Smarte bygg Seminar 8. februar 2018 - Haavind...EUs personvernforordning (GDPR) Trer i kraft i EU...

Smarte bygg

Seminar 8. februar 2018

Advokatfirmaet Haavind AS

Velkommen

1. Velkommen v/ advokat Erling M. Timm

2. Entras tilnærming v/ Sonja Horn, Direktør for digitalisering og

forretningsutvikling i Entra

3. Hva betyr EUs nye personvernforordning for eiendomsbransjen og

hvilke muligheter ligger i den?


Proptech – hva er det?

Real Estate FinTech Delingsøkonomi Smarte bygg

Informasjon Ja Ja Ja

Transaksjon/marked Ja Ja

Styring/kontroll Ja

Eksempler på bruk Finn.no

Crowdfunding

Investeringsverktøy

Utviklingsanalyse

Coworking

Airbnb

Fri flyt parkering

Adgangskontroll

Inneklima

Lysstyring


Proptech – hva er det?

Smart

Real

Estate

Shared

economy

PropTech FinTechReal Estate

FinTech

Nye personvernreglerEr det relevant for eiendomsbransjen?


Teknologi driver utviklingen

The Economist, mai 2017


Plattformer og digitalisering


Orbital insight


Smarte bygg

Bygg inneholder stadig mer informasjonsteknologi. Fra tidligere kun ganske enkle styringssystemer for

varme, ventilasjon og heis ser vi at systemene blir flere, mer avanserte, at de spiller sammen og med

omverdenen.

Det gjør at følgende problemstillinger blir mer aktuelle

Trygghet for at nødvendige systemer har fornuftig levetid og at det er tatt høyde for at systemene kan

byttes ut

For systemer som er tilgjengelige fra utsiden - informasjonssikkerhet

Trygghet for at nødvendige systemer er tilgjengelige (SLA)

Ansvarsforhold ved feil på styringsystemer

For systemer som behandler personopplysninger – personvern og rettigheter til bruk av data

Mekanismer som gjør at avtaler knyttet til styringsystemer kan følge bygget ved kjøp og salg

Bygg genererer store menger data – både persondata og andre data

Hvilke krav stiller EUs nye personvernforordning til eiendomsutvikleren, leietakeren og

tjenesteleverandøren.


Fellesfunksjoner og

partnerskap

Kostnader og finansieringInntekter fra tjenester

Energiforvaltning

Teknologi og software

integreres i byggets kjerne

Personvern

Sikkerhet og

informasjonssikkerhet

Når teknologien svikterHvem er ansvarlig?

Utstyr og installasjoner

Smarte bygg


Tjenester

Applikasjoner med tilgang til tjenester fra interne og eksterne leverandører

Inneholder gjerne også et element av markedsføring, for eksempel nabolags tilbud, tilbud fra kaffebar osv.

Lokasjonsteknologi og sensorer

Flere som leverer tjenester til og sanker data fra samme enhet

Informasjon til brukerne

Hvem må innhente samtykke til hva?

Hvem er ansvarlig og hvem har rett til å bruke personopplysningene?

Foto Philips Lightning


Persondata i et bygg

Noen eksempler:

Informasjon om leietakere og kjøpere (leie- og

boligkontrakter)

Wifi i fellesareal

Web applikasjoner for brukerne av bygget for enklere

tjenester, for eksempel besøksregistrering og

møtebooking

Kameraovervåkning og adgangskontroll

Parkering og skiltavlesing

Lokaliseringsteknologi som GPS, beacons etc.

Sensorer og IoT

IT systemer

Systemer for overvåkning av næringsbygg (sensorer)

Sosiale medier

Ansattes persondata (adgangskontroll, kantine osv.)

Osv.

Hva med fremtiden?

Smarte bygg og smart by – alt kan kobles til alt – med

mulighetene det gir til å samle og analysere data

Økende bruk av sensorteknologi og IoT

Digitalisering og automatisering av prosesser

Vedlikehold

Sikkerhet

Logistikk og effektivisering osv.

Individuelt tilpassede og brukerstyrte løsninger for

leietakere

Eiendommene har potensiale til å samle inn og behandle

store mengder data i fremtiden, også data som alene eller

sammen med andre datasett kan brukes til å identifisere

enkeltpersoner


Hvordan kan eiendomsbransjen tilpasse

seg for å ta i bruk mulighetene som ligger i

å samle inn og analysere data fra bygg?


