Hvordan har bedrifter forholdt seg til GDPR etter bevisstgjøring av sin nåverende situasjon: En casestudie i samarbeid med Sticos AS.
Bachelor thesis
Bakgrunnen for valg av emne til studien var en interesse for sikkerhet og personvern. I dagens digitaliserte hverdag og hurtige teknologiske utvikling står personvern i sentrum. Sticos la til rette for undersøkelse på bakgrunn av GDPR-kurset kalt Serious Game, et spill hvor bedrifters nåsituasjon angående GDPR, blir kartlagt.
Problemstillingen ble utformet på bakgrunn av GDPRs effekt på bedriftslandskapet, og hvordan bedriftene forholder seg til GDPR etter å ha blitt gjort bevisst på sin nåsituasjon. Følgende problemstilling ble utarbeidet: «Hvordan har bedrifter forholdt seg til GDPR etter bevisstgjøring av sin nåværende situasjon.» Målet med studien er å belyse aspektene rundt arbeidet med GDPR, samt oppmuntre til videre forskning.
Metoden brukt i denne studien var en kvalitativ undersøkelse av syv bedrifter som hadde tatt Sticos’ GDPR-kurs, Serious Game. Kursene ble holdt i 2017 og 2018. Det ble undersøkt hvorvidt bedriftene hadde jobbet med GDPR slik det ble foreslått på kurset. Også intervjuobjektenes tanker om, og holdninger til innføringen og viktigheten av GDPR ble undersøkt. Datamaterialet ble innhentet ved hjelp av et utdypende spørreskjema via e-post. Dataene ble analysert ved bruk av koding. Funnene drøftes i sammenheng med teori.
Resultatene i studien viser at bedriftene jobbet godt med GDPR i tiden rett etter kurset. Et fåtall av bedriftene (2) kan sies å ha god kontroll på GDPR. Resultatene avdekker generelt at arbeidet med GDPR faller litt av etter hvert, og at kategoriene databehandleravtaler og roller fra Serious Game blir høyere prioritert enn de andre kategoriene i spillet. Resultatene forteller videre om noe forvirring rundt GDPR-reglene i gitte situasjoner. Det kommer også frem at intervjuobjektene synes GDPR er et stort tema å sette seg inn i, og det oppleves som et styr. Det blir nevnt at når GDPR er innarbeidet i rutiner og man har fått utarbeidet nødvendige dokumenter, er ikke GDPR så «slitsomt» som i initieringsfasen. Studien viser at GDPR-arbeidet likevel stagnerer på tross av dette. The background for the chosen topic was an interest for security and privacy. Privacy is in the center of our digitalized society and the rapid technologial development. Sticos arranged for the study, building upon their GDPR-course named Serious Game - a game for mapping businesses GDPR situation.
The research question was developed by looking at GDPRs impact on the business landscape, as well as how businesses relates to GDPR after becoming aware of their situation. The following research question was compiled: "How businesses have worked with GDPR after become aware of their situation?" The aim of this study is to shed a light on the aspects of implementing GDPR, as well as encourage further research.
The research method used in this study is a qualitative approach. It was developed a survey taken by seven companies whom had completed Serious Game. The GDPR courses (Serious Game) were held in 2017 and 2018. The survey investegated if the participants had taken action according to the suggestions produced by Serious Game. The survey also looked at participants thoughts and attitudes towards- as well as the importance of GDPR. The data sets were gathered trough a survey via e-mail. The data was analyzed with coding. The results are discussed in context with litterature.
The results of the study implies that the businesses worked well with GDPR implemenation, right after they had taken Serious Game. Only two of the businesses claims to have everything in order. The results show furthermore that GDPR implementation is stagnating in the following period after completing Serious Game, and that data processing agreements and roles are higher on the businesses priority list. The study also found confusion among the participants regarding GPDR rulings in different given cirumstanses, and that GDPR is a big subject to grasp. However, when GDPR is implemented in the business foundation and necessary documents is developed, there is less "struggle" among the participants, and GDPR is not such a hardship anymore. In spite of it becoming seemingly easier to incorporate GDPR after implemented in the business foundation, the inccorperation still stagnates after a while.