Smarte bygg Seminar 8. februar 2018
Velkommen 1. Velkommen v/ advokat Erling M. Timm 2. Entras tilnærming v/ Sonja Horn, Direktør for digitalisering og forretningsutvikling i Entra 3. Hva betyr EUs nye personvernforordning for eiendomsbransjen og hvilke muligheter ligger i den?
Proptech hva er det? Real Estate FinTech Delingsøkonomi Smarte bygg Informasjon Ja Ja Ja Transaksjon/marked Ja Ja Styring/kontroll Ja Eksempler på bruk Finn.no Crowdfunding Investeringsverktøy Utviklingsanalyse Coworking Airbnb Fri flyt parkering Adgangskontroll Inneklima Lysstyring
Proptech hva er det? Smart Real Estate PropTech Real Estate FinTech FinTech Shared economy
Nye personvernregler Er det relevant for eiendomsbransjen?
Teknologi driver utviklingen The Economist, mai 2017
Plattformer og digitalisering
Orbital insight
Smarte bygg Bygg inneholder stadig mer informasjonsteknologi. Fra tidligere kun ganske enkle styringssystemer for varme, ventilasjon og heis ser vi at systemene blir flere, mer avanserte, at de spiller sammen og med omverdenen. Det gjør at følgende problemstillinger blir mer aktuelle Trygghet for at nødvendige systemer har fornuftig levetid og at det er tatt høyde for at systemene kan byttes ut For systemer som er tilgjengelige fra utsiden - informasjonssikkerhet Trygghet for at nødvendige systemer er tilgjengelige (SLA) Ansvarsforhold ved feil på styringsystemer For systemer som behandler personopplysninger personvern og rettigheter til bruk av data Mekanismer som gjør at avtaler knyttet til styringsystemer kan følge bygget ved kjøp og salg Bygg genererer store menger data både persondata og andre data Hvilke krav stiller EUs nye personvernforordning til eiendomsutvikleren, leietakeren og tjenesteleverandøren.
Smarte bygg Utstyr og installasjoner Teknologi og software integreres i byggets kjerne Personvern Fellesfunksjoner og partnerskap Sikkerhet og informasjonssikkerhet Kostnader og finansiering Inntekter fra tjenester Når teknologien svikter Hvem er ansvarlig? Energiforvaltning
Tjenester Applikasjoner med tilgang til tjenester fra interne og eksterne leverandører Inneholder gjerne også et element av markedsføring, for eksempel nabolags tilbud, tilbud fra kaffebar osv. Lokasjonsteknologi og sensorer Flere som leverer tjenester til og sanker data fra samme enhet Informasjon til brukerne Hvem må innhente samtykke til hva? Hvem er ansvarlig og hvem har rett til å bruke personopplysningene? Foto Philips Lightning
Persondata i et bygg Noen eksempler: Hva med fremtiden? Informasjon om leietakere og kjøpere (leie- og boligkontrakter) Wifi i fellesareal Web applikasjoner for brukerne av bygget for enklere tjenester, for eksempel besøksregistrering og møtebooking Kameraovervåkning og adgangskontroll Parkering og skiltavlesing Lokaliseringsteknologi som GPS, beacons etc. Sensorer og IoT IT systemer Systemer for overvåkning av næringsbygg (sensorer) Sosiale medier Ansattes persondata (adgangskontroll, kantine osv.) Osv. Smarte bygg og smart by alt kan kobles til alt med mulighetene det gir til å samle og analysere data Økende bruk av sensorteknologi og IoT Digitalisering og automatisering av prosesser Vedlikehold Sikkerhet Logistikk og effektivisering osv. Individuelt tilpassede og brukerstyrte løsninger for leietakere Eiendommene har potensiale til å samle inn og behandle store mengder data i fremtiden, også data som alene eller sammen med andre datasett kan brukes til å identifisere enkeltpersoner
Hvordan kan eiendomsbransjen tilpasse seg for å ta i bruk mulighetene som ligger i å samle inn og analysere data fra bygg?