EUs personvernforordning (GDPR)

Trer i kraft i EU 25. mai 2018 og vil bli gjort gjeldende i Norge

gjennom EØS-avtalen

«One continent one law» og «One stop shop»

GDPR er et oppdatert rammeverk for lovlig behandling av

personopplysninger

Foreslått i å gjelde i Norge gjennom egen lov

Noen nasjonale tilpasninger

Gjelder for behandling av personopplysninger om fysiske

personer, ikke selskaper

GDPR er mye mer enn bare juss og IT


Grunnbegreper

enhver opplysning om en identifisert eller identifiserbar fysisk person

(«den registrerte»)

enhver operasjon eller rekke av operasjoner som gjøres med

personopplysninger, enten automatisert eller ikke, f.eks. innsamling,

registrering, organisering, strukturering, lagring, endring

en identifisert eller identifiserbar fysisk person

en fysisk eller juridisk person, en offentlig myndighet, en institusjon eller

ethvert annet organ som alene eller sammen med andre bestemmer

formålet med behandlingen av personopplysninger og hvilke midler som

skal benyttes;

en fysisk eller juridisk person, offentlig myndighet, institusjon eller

ethvert annet organ som behandler personopplysninger på vegne av

den behandlingsansvarlige,

Personopplysning

Den registrerte

Behandlings-

ansvarlig

Databehandler

Behandling


Alle virksomheter får nye plikter

Alle må ha en oversikt og sørge for at behandlingen skjer lovlig

Skal gi forståelig informasjon om hvordan de bruker personopplysninger

Må vurdere risiko og personvernkonsekvenser

Dokumentasjon og internkontroll

Bygge personvern inn i systemer og løsninger («privacy by design»)

Mange virksomheter må opprette personvernombud

Alle databehandlere får nye plikter (utvidet anvendelsesområde)

Nye krav til avvikshåndtering – plikt til å melde fra om brudd på personvernregler innen gitte frister

Alle virksomheter må kunne oppfylle borgernes nye rettigheter


Rettigheter for de registrerte

De registrerte – brukere, leietakernes ansatte, besøkende, egne

ansatte osv.

Klare og styrkede rettigheter – og noen nye

Rett til informasjon

Rett til innsyn

Retting og sletting

Rett til å begrense behandling

Retten til å bli glemt

Dataportabilitet

Motsette seg profilering

Få beskjed hvis noe går galt

Justisdepartementet foreslår å videreføre dagens (særnorske) regler

om innsyn i e-post og kameraovervåkning


Hva er nytten?

Legalt – rammebetingelser

«Compliance» - etterleve lover og regler

Kostnader (bøter og sanksjoner)

Risiko for tap av omdømme og kunder

Avvik og brudd kan medføre kostnader

Kommersielt og internt

Bygge tillitt internt og eksternt

Omdømme

Når alle kjenner rammebetingelsene, er det letter

å drive utvikling av nye tjenester og konsepter

Konkurransemessig fortrinn – kan analyse av big

data gir dere noen fordeler?

Beskytte digitale verdier – fremtidige inntektskilder

eller forretningsdrivere?


Rammebetingelsene – hvordan skaffe seg «licence to play»

Sørg for et lovlig grunnlag for behandlingen som gjøres. Innhent samtykke fra brukeren.

Oppfyll de grunnleggende prinsippene og forordningens regler:

Lovlig, rettferdig og transparent

For et spesifikt formål

Ikke mer enn nødvendig (dataminimering)

Korrekt og oppdatert

Lagres ikke lengre enn nødvendig

Behandles sikkert

Ha kontroll ! Er ansvarlig for og skal kunne dokumentere at kravene overholdes.


1. Ha oversikt over roller, ansvar og rettigheter

Behandlingsansvarlig eller databehandler?

Ny lov stiller krav til tydelig fordeling og

dokumentasjon av ansvar mellom selskaper som

utleverer opplysninger til hverandre eller som er

leverandører av tjenester.

Leietakere vil som hovedregel være

behandlingsansvarlige for brukere

Eiendomsforvaltere vil ofte være databehandlere

for flere leietakere

I tillegg har eiendomsselskapet ofte en database

med leiekontrakter og andre kontrakter knyttet til

eierskap og forvaltning av næringseiendom, for

eksempel:

eksterne forvaltningsselskap,

vaktselskap, IT-leverandør,

Vakt og sikring

Osv.

Ansvarsforhold og rettigheter mellom aktørene må

være regulert i en avtale.

I tillegg må selskapene har interne rutiner hvor

hvordan personopplysninger behandles i tråd med

databehandleravtalen.

Eksempel: Adgangskontroll.


Behandlingsansvarlig eller databehandler?

Selskap/arbeidsgiver

Underleverandører, eks. IT-drift,

CRM-system, HR-system,

utvikling og drift av web

applikasjoner,

osv.

