med stora bötesbelopp så ligger det i företagens intresse att leva upp till den [15].

EU har gjort klart att företag är skyldiga att leva upp till den nya lagen men det har inte funnits några direkta direktiv på vem som ska axla rollen hos företagen för att se till att leva upp till dessa nya regler. Istället har ansvaret legat hos företaget att själva ta fram en policy för upprätthållande.

Då GDPR i grund och botten är en dataskyddsfråga så finns det en stor chans att arbetet för att upprätthålla GDPR även hamnar hos IT-avdelningarna.

Så som datainspektionen beskriver i kapitlet “Samma regler för alla”[16] så måste företag:

“

• följa de grundläggande principerna • ha en rättslig grund för behandlingen

• ha en förteckning över era personuppgiftsbehandlingar • informera om personuppgiftsbehandlingen

• ha rutiner för att hantera en begäran om att ni ska lämna ut eller ta bort personuppgifter • skydda personuppgifterna

“

Därav syftet med denna undersökning.

Detta arbete grundar sig i dessa frågor om hur företag har hanterat den nya övergångsperioden samt hur de har tolkat GDPR. Har det mesta av detta arbete hamnat hos de individer som arbetar som utvecklare på företagen eller är deras arbete oförändrat? Har GDPR skapat merjobb för de utvecklare som finns eller har denna nya lag öppnat upp för nya arbetsplatser?

Så som Seifert skriver under 2017 så verkar inte alla företag vara redo för den nya övergången, har detta reflekterat sig hos mjukvaruutvecklare under 2018[15]? Hur var deras arbetsbörda och hur ser de på eventuella policys som deras företag har tagit fram? Var ligger det egentliga ansvaret för att en produkt ska leva upp till de krav som GDPR ställer?

8

2. Litteratur

En stor del av informationen hämtades ur Lamberts bok “Understanding the new European Data protection Rules”[12]. Lamberts utförliga förklaringar till hur det nya regelverket skulle tolkas kändes viktigt i grunden för detta arbete. Lamberts bok gav en mer djupgående bild för att kunna tolka den information som fanns hos Europeiska Unionen [4] samt Europeiska kommissionen [8] men även hos den svenska Datainspektionen [5]. Lamberts bok var mer lättförståelig och lite mer redogörande än det som fanns hos respektive myndighet då den gav bättre förklaringar hur vissa aspekter av GDPR kunde implementeras. Tillsammans lägger dessa källor en bra lagmässig grund.

Julian Virgo tar upp viktiga aspekter om GDPR i sin artikel från januari 2019 “How Tech Culture has changed since the GDPR”, [9] där en stor vikt läggs på hur många övertramp det rapporterats in under GDPRs första månader. Detta tyder på att många företag inte alls var förberedda på den uppgift den nya lagen ställde dem inför. Något artikeln även har som ursprungspunkt, att GDPR troligen bara kommer att vara den första fasen av många då den inte är helt komplett utformad.

En annan viktig punkt artikeln tar upp är om huruvida GDPR utformning då många företag verkar tycka att den är alldeles för vagt utformat och svårbegriplig.

Abakar Saidov är lite inne på samma spår i sin artikel “GDPR one year on: Candidate data is still an afterthought”[10]. Även om artikeln är från en Human Resource specialist så är den inne på samma spår som Julian Virgo, det känns inte riktigt som om de företag han letar och lämnar data hos har riktigt förstått innebörden av GDPR och han ställer sig frågan om företagen är mer intresserade av att se ut att följa lagstiftningen än att faktiskt göra det. I hans perspektiv handlar det om hur man hanterar data om potentiella arbetstagare när man gör sin efterforskning inför en anställning. Han uppfattar att företag generellt inte tar den typen av personuppgifter på samma allvar som en kunds i ett GDPRs perspektiv.

Att viss typ av inhämntning av data fortfarande är godkänd efter att GDPR trädde ikraft ser vi i Paulin Stefaniaks avhandling “Frivilligt samtycke och tracking walls”. Där kan vi se hur en hemsida hämtar in ett godkännande för cookies för att ens kunna besöka den vilket äventyrar det frivilliga valet. Långt in i GDPRs utvecklande så trodde många att denna typ av godkännande inte skulle vara hållbart men i GDPRs slutliga fas så valde man att tillåta denna typ av samtyckesinhandling. Resultatet från hennes studie var att de allra flesta godkännanden av denna typ av förfrågningar ska ses som otillåtna enligt GDPRs lag på frivilligt samtycke då själva godkännandes tvingas på individen för att kunna besöka hemsidan.

Byrony Seiferts artikel “What are some business implications of GDPR?” [15] tyder på att även innan GDPR trädde ikraft så förutsåg många lagexperter att GDPR skulle komma att ställa till problem hos en mängd företag då de inte verkade ha startat sin omstrukturering i tid.

Seifert säger i sin artikel att de största ändringarna bör komma att ske i datalagringen då uppgifter som kan identifiera en person inte får lagras utan godkännande och att dessa uppgifter ska kunna tas bort på begäran.

Under 2016 skriver Jan Albrecht sin avhandling ”How the GDPR will change the world”, där beskriver han hur företag har satt det allra högst på sin agenda att leva upp till de nya föreskrifterna[3]. Många stora företag har även satt som mål att bli de allra bästa när det gäller de nya säkerhetsprinciperna för användare. Denna analys går inte helt hand i hand med Seiferts artikel då hon, ett år senare, ändå inte anser att de flesta företag verkar redo för den stora omställningen som komma skall. Att få alla de 28 medlemsländerna att göra om sina 28 egna ursprungliga lagar och sen även få med alla företag och användare på köpet känns storslaget och genomförbart för EU något även Albrecht förutspår att många andra länder kommer att följa EUs fotspår med sina egna liknande regler. Han nämner Japan som ett av exemplen i sin text som har haft egna interna diskussioner om en egen dataskyddsförordning.

