GDPR Staff Training in IT companies: A Game-Based Approach

Abstract

Personvernforordningen (GDPR) trådte i kraft mai 2018, og hadde som hovedformål å beskytte personvernet til EU- og EØS-borgere. Innføring av denne forordningen krevde at virksomheter som arbeider med personopplysninger med eller innenfor EU, til å innføre passende tiltak for å samsvare med de nye personvernreglene. For at alle i virksomheten både skal forstå behovene for og risiko knyttet til personvern og sikkerhet, var det nødvendig å innføre tiltak i form av GDPR opplæring internt i virksomheten. Virksomheten må selv finne ut hva som er relevant og hva den enkelte ansatte trenger opplæring i. Dette viste seg til å være vanskelig på grunn av det enorme innholdet i GDPR, samtidig som at det var en mangel på praktiske retningslinjer og rutiner for de konkrete tiltakene man kan gjøre for å unngå brudd på personvernforordningen. I tillegg er GDPR opplevd av mange som et uinteressant tema. Det er dermed utfordrende å kunne skape engasjement og interesse under opplæringen.

Denne masteroppgaven tar for seg noen av utfordringene rundt obligatorisk GDPR opplæring og utforsker muligheten om å bruke spill som et middel for opplæring i virksomheter. Oppgaven tar for seg to hovedfokus: å identifisere relevante spillelementer som kan øke engasjementet i læring, og hvordan et spill kan integreres i eksisterende opplæring i virksomheter. Begge disse fokusene blir først undersøkt gjennom å gjennomføre et systematisk litteratursøk for å utforske hvordan spill har blitt brukt og integrert i opplæring i dag. Resultatene fra dette litteratursøket utdannet utformingen av spillet "GDPR At Work", som ble utviklet og evaluert i iterasjon med ansatte med ulike arbeidserfaring.

Resultatene fra denne forskningen inkluderer en liste over spillelementer som kan støtte læring og engasjement i obligatorisk GDPR opplæring hos IT-selskaper. De spillelementene som ble påvist til å være mest effektiv for å skape engasjement og samtidig øke læring viste seg til å være interaktive samtaler med spillkarakterer, samt bruk av realistiske situasjoner som spilleren kan relatere seg til. Disse spillelementene ble funnet gjennom iterative evalueringer av spillet "GDPR At Work", der resultatene kan brukes til å lage andre spill med samme formål om å støtte opplæring av de ansatte i bedrifter.

The General Data Protection Regulation (GDPR) is a regulation made in 2016 that aims to protect the data and privacy of EU and EEA citizens. The implementation of this regulation required businesses dealing with personal data with or within EU to create appropriate measures that will conform to the new data protection principles. One such measure is to include GDPR training for internal staff, to inform them about what the GDPR is and how to be GDPR compliant. The planning of this training proved to be difficult for many companies due to the vastly overwhelming content of the GDPR, as well as the lack of practical guidelines on the specific measures one can take to ensure GDPR compliance. Additionally, GDPR as a learning topic is complex and not very interesting. It is difficult to create engagement and interest in staff training with this topic no matter how relevant the GDPR may be.

This thesis delves into some of the challenges concerning mandatory GDPR training and explores the notion of using serious games as a training approach. There are two main focuses in this approach: identifying relevant game elements that could increase learning engagement, and integrating a serious game into existing organizational training. Both of these focuses are first examined through conducting a systematic literature review of how serious games has been used in corporate training and the subsequent integration. The results of this literature review added to the design of the serious game GDPR At Work which was developed and evaluated in iteration by both junior and senior employees alike.

The results of this research includes a list of game elements that can support learning and engagement in mandatory GDPR training at IT companies. The most effective game mechanisms to raise engagement as well as support learning was revealed to be realistic cases that the players can relate to, presented through interactive game elements such as dialogues with in-game characters. Other game elements that proved effective in raising motivation and engagement were identified to be map exploration and rewards through various means, such as achievements. These game elements were revealed through iterative evaluations of the game GDPR At Work, where its results can be utilized to create other serious games with the goal to support staff training.