«Endringer i plan- og bygningsloven og opphevelse av småhusplanen» - Haavind seminar 20150625
Smarte bygg Seminar 8. februar 2018 - Haavind...EUs personvernforordning (GDPR) Trer i kraft i EU...
Transcript of Smarte bygg Seminar 8. februar 2018 - Haavind...EUs personvernforordning (GDPR) Trer i kraft i EU...
Smarte bygg
Seminar 8. februar 2018
Advokatfirmaet Haavind AS
Velkommen
1. Velkommen v/ advokat Erling M. Timm
2. Entras tilnærming v/ Sonja Horn, Direktør for digitalisering og
forretningsutvikling i Entra
3. Hva betyr EUs nye personvernforordning for eiendomsbransjen og
hvilke muligheter ligger i den?
Advokatfirmaet Haavind AS
Proptech – hva er det?
Real Estate FinTech Delingsøkonomi Smarte bygg
Informasjon Ja Ja Ja
Transaksjon/marked Ja Ja
Styring/kontroll Ja
Eksempler på bruk Finn.no
Crowdfunding
Investeringsverktøy
Utviklingsanalyse
Coworking
Airbnb
Fri flyt parkering
Adgangskontroll
Inneklima
Lysstyring
Advokatfirmaet Haavind AS
Proptech – hva er det?
Smart
Real
Estate
Shared
economy
PropTech FinTechReal Estate
FinTech
Nye personvernreglerEr det relevant for eiendomsbransjen?
Advokatfirmaet Haavind AS
Teknologi driver utviklingen
The Economist, mai 2017
Advokatfirmaet Haavind AS
Plattformer og digitalisering
Advokatfirmaet Haavind AS
Orbital insight
Advokatfirmaet Haavind AS
Smarte bygg
Bygg inneholder stadig mer informasjonsteknologi. Fra tidligere kun ganske enkle styringssystemer for
varme, ventilasjon og heis ser vi at systemene blir flere, mer avanserte, at de spiller sammen og med
omverdenen.
Det gjør at følgende problemstillinger blir mer aktuelle
Trygghet for at nødvendige systemer har fornuftig levetid og at det er tatt høyde for at systemene kan
byttes ut
For systemer som er tilgjengelige fra utsiden - informasjonssikkerhet
Trygghet for at nødvendige systemer er tilgjengelige (SLA)
Ansvarsforhold ved feil på styringsystemer
For systemer som behandler personopplysninger – personvern og rettigheter til bruk av data
Mekanismer som gjør at avtaler knyttet til styringsystemer kan følge bygget ved kjøp og salg
Bygg genererer store menger data – både persondata og andre data
Hvilke krav stiller EUs nye personvernforordning til eiendomsutvikleren, leietakeren og
tjenesteleverandøren.
Advokatfirmaet Haavind AS
Fellesfunksjoner og
partnerskap
Kostnader og finansieringInntekter fra tjenester
Energiforvaltning
Teknologi og software
integreres i byggets kjerne
Personvern
Sikkerhet og
informasjonssikkerhet
Når teknologien svikterHvem er ansvarlig?
Utstyr og installasjoner
Smarte bygg
Advokatfirmaet Haavind AS
Tjenester
Applikasjoner med tilgang til tjenester fra interne og eksterne leverandører
Inneholder gjerne også et element av markedsføring, for eksempel nabolags tilbud, tilbud fra kaffebar osv.
Lokasjonsteknologi og sensorer
Flere som leverer tjenester til og sanker data fra samme enhet
Informasjon til brukerne
Hvem må innhente samtykke til hva?
Hvem er ansvarlig og hvem har rett til å bruke personopplysningene?
Foto Philips Lightning
Advokatfirmaet Haavind AS
Persondata i et bygg
Noen eksempler:
Informasjon om leietakere og kjøpere (leie- og
boligkontrakter)
Wifi i fellesareal
Web applikasjoner for brukerne av bygget for enklere
tjenester, for eksempel besøksregistrering og
møtebooking
Kameraovervåkning og adgangskontroll
Parkering og skiltavlesing
Lokaliseringsteknologi som GPS, beacons etc.