Han lägger även en stor vikt vid hur allvarligt England har tagit på att införa lagarna trots det faktum att brexit har röstats fram och att England då inte kommer att vara en del av EU längre och således inte beröras av den nya lagstiftningen till den grad när de inte behandlar data från de resterande medlemsländerna. Albrecht målar en väldigt vacker bild av GDPR som tyvärr inte delas av så många andra artiklar.

10

3. Undersökning

Två år har gått sen GDPR trädde i kraft vilket ger en unika möjlighet att studera de långvariga effekterna av den dataskyddsförordningen ur mjukvaruföretagens synvinkel samt hur de har gjort sig redo för GDPR både före och efter att lagen trädde i kraft i Maj 2018. Med mjukvaruföretag menas de företag som utvecklar egen mjukvara eller distribuerar mjukvara för en tredje part. Då bland annat Seiferts artikel från 2017 [15] antyder att många företag inte skulle vara helt redo för den nya lagändringen vilket även fick uppbackning av Virgo under 2018[9]. Som vi kan se i

litteraturstudien så ifrågasätter sig även Saidov [10] om hur företag tolkar den nya lagändringen och inte har samma regler för datalagring för sina egna arbetstagare jämfört med den kunddata de besitter.

De frågor som kommer besvaras i studien är följande:

Har datalagringen medfört regleringar vilket ökar på arbetsbördan för företagen?

Denna fråga var särskilt viktig för att kunna svara på den huvudsakliga frågan detta arbete ställer om hur en mjukvaruutvecklares arbete har ändrats från tiden före GDPR. Visar undersökningen på nya GDPR ansvariga på arbetsplatsen eller visar den på att varje utvecklare ansvarar fullt ut för att produkten de utvecklar uppfyller lagstiftningen. Hur mycket arbete läggs ner på att utforma nya produkter efter GDPRs krav? Detta är framförallt hos produkter där lagring eller någon typ av cookies används.

Hur har företagen hanterat GDPR i form av utbildningar och policys?

Denna fråga visar på vad företagen själva gjort för att främja sina anställdas möjligheter att uppfylla de krav som GDPR satt? Känner de anställda att de förstår och har användning för det som

företagen tagit fram känns som en viktig del för att kunna förstå hur GDPR påverkat dem.

I enkäten som tagits fram finns det frågor om både policyn samt om utbildningar före/efter GDPR trädde i kraft för att kunna se om alla har fått grundläggande förståelse för hur denna nya lag fungerar.

Hur mycket har GDPR ändrat företagens utvecklingsmöjligheter?

Även om denna fråga egentligen är en del av de andra två frågorna kommer den att ges plats.

Utvecklar företagen på samma sätt som tidigare eller har de ändrat sina rutiner vid implementation.

Är det isåfall detta som ökat på den förmodade arbetsbördan på utvecklare. Hur har dessa rutiner isåfall förändrats?

Objektivet för denna studie var att se och utvärdera den långvariga förändringen hos

mjukvaruföretag och utvecklare efter GDPR. Detta gjordes för att se om någon större förändring har

skett hos företag och utvecklare som ansvarar för att uppfylla kraven EU satt på mjukvaruutvecklingen.

12

4. Undersökningsmetod

4.1 Användarvilkor

Delvis har olika typer av de nya informationslagringsmöjligheterna setts över hos olika företag.

Detta genom att se över deras nya användarvillkor och policys för dess användare. Dessa nya användarvillkor och policys har sedan jämförts med de adekvata lagar och krav som är uppsatta av EU i den Generella Dataskyddslagen, även kallad GDPR.

4.2 Jämförelse av GPPR och PUL

En kortare undersökning och jämförelse av den Generella dataskyddsförordningen och dess föregångare Personuppgiftslagen har genomförts. Detta genom att se över deras respektive föreskrifter. Detta för att kunna ge en mer transparent bild över den förändring som skett efter att EU’s lagar ändades under 2018.

s

4.3 Enkätundersökning

Enkät är en metodik där de utvalda kandidaterna besvarar en uppsättning frågor. Fördelen av att använda sig av en enkät gentemot en intervju är att enkäten når ett större antal kandidater på kortare tid. Vidare går det även att undvika vad som kallas intervjueffekten, där forskaren kan påverka kandidaten under intervjun. Ännu en av de fördelar vi finner i en enkätundersökning är att kandidaterna kan välja när, hur och var de vill och har tid att besvara enkäten. Nackdelen med att använda sig av denna metod är en överhängande risk för bortfall. Enkät som metodval motiveras med att denna typ av undersökning ansågs vara det lämpligt för studiens syfte samt dess

frågeställningar. Valet grundades vidare på det faktum att kunna fånga upp så många respondenter som möjligt, något som däremot inte skulle vara tänkbart med enbart intervjuer under en så kort tidsram.

Valet av kandidater (populationen) omfattas av mjukvaruutvecklare som har en position på en IT- avdelning hos något av Sveriges alla företag. Vissa utvecklingsroller kan ha mer GDPR inriktade arbetssysslor men då denna lag är relativt ny finns det inte någon riktig GDPR ansvarig att hitta på många företag på ett sådant sätt som man kan finna arbetsmiljöansvariga eller andra ansvariga.

Populationen har således fått innefatta alla typer av IT-roller för att se hur företag i stort hanterat GDPR, däremot har enkäten skickats i synnerhet till personer som jobbade mot databassystem eller annan typ av lagringsutveckling då GDPR borde i största möjliga utsträckning vara en del i deras arbetsområde. Kontakt har tagits med dessa genom att leta upp IT-ansvariga via google samt på LinkedIn och andra typer av sociala medier. I studien ingick 40 anställda mjukvaruutvecklare, personer som inte arbetade som utvecklare trots IT-bakgrund exkluderades från studien. Totalt distribuerades 150 enkäter till de utvalda kandidaterna varav 40 svarade.