Eiendomsutvikler

Tjenesteleverandør

LeietakerBehandlingsansvarlig

- Bestemmer formålet med behandlingen

Databehandler- Behandler på vegne av

behandlingsansvarlig

Databehandler- Behandler på vegne av

behandlingsansvarlig


Eksempler:

Aktivitet Rolle Ansvar, for eksempel

Eiendomsselskapet som

arbeidsgiver for egne ansatte

Behandlingsansvarlig • Fullt ansvar etter ny lovgivning. Ansvar

overfor de ansatte og tilsynsmyndigheter

Leietaker som kjøper av

tjenester fra forskjellige

leverandører

Behandlingsansvarlig • Fullt ansvar etter ny lovgivning.

Leverandør av tjenester til

leietakere og deres brukere

Databehandler • Databehandlere har direkte forpliktelser

etter nytt regelverk, både overfor

kunden, de registrerte og

tilsynsmyndigheter

Eiendomsselskapet som

tilrettelegger for felles

applikasjoner og tjenester for

brukere av bygg

Databehandler eller

behandlingsansvarlig?

• Ansvar må klargjøres overfor leietakere

og brukere


2: Ha oversikt over behandlingsaktivitetene

Et ubetinget krav for selskap med mer enn 250 ansatte

Kravet gjelder også for mindre selskaper hvis behandlingen

trolig vil medføre en risiko for de registrertes rettigheter og friheter,

ikke skjer leilighetsvis eller

omfatter særlige kategorier av opplysninger eller personopplysninger som straffedommer og

straffbare forhold

I praksis må også små virksomheter ha viss oversikt – for å kunne oppfylle øvrige krav

Det kreves at databehandleren har en tilsvarende oversikt med noen få unntak.


Eksempel på enkel kartlegging


3. Sørg for at behandlingen er lovlig og for et fastsatt formål

Databehandler = behandling må skje i samsvar med databehandleravtale og lov

Behandlingsansvar = må sørge for lovlig behandlingsgrunnlag og behandle personopplysninger

i samsvar med lov

Når må brukeren gi samtykke?


4: Vær transparent

Gi informasjon – uoppfordret

Ett formål med GDPR er å sette individer i stand til å vite hva opplysningene om dem benyttes

til

Den som samler personopplysninger skal tydelig informere om hvilke opplysninger de samler

og til hvilke formål de skal brukes

Den som er registrert har også rett til å kreve innsyn i hvilke opplysninger enhver aktør

behandler om dem, samt rett til å kreve disse opplysningene rettet, slettet eller utlevert


5. Ivareta brukerens personvern

Innebygd personvern betyr at det tas hensyn

til personvern i alle utviklingsfaser av et

system eller en løsning

Skal være standardinnstilling

Tekniske og organisatoriske tiltak

Sikre effektiv gjennomføring av prinsippene

for vern av personopplysninger


6. Sørg for god informasjonssikkerhet

Personvern og informasjonssikkerhet

– hånd i hånd

Konfidensialitet

Integritet

Tilgjengelighet

Robusthet


Internkontroll og informasjonssikkerhet

Kartlegging og oversikt

Risikovurdering

Internkontroll og dokumentasjon

Informasjonssikkerhet

Kilde: www.datatilsynet.no

Veileder nytt regelverk: https://www.datatilsynet.no/regelverk-og-

skjema/veiledere/virksomhetens-ansvar-etter-nytt-regelverk/

http://www.datatilsynet.no/

https://www.datatilsynet.no/regelverk-og-skjema/veiledere/virksomhetens-ansvar-etter-nytt-regelverk/


Strengere forpliktelser ved avvik

Rapport til myndighetene innen 72 timer fra avviket ble oppdaget

Fristen for databehandler til å rapporterer til behandlingsansvarlig

må i praksis være kortere

Hvem som rapporterer til Datatilsynet må være avklart i

databehandleravtalen

Informasjon til de registrerte – kan være nødvendig

Må ha felles rutiner i virksomheten for rapportering – hvem gjør hva,

når og hvordan?


7. Still krav til leverandørene (databehandlere)

Leverandører som behandler personopplysninger på vegne av en behandlingsansvarlig skal

være underlagt en skriftlig databehandleravtale

Ta ansvar for leverandørkjeden

Nytt krav: Kan bare bruke databehandlere som kan garantere at de har implementert

tilstrekkelig tekniske og organisatoriske løsninger for å sikre etterlevelse av regelverket

Behandlingsansvarlig må godkjenne databehandlers bruk av underleverandører

Innfrir leverandøren kravene i forordningen?

Hva tilbys av funksjonalitet i systemer og prosesser?