Sensorer og IoT
IT systemer
Systemer for overvåkning av næringsbygg (sensorer)
Sosiale medier
Ansattes persondata (adgangskontroll, kantine osv.)
Osv.
Hva med fremtiden?
Smarte bygg og smart by – alt kan kobles til alt – med
mulighetene det gir til å samle og analysere data
Økende bruk av sensorteknologi og IoT
Digitalisering og automatisering av prosesser
Vedlikehold
Sikkerhet
Logistikk og effektivisering osv.
Individuelt tilpassede og brukerstyrte løsninger for
leietakere
Eiendommene har potensiale til å samle inn og behandle
store mengder data i fremtiden, også data som alene eller
sammen med andre datasett kan brukes til å identifisere
enkeltpersoner
Advokatfirmaet Haavind AS
Hvordan kan eiendomsbransjen tilpasse
seg for å ta i bruk mulighetene som ligger i
å samle inn og analysere data fra bygg?
Advokatfirmaet Haavind AS
EUs personvernforordning (GDPR)
Trer i kraft i EU 25. mai 2018 og vil bli gjort gjeldende i Norge
gjennom EØS-avtalen
«One continent one law» og «One stop shop»
GDPR er et oppdatert rammeverk for lovlig behandling av
personopplysninger
Foreslått i å gjelde i Norge gjennom egen lov
Noen nasjonale tilpasninger
Gjelder for behandling av personopplysninger om fysiske
personer, ikke selskaper
GDPR er mye mer enn bare juss og IT
Advokatfirmaet Haavind AS
Grunnbegreper
enhver opplysning om en identifisert eller identifiserbar fysisk person
(«den registrerte»)
enhver operasjon eller rekke av operasjoner som gjøres med
personopplysninger, enten automatisert eller ikke, f.eks. innsamling,
registrering, organisering, strukturering, lagring, endring
en identifisert eller identifiserbar fysisk person
en fysisk eller juridisk person, en offentlig myndighet, en institusjon eller
ethvert annet organ som alene eller sammen med andre bestemmer
formålet med behandlingen av personopplysninger og hvilke midler som
skal benyttes;
en fysisk eller juridisk person, offentlig myndighet, institusjon eller
ethvert annet organ som behandler personopplysninger på vegne av
den behandlingsansvarlige,
Personopplysning
Den registrerte
Behandlings-
ansvarlig
Databehandler
Behandling
Advokatfirmaet Haavind AS
Alle virksomheter får nye plikter
Alle må ha en oversikt og sørge for at behandlingen skjer lovlig
Skal gi forståelig informasjon om hvordan de bruker personopplysninger
Må vurdere risiko og personvernkonsekvenser
Dokumentasjon og internkontroll
Bygge personvern inn i systemer og løsninger («privacy by design»)
Mange virksomheter må opprette personvernombud
Alle databehandlere får nye plikter (utvidet anvendelsesområde)
Nye krav til avvikshåndtering – plikt til å melde fra om brudd på personvernregler innen gitte frister
Alle virksomheter må kunne oppfylle borgernes nye rettigheter
Advokatfirmaet Haavind AS
Rettigheter for de registrerte
De registrerte – brukere, leietakernes ansatte, besøkende, egne
ansatte osv.
Klare og styrkede rettigheter – og noen nye
Rett til informasjon
Rett til innsyn
Retting og sletting
Rett til å begrense behandling
Retten til å bli glemt
Dataportabilitet
Motsette seg profilering
Få beskjed hvis noe går galt
Justisdepartementet foreslår å videreføre dagens (særnorske) regler
om innsyn i e-post og kameraovervåkning
Advokatfirmaet Haavind AS
Hva er nytten?