En kvot på minst 40 svar var satt innan enkäten började distribueras för att det skulle vara möjligt att svara frågorna om GDPRs effekt på mjukvaruutvecklingen ur en generaliserad synvinkel.

Vid en sammanställning av en undersökning av detta slag vill man kunna använda sig av den insamlade datan data för att kunna uttala sig om hela populationen, exempelvis 10 procent av världens befolkning är vänsterhänta, även fast endast en liten andel har tillfrågats. För att vi ska kunna få detta att vara möjligt krävs det ett representativt urval vilket i sin tur betyder att urvalet av kandidater ska kunna representera hela populationen. För att kunna ha ett så representativt urval som möjligt har enkäten skickats ut till många olika typer av mjukvaruföretag som möjligt vilka slumpmässigt valts ut.

4.3.1 Frågor

Följande frågor hanteras i detta arbete. Frågorna finns med en mer djupgående förklaring i föregående kapitel, nedan finns de sammanfattade:

Har datalagringen medfört regleringar vilket ökar på arbetsbördan för företagen?

Hur har företagen hanterat GDPR i form av utbildningar och policys?

Hur mycket har GDPR ändrat företagens utvecklingsmöjligheter?

Följande litteratur låg som grund för att kunna utveckla en genomtänkt och strukturerad enkät med väl riktade frågor för att kunna få fram svar på de frågor arbetet ställt.

Designing an effective survey (6) och Questionnaire Design: Writing the Questions [7]. Tyngden låg på att ta fram en enkätundersökning som både skulle vara lättförståelig för kandidaterna men även vid en datasammanställning. Dessa två böcker la en bra grund för enkätsstudien i dess

uppstart. I “Designing an effective survey.” fick vikten ligga på hur frågor skulle formuleras för att vara genomtänkta för att inte kandidaterna skulle misstolka innebörden.

Enkätundersökningen som gjordes var utformad på det sätt att nästa fråga kom att vara beroende av föregående fråga detta för att se till att arbetet upprätthöll en god metodologi. Något som även gjordes för att de frågor som var av speciellt intresse för undersökningen fick mer utförliga svar.

Nedan visas vilka frågor som enkätundersökningen bestod utav och vilka följdfrågor som ställdes:

Frågor till enkäten var följande:

Vilket yrke har du? (Skriv)

Har du kännedom om GDPR? (Ja/nej) Jobbar ditt företag med GDPR? (Ja/nej)

14

Är ditt arbete på något sätt relaterat till GDPR (JA/NEJ) Följdfrågor om ja:

Hur relaterar sig ditt arbete till GDPR? (Skriv)

Fick du någon utbildning om de nya föreskrifterna innan GDPR trädde i kraft? (JA/

NEJ)

Fick du någon utbildning om de nya föreskrifterna efter att GDPR trädde i kraft?

(JA/NEJ)

Har ni någon ny företagspolicy som integrerar GDPR? (Ja/Nej) Jobbar ni kontinuerligt för att utbilda er inom GDPR? (JA/NEJ) Har ni varit tvungna att göra förändringar i er kod med tanke på GDPR? (Ja/nej)

Följdfrågor om ja:

Hur omfattande har detta arbete varit? (skriv eller skattning) Följdfråga om nej:

Tror du att ni behöver göra förändringar inom en snar framtid? (Skriv) Finner ni er mjukvaruutveckling mer komplex efter GDPR? (JA/NEJ)

Om ja:

Hur mycket tid lägger du på GDPR? (skriv) Vad tar mest tid? (Skriv)

Har ni nya rutiner för utveckling efter GDPR? (JA/NEJ)

Får jag kontakta dig för fler frågor? (JA/NEJ) Namn/Företag/Nummer

4.4 Pilotundersökning

En kortare pilotundersökning genomfördes för att se till att frågorna var formulerade på ett sådant sätt där de inte blev misstolkade. I pilotundersökningen deltog vänner och familj med IT-utbildning och bakgrund där de fick läsa frågorna och svara. På detta sätt kunde frågorna utvärderas och även omformuleras så att de blev förstådda på det sätt som var menat med studien.

I ett senare skede pilottestades även enkätundersökningen i fullo för att se till att den följde upp de svar som var av större intresse för studien.

5. Analys och resultat

5. 1 Analys

Nedan visas den sammanställning av den insamlade datan från enkätundersökningen.

5.1.1 Enkät och telefonundersökning

Alla de 40 som svarat på enkäten har uppgett att de har kännedom om GDPR vilket tyder på att GDPR har fått genomslag i hos alla mjukvaruutvecklare. Då detta även gäller för de arbetstagare som uppgett att deras arbetsplatser inte påverkas nämnvärt av GDPR behöver det inte innebära att deras företag har varit involverade i någon process av GDPR utan att de fått höra om detta på andra håll så som från myndigheter, medier eller från vänner och familj.

7.5% (3) av de tillfrågade har uppgett att arbetet i deras företag just inte påverkats av GDPR då de inte hanterar några känsliga uppgifter eller lagring av något slag.

De två av de tre som uppgett detta har också senare uppgett att de inte fått någon utbildning och GDPR varken innan eller efter det trädde i kraft. Den sista har fått utbildning om GDPR efter att det trädde i kraft i Maj 2018. Inget av dessa företag hade heller lagt någon tid på att ta fram någon ny företagspolicy eller några riktlinjer för GDPR för sina utvecklare.

Frågan om deras arbete på något sätt var relaterat till GDPR gav skilda svar. Enbart 9 av de tillfrågade uppgav att de tyckte att deras arbete relaterade till GDPR. Långt många fler fann att arbetet de utförde inte alls var relaterat till GDPR.