Detaljerte krav til innholdet i databehandleravtalen

Bruke kontrakten aktivt og følge opp leverandørene


Hvem leverer tjenesten og er ansvarlig

Utleier og leietaker(e) må avklare ansvarsfordeling

Krav etter nytt regelverk

Foreslått særlige regler for kameraovervåkning på

arbeidsplass

8. Adgangskontroll og kameraovervåkning


GDPR: Ti steg for å komme i gang

1. Skaff deg oversikt over regelverket og hvilke forpliktelser som vil

gjelde for din virksomhet. Planlegg godt og sett i gang nå - så

rekker dere det. Sørg for tilstrekkelig forankring og forståelse i

ledelsen og berørte deler av organisasjonen.

2. Etabler en arbeidsgruppe med fokus på GDPR

3. Lag en oversikt over hvilke personopplysninger virksomheten

behandler, dataflyt og om behandlingen skjer på en lovlig måte.

4. Sjekk om du har tilstrekkelig lovlig grunnlag for den behandlingen

som dere foretar, for eksempel om det er nødvendig å innhente nytt

samtykke fra brukere eller kunder.

5. Ta kontakt med partnere og underleverandører. Sørg for å ha

nødvendige avtaler på plass, og oppdater eksisterende om

nødvendig. En underleverandør kan ikke behandle

personopplysninger på annen måte enn det som er avtalt med den

behandlingsansvarlige.

6. Sjekk om dere overfører data til utlandet utenfor EU/EØS – internt

eller eksternt, og om denne overføringen er lovlig. EUs

Standardavtaler kan i mange tilfeller brukes.

7. Sørg for at informasjonen til ansatte, brukere, kunder osv. er god –

sjekk om dere trenger en personvernerklæring.

8. Vurdere om dere er pålagt å ha et personvernombud.

9. Sørg for god informasjonssikkerhet, innebygd personvern og

kontroll på tilganger

Få oversikt over risikofaktorene ved å gjennomføre en

risikovurdering, eventuelt en personvernkonsekvensvurdering

hvis det er påkrevd.

Vurdere om dere har plikt til å konsultere Datatilsynet, for

eksempel ved behandlinger som medfører høy risiko for de

registrertes rettigheter.

10. Sørg for å ha et system for internkontroll, rutiner for behandling av

avvik og dokumentasjon. Her kan du lese mer om virksomhetens

ansvar (fra Datatilsynet).

https://www.datatilsynet.no/regelverk-og-skjema/veiledere/nytt-om-informasjonssikkerhet/?id=7200


Eksempel på arbeidsplan

Kartlegging Analyse Tiltak Implemen-tering Drift Governance

Fastlegg arbeidets

mål og omfang

Hvem skal delta?

Forankre og

informere internt

Utarbeide

prosjektplan

Kartlegg

behandlings-

aktiviteter, systemer

og dataflyt

Kartlegg partnere og

leverandører

Vurdere

regeletterlevelse og

evt. foreta en

juridiske GAP-

analyse

Planlegg oppgaver

og tiltak som er

identifisert i

analysefasen

Gjennomfør og løs

oppgaver

Etabler eller oppdater

dokumentasjon

Fastsett kontrollmål

Designe prosesser

og kontroller til

risikobasert sikring av

fremtidig etterlevelseIntern opplæring og

oppmerksom-

hetsskapende

aktiviteter

Implementer

prosesser/kontroller

Daglig etterlevelse av

prosesser og

kontroller

Egenkontroll

Overordnet styring og

løpende forbedring

av prosesser og

kontroller

Planlegging

Forstå kundenes/

brukernes/

ansattes behov og

interesser

Risikovurdering


Personvern i det daglige når alt er på plass

Noen sjekkpunkter er det smart å ha.

Eksempler:

Innføring av ny teknologi

Inngåelse av nye avtaler med underleverandører

Bruk av skytjenester

Bruk av teknologi som kan oppfattes som særlig inngripende eller kontrollerende, eksempelvis

sporingsteknologi, intelligent videoanalyse, stemmegjenkjenning osv.

Deling av opplysninger med samarbeidspartnere eller andre

Sammenstilling av datasett og bruk av personopplysninger til nye formål

Formål som tilgodeser en tredjepart, for eksempel samarbeidspartner.

Overføring av personopplysninger til utlandet

Takk for oss!

Erling Marcussen Timm

Advokat og partner

+47 920 42 471

[email protected]

Kari Gimmingsrud

Advokat og partner

+47 922 91 006

[email protected]

Løsninger finnes#haavindtech

Smarte bygg Seminar 8. februar 2018 - Haavind...EUs personvernforordning (GDPR) Trer i kraft i EU...

Documents

Transcript of Smarte bygg Seminar 8. februar 2018 - Haavind...EUs personvernforordning (GDPR) Trer i kraft i EU...