Legalt – rammebetingelser
«Compliance» - etterleve lover og regler
Kostnader (bøter og sanksjoner)
Risiko for tap av omdømme og kunder
Avvik og brudd kan medføre kostnader
Kommersielt og internt
Bygge tillitt internt og eksternt
Omdømme
Når alle kjenner rammebetingelsene, er det letter
å drive utvikling av nye tjenester og konsepter
Konkurransemessig fortrinn – kan analyse av big
data gir dere noen fordeler?
Beskytte digitale verdier – fremtidige inntektskilder
eller forretningsdrivere?
Advokatfirmaet Haavind AS
Rammebetingelsene – hvordan skaffe seg «licence to play»
Sørg for et lovlig grunnlag for behandlingen som gjøres. Innhent samtykke fra brukeren.
Oppfyll de grunnleggende prinsippene og forordningens regler:
Lovlig, rettferdig og transparent
For et spesifikt formål
Ikke mer enn nødvendig (dataminimering)
Korrekt og oppdatert
Lagres ikke lengre enn nødvendig
Behandles sikkert
Ha kontroll ! Er ansvarlig for og skal kunne dokumentere at kravene overholdes.
Advokatfirmaet Haavind AS
1. Ha oversikt over roller, ansvar og rettigheter
Behandlingsansvarlig eller databehandler?
Ny lov stiller krav til tydelig fordeling og
dokumentasjon av ansvar mellom selskaper som
utleverer opplysninger til hverandre eller som er
leverandører av tjenester.
Leietakere vil som hovedregel være
behandlingsansvarlige for brukere
Eiendomsforvaltere vil ofte være databehandlere
for flere leietakere
I tillegg har eiendomsselskapet ofte en database
med leiekontrakter og andre kontrakter knyttet til
eierskap og forvaltning av næringseiendom, for
eksempel:
eksterne forvaltningsselskap,
vaktselskap, IT-leverandør,
Vakt og sikring
Osv.
Ansvarsforhold og rettigheter mellom aktørene må
være regulert i en avtale.
I tillegg må selskapene har interne rutiner hvor
hvordan personopplysninger behandles i tråd med
databehandleravtalen.
Eksempel: Adgangskontroll.
Advokatfirmaet Haavind AS
Behandlingsansvarlig eller databehandler?
Selskap/arbeidsgiver
Underleverandører, eks. IT-drift,
CRM-system, HR-system,
utvikling og drift av web
applikasjoner,
osv.
Eiendomsutvikler
Tjenesteleverandør
LeietakerBehandlingsansvarlig
- Bestemmer formålet med behandlingen
Databehandler- Behandler på vegne av
behandlingsansvarlig
Databehandler- Behandler på vegne av
behandlingsansvarlig
Advokatfirmaet Haavind AS
Eksempler:
Aktivitet Rolle Ansvar, for eksempel
Eiendomsselskapet som
arbeidsgiver for egne ansatte
Behandlingsansvarlig • Fullt ansvar etter ny lovgivning. Ansvar
overfor de ansatte og tilsynsmyndigheter
Leietaker som kjøper av
tjenester fra forskjellige
leverandører
Behandlingsansvarlig • Fullt ansvar etter ny lovgivning.
Leverandør av tjenester til
leietakere og deres brukere
Databehandler • Databehandlere har direkte forpliktelser
etter nytt regelverk, både overfor
kunden, de registrerte og
tilsynsmyndigheter
Eiendomsselskapet som
tilrettelegger for felles
applikasjoner og tjenester for
brukere av bygg
Databehandler eller
behandlingsansvarlig?
• Ansvar må klargjøres overfor leietakere
og brukere
Advokatfirmaet Haavind AS
2: Ha oversikt over behandlingsaktivitetene
Et ubetinget krav for selskap med mer enn 250 ansatte
Kravet gjelder også for mindre selskaper hvis behandlingen
trolig vil medføre en risiko for de registrertes rettigheter og friheter,
ikke skjer leilighetsvis eller
omfatter særlige kategorier av opplysninger eller personopplysninger som straffedommer og
straffbare forhold
I praksis må også små virksomheter ha viss oversikt – for å kunne oppfylle øvrige krav
Det kreves at databehandleren har en tilsvarende oversikt med noen få unntak.