Av de nio som uppgav att deras arbetsuppgifter var relaterade till GDPR hanterade kunddata, enkäter, användarinformation eller skapade mjukvara för allmänheten. För dessa utvecklare var det viktigt att leva upp till GDPR på en daglig basis i sina arbetsuppgifter. En av dessa nio hade inte fått någon utbildning om GDPR varken före eller efter att det trätt ikraft. Alla företag för dessa

utvecklare hade däremot lagt tid på att ta fram en ny företagspolicy.

Figur 5.1 Arbete relaterat till GDPR

16

Personen som inte hade fått någon utbildning om GDPR utan enbart fått gå efter den nya policyn tyckte däremot att dess företag hade en lättförståelig policy som hen kunde tillämpa i sitt dagliga arbete.

De som svarat fick också en följdfråga om hur deras arbetsuppgifter

relaterade till just GDPR.

Alla de nio svarade på skriftfrågan

“Kan du beskriva hur dina

arbetsuppgifter relaterar till GDPR?” där följande svar kom in:

“Våra system som vi jobbar i dagligen hanterar personuppgifter.”

“Utveckling i enlighet med GDPR”

“GDPR är någon som jag behöver ta hänsyn till när jag bygger ny programvara som ska vara tillgänglig för allmänheten.”

“Det system och dess komponenter vi utvecklar hanterar och underhåller kunddata för både privatpersoner och företag.”

“Research med användare (intervjuer, användningstester, enkäter) och spårning av användare i digitala tjänster”

“Lagring av uppgifter”

“Vi har mycket kunddata som behövs hanteras inom ramen för GDPR”

“Behöver ha hänsyn till GDPR för ny programvara. Den äldre programvaran skrev vi om för att den ska hålla måttet.”

“Ser till att vi har GDPR i tanken vid implementering av ny kod.”

Frågorna om utbildning före/efter att GDPR trätt ikraft var obligatoriska där följdfrågan om de fått någon utbildning efter GDPR enbart ställdes till de som uppgett att de inte utbildats innan.

Är ditt arbete relaterat till GDPR?

0 10 20 30 40

Ja Nej

Figur 5.2 Utbildning om GDPR

Vi kan här se att majoriteten av de som fått utbildning av GDPR fick denna utbildning innan GDPR trädde ikraft. Av de som inte fick någon utbildning var det en väldigt liten kvot som fick någon utbildning efter att det trätts ikraft.

Nästa fråga var om deras företag hade någon ny företagspolicy efter GDPR där alla vars företag jobbade med frågor inom ramen för GDPR hade utvecklat en ny företagspolicy.

Den nya företagspolicyn togs emot på lite olika sätt men den generella inställningen var att deras företagspolicy var lättförståelig om dock tråkig läsning. Det var enbart ett fåtal som inte hade läst den eller tyckte att den var svårförståelig. Dessa personer hade dock inte arbetsuppgifter som på något sätt var relaterade till GDPR och var således inte fördjupade inom den nya lagen även om de fått utbildning av sitt företag.

Även om företagspolicyn generellt var lättförståelig så uppgavs det att GDPR i sig inte var så lättförståelig då det finns många gråa zoner, en utvecklare svarade på följande sätt vilket var en genomgående trend. “Det finns många gråa zoner där det inte alltid är helt tydligt om något bryter mot GDPR eller inte. Men om man misstänker något, så har vi instruktioner på vilka man ska kontakta inom organisationen (bl.a. Data Protection Officer) för att hantera data på korrekt sätt enligt GDPR.”, (person 3) en annan svarade på följande vis “Nja många lagar som är

svårtolkade”. (person 17)

Figur 5.3 Policy

Frågan om policyn var relevant i deras arbete fick följande svar

De som varat ja på föregående fråga fick även en uppföljningsfråga om hur policyn var relevant i deras arbete.

Person 3 uppgav även att policyn var relevant i hens arbete och fick då beskriva hur policyn var relevant. Hen svarade då på följande sätt: “Vi hade workshops när GDPR trädde ikraft där vi gick igenom vad GDPR är, hur det påverkar vår

18 Har du fått utbildning om GDPR?

0 7,5 15 22,5 30

Ja Nej

Före Efter

0 4,75 9,5 14,25 19

Ja Nej

Är policyn relevant i ditt arbete?

organisation och vilka åtgärder vi som utvecklare behöver ta. Vår främsta uppgift som utvecklare var att gå igenom våra existerande lösningar för att dubbelkolla ifall det fanns något som skulle kunna bryta mot GDPR. Sedan dess har det inte varit en del av det vardagliga arbetet man gör, men man har GDPR alltid i åtanke när man utvecklar eller tar fram eventuella lösningsförslag, för att minska risken att man bryter mot det.” (person 3).

Person 9 gav följande svar “Vi behandlar användaruppgifter och med den nya policyn så behöver vi hela tiden tänka på hur länge det ska sparas, hur de används och även se till att den datan går att ta bort.”, (person 9).

Person 14 svarade “En av mina jobbuppgifter: Jag får ansökningar till jobböppningar, håller intervju och anställer. Jag måste veta var jag kan spara, inte får spara, kan jag skicka anställningspapper via mail eller inte” (person 14).

Av de 15 som svarade nej tyckte de flesta att deras arbete inte påverkats av GDPR eller att deras arbete inte hade förändrats sen efter att GDPR trädde ikraft. Enbart en person (person 16) som svarade att policy inte var relevant i deras arbete uppgav att hen inte tyckte att policyn

implementerades hos hens företag. Detta till trots att de hade en policy för GDPR, så hade hen varken fått utbildning före eller efter och uppfattade policyn som svårförståelig.

Figur 5.4 Arbetsbörda

Hela 70 procent av de som svarade att den nya policyn har genererat mer arbete för dem har svarat att de har fått göra om stora delar av sin nuvarande kod för att den ska fungera mot den nya lagstiftningen. Av de som svarat nej har sedan 18% medgett att de troligen kommer att behöva ändra sin kod inom en snar framtid för att passa in i den nya modellen. Detta innebär att majoriteten av alla utvecklare är involverade i arbetet på ett eller annat sätt även om de inte i direkt anknytning till GDPR.

