Smarte bygg og person-opplysninger

business building
Licensed from: peus / yayimages.com


Jeg har nylig arbeidet med flere saker som omhandler kontorlokaler og personopplysninger. Mange vil lure på hva personopplysninger og personvern har å gjøre med fast eiendom. Fast eiendom dreier seg jo om kvadratmetere, vedlikehold og rengjøring. Er personopplysninger virkelig relevant for utleie av kontorlokaler? Svaret er ja.

Utleier har blitt innholdsleverandør

I tillegg til kvadratmetere, rengjøring og vedlikehold, tilbyr utleier i økende grad resepsjonstjenester, adgangskontroll, besøkendekontroll, vakttjenester etc. Utleier blir ofte en «innholdsleverandør» . Dette tar man selvfølgelig betalt for som en tjeneste, gjerne innbakt i husleien. For å videreføre eksempelet - stadig flere snakker om smarte bygg. Det kommer nå forretningsbygg som allokerer parkeringsplasser til ansatte basert på hvor mange møter de har i og utenfor kontorlokalene. Noen snakker om datasystemer som allokerer kontorplass til ansatte basert på om de har inne- eller utemøter. Mulighetene for å effektivisere og styre en arbeidsplass blir stadig flere. Alle disse tjenestene genererer personopplysninger som lagres i systemene.

Fra leietakers ståsted, må man forholde seg til at man har både ansatte og besøkende. Begge kategorier er opptatt av sitt personvern. Opplysninger om ansatte og besøkende registreres svært ofte i systemene som utleier tilbyr. Avhengig av hvor avanserte systemene er, vil et større eller mindre antall opplysninger registreres. I sum registreres i alle fall stadig flere opplysninger. Når vi tar i bruk «big data» og avansert bruksanalyse via analytics-verktøy, forsterkes behovet for kontroll.

Leietaker må stille krav

Som en naturlig konsekvens av dette må leietakere stille, og stiller i økende grad, krav til hvordan opplysningene om egne ansatte og besøkende skal behandles. Og de vil, og må, ha en oversikt over hva som skjer. Det er ikke så rart, for dette er leietaker pålagt å ha oversikt over. Både etter eksisterende lovgivning og etter de nye EU-personvernreglene.

Historisk har nok denne type IT-systemer hatt mindre fokus enn f.eks. kundelojalitetsprogrammer og helsesystemer hvor man forstår at det lagres sensitive data. Nå er det en gryende forståelse for at hvem som besøker en bestemt type bedrift, eller hvilke ansatte som kommer og går på ukurante tider, også kan være personopplysninger som har stor verdi med tilhørende risiko for misbruk.

Leietaker stiller oftere krav til at utleier gir en oversikt over hvilke systemer som brukes og hvilke underleverandører som benyttes i IKT-systemene. Det er altså viktig å ha oversikt over verdikjeden av opplysninger som man forvalter.

Det er også vanlig, pga personvernlovgivning, å stille krav til at opplysningene ikke tas ut av EU/EØS. Det siste kan være en utfordring da flere gode leverandører bruker underliggende tjenester som ligger i land nettopp utenfor EU/EØS. Som utleier må du kunne gi denne type informasjon - i tillegg til mye annen informasjon. Blant annet må man kunne vise at man har et internkontrollsystem som omfatter de aktuelle systemene.

Nytt EU-regelverk om personvernopplysninger

Fremover kommer vi til å se et langt større antall såkalte databehandleravtaler som beskriver disse ansvarsforholdene og hvordan utleierne kan opptre og behandle leietakernes informasjon. Ett element i disse avtalene vil ganske sikkert bli ansvarsfordeling og erstatningsbegrensning samt plikt til å underrette leietakere raskt dersom det skulle skje avvik. Det nye regelverket fra EU om personopplysninger tvinger dette frem.

Et beslektet område er eiendomsforvaltere som ofte har detaljert informasjon om beboere, deres særlige behov og informasjon om tvister mellom beboere.  Ved siden av at dette er strengt lovregulert, er det klart det er viktig hvordan slike data behandles - og at dette er i fokus både fra sameier og de som er beboere. Forvaltere må ha god oversikt og bli tydelige på hvor lenge hvilke personopplysninger lagres, hvem som har tilgang, hvem opplysninger deles med og hvilke underleverandører som benyttes.

Ã?n kommentar

Bjørn Vik

02.02.2017 kl.08:33

En god artikkel om utrolig viktig tema. Utfordringen slik jeg ser det er stor mangel på kunnskap om tekniske muligheter rundt behandling av identiteter (ID). Det er ikke nødvendigvis slik at det til enhver tid er personnummer som må benyttes innen det jeg vil kalle "traffic shaping" (effektivisering) av flyt innen næringsbygg, bygg, byer, etc. Ved å ta inn over seg de ulike regler for behandling av personopplysninger og "kamuflere" disse opplysningene gjennom ID arkitekturen vil det bli mindre utfordrende å tilfredstille alle krav til oppbevaring og behandling av personopplysninger sammen med en effektivisering av "smarte bygg". For meg er smarte bygg mye mer enn sensorer..

Skriv en ny kommentar

hits