Advokatfirmaet Haavind AS
Eksempel på enkel kartlegging
Advokatfirmaet Haavind AS
3. Sørg for at behandlingen er lovlig og for et fastsatt formål
Databehandler = behandling må skje i samsvar med databehandleravtale og lov
Behandlingsansvar = må sørge for lovlig behandlingsgrunnlag og behandle personopplysninger
i samsvar med lov
Når må brukeren gi samtykke?
Advokatfirmaet Haavind AS
4: Vær transparent
Gi informasjon – uoppfordret
Ett formål med GDPR er å sette individer i stand til å vite hva opplysningene om dem benyttes
til
Den som samler personopplysninger skal tydelig informere om hvilke opplysninger de samler
og til hvilke formål de skal brukes
Den som er registrert har også rett til å kreve innsyn i hvilke opplysninger enhver aktør
behandler om dem, samt rett til å kreve disse opplysningene rettet, slettet eller utlevert
Advokatfirmaet Haavind AS
5. Ivareta brukerens personvern
Innebygd personvern betyr at det tas hensyn
til personvern i alle utviklingsfaser av et
system eller en løsning
Skal være standardinnstilling
Tekniske og organisatoriske tiltak
Sikre effektiv gjennomføring av prinsippene
for vern av personopplysninger
Advokatfirmaet Haavind AS
6. Sørg for god informasjonssikkerhet
Personvern og informasjonssikkerhet
– hånd i hånd
Konfidensialitet
Integritet
Tilgjengelighet
Robusthet
Advokatfirmaet Haavind AS
Internkontroll og informasjonssikkerhet
Kartlegging og oversikt
Risikovurdering
Internkontroll og dokumentasjon
Informasjonssikkerhet
Kilde: www.datatilsynet.no
Veileder nytt regelverk: https://www.datatilsynet.no/regelverk-og-
skjema/veiledere/virksomhetens-ansvar-etter-nytt-regelverk/
Advokatfirmaet Haavind AS
Strengere forpliktelser ved avvik
Rapport til myndighetene innen 72 timer fra avviket ble oppdaget
Fristen for databehandler til å rapporterer til behandlingsansvarlig
må i praksis være kortere
Hvem som rapporterer til Datatilsynet må være avklart i
databehandleravtalen
Informasjon til de registrerte – kan være nødvendig
Må ha felles rutiner i virksomheten for rapportering – hvem gjør hva,
når og hvordan?
Advokatfirmaet Haavind AS
7. Still krav til leverandørene (databehandlere)
Leverandører som behandler personopplysninger på vegne av en behandlingsansvarlig skal
være underlagt en skriftlig databehandleravtale
Ta ansvar for leverandørkjeden
Nytt krav: Kan bare bruke databehandlere som kan garantere at de har implementert
tilstrekkelig tekniske og organisatoriske løsninger for å sikre etterlevelse av regelverket
Behandlingsansvarlig må godkjenne databehandlers bruk av underleverandører
Innfrir leverandøren kravene i forordningen?
Hva tilbys av funksjonalitet i systemer og prosesser?
Detaljerte krav til innholdet i databehandleravtalen
Bruke kontrakten aktivt og følge opp leverandørene
Advokatfirmaet Haavind AS
Hvem leverer tjenesten og er ansvarlig
Utleier og leietaker(e) må avklare ansvarsfordeling
Krav etter nytt regelverk
Foreslått særlige regler for kameraovervåkning på
arbeidsplass
8. Adgangskontroll og kameraovervåkning
Advokatfirmaet Haavind AS
GDPR: Ti steg for å komme i gang
1. Skaff deg oversikt over regelverket og hvilke forpliktelser som vil
gjelde for din virksomhet. Planlegg godt og sett i gang nå - så
rekker dere det. Sørg for tilstrekkelig forankring og forståelse i
ledelsen og berørte deler av organisasjonen.