Deras arbete har speciellt fokuserats på lagring av användaruppgifter eller andra typer av känsliga uppgifter. Hur mycket tid som de förmodar att de har lagt ner på detta arbete varierar totalt. En som svarat på undersökningen är väldigt säker på att hen lägger ner 2h i månaden på detta (person 14)

0 4 8 12 16

Ja Nej

Har den nya policyn genererat mer arbete för dig?

medan en annan uppgett att de lagt ner ett år på GDPR (person 19). Person 26 har svarat lite mer generellt “Vi har några som hanterar GDPR mer än mig, jag har inte lagt så mycket tid men jag tror att de andra lägger i alla fall några arbetsveckor om året bara på GDPR.”, här visar det på att det här företaget har tagit fram en arbetsgrupp som fokuserar på GDPR och där dessa utvecklare lägger ner relativt mycket arbete på detta. Person 3 har också ett företagsinriktat tänkande och uppger följande “Vi har inte gjort några förändringar i kod hittills, har främst lagt tid på workshops och analysera våra lösningar. Jag som individ har gissningsvis lagt mindre än en veckas arbetstid (40h) på detta. Men vi kommer säkerligen lägga mer tid när vi tar fram framtida lösningar för att inte bryta mot GDPR”. Ett annat företag har tagit det mycket längre där person 17 svarar på följande sätt

“Personligen kodar jag inte om, dock innebär det att redan förhandlade säkerhetslösningar måste arbetas om och omförhandlas. Nya krav på lagring av uppgifter har inneburit förseningar av leverans och problem med redan levererade system som ligger i gråzonen för att behöva omstruktureras. I vissa fall pratar vi månaders försening.“.

Mer generellt så har det överlag lagts mer arbete på GDPR i början när det släpptes men har efter det lagt sig lite. Detta kan tyda på att de policys som företaget har tagit fram används vid framtida utvecklande och att det då är svårt att ge en exakt siffra på hur mycket av tiden egentligen är

tillägnad GDPR och vad som egentligen är utveckling. Vad som mer går att säga är att det är ganska uppseendeväckande att vissa företag, två år efter att GDPR trätt ikraft, fortfarande är i början av sin resa för att leva upp till de nya föreskrifterna och ännu inte gjort de förändringar i sin kod som dess utvecklare anser behövs göras. Vi kan se detta hos person 4 som jobbar som processutvecklare. Hen säger följande

“Vi kommer att behöver ändra vår kod för att uppmärksamma om dokument sparas och underhålls.

Annars ska det raderas”,

vilket visar på att de inte lagt tillräckligt mycket arbete på detta även till trots de dryga böter och den långa tid de haft på sig både innan den nya lagen trädde ikraft och den tid som funnits efteråt.

De allra flesta tycker inte att deras arbete har blivit mer komplext efter GDPR vilket också kan visa på bra utbildningar och policys som efterlevs. Enbart 18 procent av de tillfrågade tycker att

utvecklingen är mer komplex efter det att GDPR trädde i kraft. Då speciellt hur de behöver utveckla efter GDPR för att uppfylla kraven om kunduppgifter och lagring. Person 28 uppger att de också behöver flera led av kontroller vid utveckling för att verkligen se till att de uppfyller kraven, något som hen tycker känns mer komplext.

Majoriteten har även nya rutiner vid sitt implementationssteg. Person 13 förklarar de nya

implementationsrutinerna på detta sätt “GDPR är nu en del av planeringsfasen på ett annat sätt än PUL var eftersom att vi måste utvärdera lite mer.”

20

Person 15 säger detta “Det jag tänker på är att vi ständigt måste ställa oss frågan "hur påverkas detta av GDPR" när vi designar nya funktioner i systemet eller designar om. Inget får riskera försvinna eller sparas på ett sätt som gör det svårt att hitta/ta bort informationen utifrån en persons eller företags identifierare.”

Person 31 uppger “Fler rutiner för hur vi tar bort den data vi inte ska ha speciellt när våra kunder inte arbetat med oss på ett tag.”,

Vi kan här se att mycket av rutinerna är om lagring och om användaruppgifter samt känsliga uppgifter vilket är en genomgående trend för vad som skapar mer arbete vid utveckling.

Figur 5.6 Rutiner vid implementering

5.2 Resultat

De frågor som arbetet i ställde var följande:

Har datalagringen medfört regleringar vilket ökar på arbetsbördan för företagen?’

Hur har företagen hanterat GDPR i form av utbildningar och policys?

Hur mycket har GDPR ändrat företagens utvecklingsmöjligheter?

Statistiska analysmetoder användes för att analysera de ja samt nej svarsfrågor som arbetet innefattade. Då de alla flesta frågor hade skrivfrågor som uppföljning användes frågan innan som uppbackning för analyser av skriftlig natur.

Vad vi kan se är att många företag har gjort ändringar vid lagring av kunddata. Det finns ingen notering av att det gjorts ändringar för att beskydda andra generella känsliga uppgifter från någon av de tillfrågade utvecklarna. En fråga som kan vara relevant vid en mer djupgående studie är hur företag hanterar sina interna personuppgifter så som för sina anställda och delägare. Är dessa databaser omstrukturerade på ett sätt som uppfyller föreskrifterna eller är detta ett område som behöver förfinas? Och hur har de 7,5% som uppgett att deras arbetsplatser inte påverkats av GDPR, hur har dessa företag sett på lagring av sina egna arbetares personuppgifter?

0 4,25 8,5 12,75 17

Ja Nej

Har ni nya rutiner vid implementering efter GDPR?

5.1.1 Arbetsbörda

Nya roller

Det går att dra en parallell till GDPR och de nya jobbrollerna vissa företag har kommit fram med.

Som visas i enkätstudien har vissa företag en GDPR ansvarig eller ett GDPR arbetslag som är den slutliga kontrollanten i frågor relaterade till detta. Det är även denna person som verkar hantera den största delen av den säkerställning av företagets uppgifter lever upp till standarden. Detta visar på att det tillkommit nya roller inom företag efter GDPR för att minska arbetsbördan på utvecklare och annan personal. Detta visar även enkätundersökningens fråga om arbetsbörda på.

Vi kan se detta hos svar hos utvecklarna under fråga “Hur mycket tid uppskattar du att du lagt på GDPR?” där ett antal av utvecklarna har antytt att det finns GDPR ansvariga på deras företag som tar hand om majoriteten av dessa frågor. Så som person 8 har svarat på denna fråga “Personligen har jag inte lagt så mycket tid, en av mina kollegor har fått ansvaret för GDPR implementationen.

skulle gissa på ca 2-3 veckor har gått åt bara åt GDPR delar detta år. Antagligen mer förra året.”.

(detta året 2019, data insamlad i November, författarens tolkning). Vi kan härmed se att för den GDPR ansvariga så går mer än 10% av dess arbetstid åt till GDPR för att se till att upprätthålla föreskrifterna hos ett företag där implementering och omstrukturering redan skett sen GDPR trädde ikraft året innan.

Omstrukturering

Vi kan också se en stor omstrukturering hos företagen som hanterar känsliga uppgifter. Hos dessa företag har nya policys tagits fram för att förenkla arbetet för utvecklare och för att se till att upprätthålla den standard EU har satt för lagring och användning av dessa uppgifter. Alla företag som anser sig på något sätt hantera uppgifter av detta slag har ändrat sin kod för att leva upp till den nya regleringen och ser till att detta görs löpande antingen av alla utvecklare eller av den utsedde GDPR ansvarige eller ansvariga. Även om det varit svårt för de tillfrågade att ge en exakt summa på hur mycket tid som läggs på GDPR så kan vi trots det se att det definitivt tillkommit en ökning av arbetstid som läggs på detta även hos de som inte är i en ansvarigposition gentemot GDPR.

Vad som är viktigt att lägga fokus på i en vidare studie är de företag som anser sig inte ha några känsliga uppgifter och därför inte behövt strukturera om eller lägga någon arbetstid på GDPR. Så som sett i litteraturstudien och i bakgrunden så är det fler uppgifter än kunduppgifter som ses som känslig data, detta så som all data som, på enskilt eller sammansatt sätt, kan röja en individs identitet.

5.1.2 Policy

En genomgående trend vi kunde se från enkätstudien var att alla tillfrågade vars företag hanterar någon typ av kunddata har fått en uppdatering av sin policy. Arbetet bakom denna policy måste ha 22

lagts innan GDPR då vi kunde se att hela 67,5 procent hade fått utbildning innan den nya lagen trädde ikraft. Hur mycket tid som lagts på just denna del av arbetet är med största sannolikhet inte inräknad i de timmar utvecklarna uppgett att de lagt på omarbetning av mjukvaran. Istället måste policyarbetet ligga på en annan avdelning som hanterar rättsliga frågor då detta är en lagtolkning.

Den andel av de som tyckt att den nya policyn inte helt har hjälpt dem i deras arbete har också uppgett att den varit svårförståelig eller att den inte har gett några klara direktiv vid utveckling.

Detta tyder också på att policyn inte är utvecklad och framtagen av de som vet hur företagets datahantering ser ut.

Det känns även underligt att vissa företag inte har varken tagit fram någon ny policy, ändrat i sina rutiner eller gjort någon förändring i sin kod. Som vi har sett i litteraturstudien och även i själva lagstiftningen så är det inte enbart kunddata som behöver hanteras på ett sätt som lever upp till GDPR. Annan data så som de anställdas egna uppgifter behöver tas omhand på ett sätt som är i enlighet med den rådande lagstiftningen. Hur dessa företag hanterar denna typ av data utan att behöva göra någon ändring i någon rutin eller policy känns märklig även om de inte hanterar denna typ av data i sin egen mjukvara. Något vi även kan se i Steiferts artikel från 2017 ”What are the Business implications of GDPR”. [15] Där förutspår hon att det skulle vara ett genomgående problem under de första månaderna av GDPR för de företag som inte gjort ett genomgående arbete inför lagändringen under 2017. Speciellt vid datalagring då uppgifter som kan identifiera enskilda individer inte får sparas utan godkännande.

6. Slutsats

Har datalagringen medfört regleringar vilket ökar på arbetsbördan för företagen?

Vad vi kan se är att den nya föreskrifterna har skapat merarbete för utvecklare i it sektorn tack vare att den största delen av detta arbete hamnat på deras bord. Många uppger en stor ökning i arbetstid som lagts på att enbart upprätthålla de nya föreskrifterna under 2019 och långt mycket mer tid under den övergångsfas som skedde under 2018. Detta arbete har därför öppnat upp för nya roller hos företag så som GDPR ansvarig eller en GDPR arbetsgrupp.

Trots att dessa nya roller finns på många av de tillfrågade företagen så är det fortfarande en andel som inte gjort någon ändring alls i sina rutiner och policys. Detta då de uppgett att de inte hanterar några känsliga uppgifter. Vi kan därför se en generalisering hos företag där känsliga uppgifter med andra ord ses som kunddata/kunduppgifter och inte känsliga uppgifter så som det i lagen är utformat vilket även gäller för de uppgifter de har om sin egen personal.

Hur har företagen hanterat GDPR i form av utbildningar och policys?

Trots att dessa nya roller finns på många av de tillfrågade företagen så är det fortfarande en andel som inte gjort någon ändring alls i sina rutiner och policys. Detta då de uppgett att de inte hanterar några känsliga uppgifter. Vi kan därför se en generalisering hos företag där känsliga uppgifter med andra ord ses som kunddata/kunduppgifter och inte känsliga uppgifter så som det i lagen är utformat vilket även gäller för de uppgifter de har om sin egen personal.