2. Etabler en arbeidsgruppe med fokus på GDPR
3. Lag en oversikt over hvilke personopplysninger virksomheten
behandler, dataflyt og om behandlingen skjer på en lovlig måte.
4. Sjekk om du har tilstrekkelig lovlig grunnlag for den behandlingen
som dere foretar, for eksempel om det er nødvendig å innhente nytt
samtykke fra brukere eller kunder.
5. Ta kontakt med partnere og underleverandører. Sørg for å ha
nødvendige avtaler på plass, og oppdater eksisterende om
nødvendig. En underleverandør kan ikke behandle
personopplysninger på annen måte enn det som er avtalt med den
behandlingsansvarlige.
6. Sjekk om dere overfører data til utlandet utenfor EU/EØS – internt
eller eksternt, og om denne overføringen er lovlig. EUs
Standardavtaler kan i mange tilfeller brukes.
7. Sørg for at informasjonen til ansatte, brukere, kunder osv. er god –
sjekk om dere trenger en personvernerklæring.
8. Vurdere om dere er pålagt å ha et personvernombud.
9. Sørg for god informasjonssikkerhet, innebygd personvern og
kontroll på tilganger
Få oversikt over risikofaktorene ved å gjennomføre en
risikovurdering, eventuelt en personvernkonsekvensvurdering
hvis det er påkrevd.
Vurdere om dere har plikt til å konsultere Datatilsynet, for
eksempel ved behandlinger som medfører høy risiko for de
registrertes rettigheter.
10. Sørg for å ha et system for internkontroll, rutiner for behandling av
avvik og dokumentasjon. Her kan du lese mer om virksomhetens
ansvar (fra Datatilsynet).
Advokatfirmaet Haavind AS
Eksempel på arbeidsplan
Kartlegging Analyse Tiltak Implemen-tering Drift Governance
Fastlegg arbeidets
mål og omfang
Hvem skal delta?
Forankre og
informere internt
Utarbeide
prosjektplan
Kartlegg
behandlings-
aktiviteter, systemer
og dataflyt
Kartlegg partnere og
leverandører
Vurdere
regeletterlevelse og
evt. foreta en
juridiske GAP-
analyse
Planlegg oppgaver
og tiltak som er
identifisert i
analysefasen
Gjennomfør og løs
oppgaver
Etabler eller oppdater
dokumentasjon
Fastsett kontrollmål
Designe prosesser
og kontroller til
risikobasert sikring av
fremtidig etterlevelseIntern opplæring og
oppmerksom-
hetsskapende
aktiviteter
Implementer
prosesser/kontroller
Daglig etterlevelse av
prosesser og
kontroller
Egenkontroll
Overordnet styring og
løpende forbedring
av prosesser og
kontroller
Planlegging
Forstå kundenes/
brukernes/
ansattes behov og
interesser
Risikovurdering
Advokatfirmaet Haavind AS
Personvern i det daglige når alt er på plass
Noen sjekkpunkter er det smart å ha.
Eksempler:
Innføring av ny teknologi
Inngåelse av nye avtaler med underleverandører
Bruk av skytjenester
Bruk av teknologi som kan oppfattes som særlig inngripende eller kontrollerende, eksempelvis
sporingsteknologi, intelligent videoanalyse, stemmegjenkjenning osv.
Deling av opplysninger med samarbeidspartnere eller andre
Sammenstilling av datasett og bruk av personopplysninger til nye formål
Formål som tilgodeser en tredjepart, for eksempel samarbeidspartner.
Overføring av personopplysninger til utlandet
Takk for oss!
Erling Marcussen Timm
Advokat og partner
+47 920 42 471
Kari Gimmingsrud
Advokat og partner
+47 922 91 006
Løsninger finnes#haavindtech