Majoriteten av alla tillfrågade har uppgett att deras företag har en ny policy efter GDPR trädde ikraft men det är inte alla som känner att den nya policyn hjälper dem med deras arbetsuppgifter.

Mycket av det som visats i litteraturstudien har varit ett genomgående tema för detta arbete. Företag och utvecklare som inte helt känner att de vet var GDPR börjat eller slutar.

De som svarat att deras företag inte behöver leva upp till GDPR då de inte hanterar känslig data.

Vi kan där dra slutsatsen av att vissa företag fortfarande ligger i startgroparna för GDPR trots de stränga böter som ges. Att många företag ser sig inte ha någon koppling till den nya lagen och därför inte lagt varken tid eller energi till att utbilda sin personal och uppdatera sin policy verkar missvisande då detta är en föreskrift som omfattar alla företag som på ett eller annat sätt lagrar uppgifter om en europeisk invånare. Detta kan vara så lite som en cookie på en hemsida eller en lista på emailadresser för nyhetsbrev eller andra utskick. Det verkar underligt att dessa företag som skapar eller distribuerar IT-lösningar för sin egen del eller åt tredje part inte har varken en hemsida eller en lista på mailadresser till sina kunder.

24

Hur mycket har GDPR ändrat företagens utvecklingsmöjligheter?

Vi kan se att de allra flesta företag har en längre process för utveckling efter GDPR än vad de hade innan förordningen trädde ikraft. Detta innebär att det tar längre tid för en ny produkt att färdigställas tack vare de hårdare direktiv som ställts. Speciellt i början fick många mjukvaruföretag omarbeta en stor del av de redan sålda lösningarna för att de skulle leva upp till de nya kraven vid lagring och mer tid kommer att behöva läggas vid nya lösningar tack vare de nya policys som framarbetats på arbetsplatserna.

7. Begränsningar och hot mot validiteten

7.1 Utformning och analys av enkät

Validitet innebär att vi har en god metodologi för att säkerställa att det vi mäter är det vi egentligen vill mäta. Därför är det viktigt att upplägget på en vetenskaplig undersökning testar det den är utformad för att testa. För att kunna göra det låg det mycket arbete bakom att ta fram frågor som var lättförståeliga samt lika lätta att i ett senare skede kunna sättas ihop och analyseras. [17]

På samma sätt har det varit viktigt att se till att de kandidater som svarat på

enkätundersökningen har haft en roll som är riktad mot mjukvaruutveckling för att svaren ska bli så adekvata som möjligt för den målgrupp undersökningen är riktad mot. Om kandidater utan roller i mjukvaruutvecklingen svarat på enkäten hade vi inte kunnat se hur detta har påverkat

mjukvaruutvecklingen utan istället påverkat företag överlag.

För att kunna få så en så hållbar och valid undersökning som möjligt har det varit lika viktigt att analysera de svar som samlats in från den utskickade undersökningen. Tack vare de väl

utformade frågorna så har det varit enkelt att göra en sammanställning då de allra flesta frågor enbart varit välriktade ja samt nej frågor. Ja samt nej-frågor kan ge en trivial sanning men detta valdes ändå för att hålla nere på den tid det tog för en kandidat att svara på det enkäten så att de skulle känna sig manade att slutföra den. Vid en längre enkätundersökning finns det alltid en risk att kandidaten tröttnar och slutar i förtid.

Under skrivfrågorna kan det däremot uppkomma ett hot mot validiteten då det är analysatörens objektivitet på svaret som granskas. Har frågeställaren och svararen tolkat frågan på samma sätt och har frågeställaren tolkat det svar hen fått på det sätt som svararen gjorde när hen skrev sitt svar.

Från vad vi kan se i undersökningen så har det varit relativt enkelt att knyta ihop skriftfrågan med den ja eller nej fråga som ställts innan då dessa frågor enbart varit i uppföljningssyfte. Det är därför långt mycket enklare att få ett svar på ett sådant sätt som svararen menar då vi redan vet om det är positivt eller negativt från föregående fråga.

Då enkäten slumpmässigt har skickats ut till de representativa kandidaterna finns det en risk att det är enbart en typ av utvecklare som svarat på enkäten av de 150 som valdes ut från början.

7.2 Tidsbegränsning och tolkning

För att kunna samla ihop tillräckligt många adekvata svar inom den tidsram som var satt för arbetet behövdes dock den utskickade enkäten få uppbackning i form av en mängd telefonintervjuer. Detta skedde för att nå upp till den kvot svar som var satt i ramen för detta arbete. I annexet ses studien i det ursprungliga formatet där det skiljs på enkät samt telefonsvar. Bägge typer av intervjuer har haft exakt samma frågor som grund och ingen skillnad har gjorts på typen av svar.

Men tack vare den korta tidsram som är satt för ett kandidatarbete kan hämma den kvalitét som annars skulle gå att få fram vid en längre tidsram då fler och fler utvecklare hade haft möjlighet att

26

svara på de frågor som ställts. Vi kan samtidigt säga att denna korta tidsram gav en ögonblicksbild av hur mjukvaruutvecklarnas arbete med GDPR såg ut i början av 2020.

Tack vare den kvot som är satt så finns det en risk att den stora massan av utvecklare inte ser det på samma sätt som de få som svarat på den utskickade enkäten. Det fanns ett hopp om en större

svarsfrekvens än den egentliga uppsatta kvot för arbetet då detta hade gett enkäten mer trovärdighet.

Även om ett antal runt 40 var det uppsatta målet för att kunna genomföra studien så hade det varit bra att kunna få in fler svar.

Tack vare den tidsram som var satt och förklarad i föregående stycke uppkom även ett följdproblem då det varit svårt att få tag på tillräckligt många för att svara på enkäten. Enkätundersökningen kom därför till en punkt där det var dags att utföra telefonintervjuer. Under dessa intervjuer så finns det större tolkningsmöjlighet på de svar som kom från dessa telefonintervjuer gentemot de svar som kom in via den ursprungliga enkätundersökningen. Det finns även en risk att intervjuaren har påverkat kandidaten till att svara på ett sådant sätt som hen tror att intervjuaren vill höra. Det är självklart lättare att ställa rakare frågor och försöka få ut det svar man letar efter via telefon. Det till trots så är det viktigt att hålla samma ton och se till att få svar på enbart enkätfrågorna i samma utformning för att kunna göra en bättre sammanställning.

Vissa svar från enkäterna har jag också fått tolka i efterhand då de var väldigt subjektiva.

Även om enkäten var till mestadels utvecklad för Ja och Nej svar så var det ett fåtal skrivfrågor som vissa hoppade över och andra svarade väldigt vagt på. Vissa kunde jag följa upp då jag hade

kontaktuppgifter för att kunna klara ut vad som egentligen menades. Men generellt så saknades möjligheten till uppföljningsfrågor samt svårigheten vid att fastställa att det är rätt person som har svarat.

8. Framtida arbete

En vidare aspekt är att se hur Kaliforniens egen GDPR, California Consumer Protection Act, kommer att påverka mjukvarujättarna så som Google, Facebook och Instagram som har sina företagskontor i Silicon Valley, Kalifornien.

Med de nya reglerna på hemmaplan kommer det vara enklare att se till att GDPR följs så som med CCPA? Kommer det vara lättare för dessa företag att upprätthålla både den kaliforniska lagen samt den europeiska vid lagringsfrågor?

Har GDPR fått genomslag i hela världen och betyder det fler jobbmöjligheter för utvecklare?

Då fler och fler instanser verkar följa efter Europeiska Unionen och utforma sina egna dataskydd kommer detta innebära att det finns fler arbetsmöjligheter för programmerare och utvecklare? Kommer det även tillkomma extra utbildningar inom dataskydd?

Hur kommer EU att fortsätta utveckla GDPR, finns det begränsningar av det pågående arbetet som behövs ändras på ett sådant sätt att det gör det lättare för företag att efterfölja de regleringar som finns.

28

9. References

1. Datainspektionen, Känsliga personuppgifter , hämtad 2018-11-11

https://www.datainspektionen.se/lagar--regler/dataskyddsforordningen/kansliga-personuppgifter/

2. Datainspektionen, Personuppgiftslagen, hämtad 2020-01-01 https://www.datainspektionen.se/

lagar--regler/personuppgiftslagen/

2. Stefaniak Paulin, 2018, Frivilligt samtycke och tracking walls, Uppsala, Uppsala Universitet

3. Albrecht Jan Philippe, 2016, How the GDPR will change the world, European Data Law Review volume 2 issue 3.

4. The European Union, GDPR, hämtad 2020-01-10 https://gdpr-info.eu ,

5. Datainspektionen, Dataskyddsförordningen, hämtad 2019-11-11 https://www.datainspektionen.se/lagar--regler/dataskyddsforordningen/

dataskyddsforordningen—fulltext/

6. Mark Kasunic, 2005, Designing an effective survey, Carneggie Mellon Software Engineering Institute (2005)

7. Ronald Czaja och Johnny Blair, (2005) Questionnaire Design: Writing the questions, SAGE Publishing

8. European Comission, Data protection in the EU, https://ec.europa.eu/info/law/law-topic/data- protection/data-protection-eu_en, hämtad 2018-12-15

9. Julian Vigo, 2018, How tech culture has changed since GDPR, hämtad 2019-06-01

https://www.forbes.com/sites/julianvigo/2019/05/05/how-tech-culture-has-changed-since-the-gdpr/

#2ee3931779b0, Forbes, Forbes Technology Council

10. Abakar Saidov, 2019, GDPR One Year On: Candidate Data Privacy is still aftersought, hämtad 2019-10-15

https://www.forbes.com/sites/forbestechcouncil/2019/07/08/gdpr-one-year-on-candidate-data- privacy-is-still-an-afterthought/#4c13492e559f, Forbes, Forbes Technology Council

11. Yaki Faitelson, 2019, Why U.S GDPR-style Laws Are Good For Business, hämtad 2019-12-20 https://www.forbes.com/sites/forbestechcouncil/2019/12/19/why-u-s-gdpr-style-privacy-laws-are- good-for-business/#2b72e2348756 , Forbes, Forbes Technology Council

12. Paul Lambert, 2017, Understanding the New European Data Protection Rules , CRC Press 13. Forbes Technology Council, 2018, 15 Unexpected Consequences of GDPR, hämtad 2018-10-01 https://www.forbes.com/sites/forbestechcouncil/2018/08/15/15-unexpected-consequences-of-gdpr/

#136ee37b94ad, Forbes, Forbes Technology Council

14. IBM, 2018, Majority of Business View GDPR as Opportunity to Improve Data Privacy and Security, hämtad 2018-10-13

https://newsroom.ibm.com/2018-05-15-IBM-Study-Majority-of-Businesses-View-GDPR-as- Opportunity-to-Improve-Data-Privacy-and-Security

15. Byrony Seifert, 2017, What are the business Implications of GDPR? hämtad 2019-10-01 https://www.techtarget.com/what-are-the-business-implications-of-gdpr/, TechTarget

16. Datainspektionen, Samma regler för alla, hämtad 2020-05-08

https://www.datainspektionen.se/lagar--regler/dataskyddsforordningen/samma-regler-for-alla/

17. Sara-Anna Josefsson, 2006, Reliabilitet, validitet och felkällor i Metodik för inventering av förorenade områden (MIFO), hämtad 2020-05-13

https://www.diva-portal.org/smash/get/diva2:21396/FULLTEXT01.pdf , Norrköping, Linköpings Universitet

30