EUs personvernforordning (GDPR) Trer i kraft i EU 25. mai 2018 og vil bli gjort gjeldende i Norge gjennom EØS-avtalen «One continent one law» og «One stop shop» GDPR er et oppdatert rammeverk for lovlig behandling av personopplysninger Foreslått i å gjelde i Norge gjennom egen lov Noen nasjonale tilpasninger Gjelder for behandling av personopplysninger om fysiske personer, ikke selskaper GDPR er mye mer enn bare juss og IT
Grunnbegreper Personopplysning enhver opplysning om en identifisert eller identifiserbar fysisk person («den registrerte») Behandling enhver operasjon eller rekke av operasjoner som gjøres med personopplysninger, enten automatisert eller ikke, f.eks. innsamling, registrering, organisering, strukturering, lagring, endring Den registrerte Behandlingsansvarlig en identifisert eller identifiserbar fysisk person en fysisk eller juridisk person, en offentlig myndighet, en institusjon eller ethvert annet organ som alene eller sammen med andre bestemmer formålet med behandlingen av personopplysninger og hvilke midler som skal benyttes; Databehandler en fysisk eller juridisk person, offentlig myndighet, institusjon eller ethvert annet organ som behandler personopplysninger på vegne av den behandlingsansvarlige,
Alle virksomheter får nye plikter Alle må ha en oversikt og sørge for at behandlingen skjer lovlig Skal gi forståelig informasjon om hvordan de bruker personopplysninger Må vurdere risiko og personvernkonsekvenser Dokumentasjon og internkontroll Bygge personvern inn i systemer og løsninger («privacy by design») Mange virksomheter må opprette personvernombud Alle databehandlere får nye plikter (utvidet anvendelsesområde) Nye krav til avvikshåndtering plikt til å melde fra om brudd på personvernregler innen gitte frister Alle virksomheter må kunne oppfylle borgernes nye rettigheter
Rettigheter for de registrerte De registrerte brukere, leietakernes ansatte, besøkende, egne ansatte osv. Klare og styrkede rettigheter og noen nye Rett til informasjon Rett til innsyn Retting og sletting Rett til å begrense behandling Retten til å bli glemt Dataportabilitet Motsette seg profilering Få beskjed hvis noe går galt Justisdepartementet foreslår å videreføre dagens (særnorske) regler om innsyn i e-post og kameraovervåkning
Hva er nytten? Legalt rammebetingelser Kommersielt og internt «Compliance» - etterleve lover og regler Kostnader (bøter og sanksjoner) Risiko for tap av omdømme og kunder Avvik og brudd kan medføre kostnader Bygge tillitt internt og eksternt Omdømme Når alle kjenner rammebetingelsene, er det letter å drive utvikling av nye tjenester og konsepter Konkurransemessig fortrinn kan analyse av big data gir dere noen fordeler? Beskytte digitale verdier fremtidige inntektskilder eller forretningsdrivere?
Rammebetingelsene hvordan skaffe seg «licence to play» Sørg for et lovlig grunnlag for behandlingen som gjøres. Innhent samtykke fra brukeren. Oppfyll de grunnleggende prinsippene og forordningens regler: Lovlig, rettferdig og transparent For et spesifikt formål Ikke mer enn nødvendig (dataminimering) Korrekt og oppdatert Lagres ikke lengre enn nødvendig Behandles sikkert Ha kontroll! Er ansvarlig for og skal kunne dokumentere at kravene overholdes.
1. Ha oversikt over roller, ansvar og rettigheter Behandlingsansvarlig eller databehandler? Ny lov stiller krav til tydelig fordeling og dokumentasjon av ansvar mellom selskaper som utleverer opplysninger til hverandre eller som er leverandører av tjenester. Leietakere vil som hovedregel være behandlingsansvarlige for brukere Eiendomsforvaltere vil ofte være databehandlere for flere leietakere I tillegg har eiendomsselskapet ofte en database med leiekontrakter og andre kontrakter knyttet til eierskap og forvaltning av næringseiendom, for eksempel: eksterne forvaltningsselskap, vaktselskap, IT-leverandør, Vakt og sikring Osv. Ansvarsforhold og rettigheter mellom aktørene må være regulert i en avtale. I tillegg må selskapene har interne rutiner hvor hvordan personopplysninger behandles i tråd med databehandleravtalen. Eksempel: Adgangskontroll.
Behandlingsansvarlig eller databehandler? Selskap/arbeidsgiver Behandlingsansvarlig - Bestemmer formålet med behandlingen Leietaker Eiendomsutvikler Databehandler - Behandler på vegne av behandlingsansvarlig Databehandler - Behandler på vegne av behandlingsansvarlig Tjenesteleverandør Underleverandører, eks. IT-drift, CRM-system, HR-system, utvikling og drift av web applikasjoner, osv.
Eksempler: Aktivitet Rolle Ansvar, for eksempel Eiendomsselskapet som arbeidsgiver for egne ansatte Behandlingsansvarlig Fullt ansvar etter ny lovgivning. Ansvar overfor de ansatte og tilsynsmyndigheter Leietaker som kjøper av tjenester fra forskjellige leverandører Leverandør av tjenester til leietakere og deres brukere Behandlingsansvarlig Fullt ansvar etter ny lovgivning. Databehandler Databehandlere har direkte forpliktelser etter nytt regelverk, både overfor kunden, de registrerte og tilsynsmyndigheter Eiendomsselskapet som tilrettelegger for felles applikasjoner og tjenester for brukere av bygg Databehandler eller behandlingsansvarlig? Ansvar må klargjøres overfor leietakere og brukere
2: Ha oversikt over behandlingsaktivitetene Et ubetinget krav for selskap med mer enn 250 ansatte Kravet gjelder også for mindre selskaper hvis behandlingen trolig vil medføre en risiko for de registrertes rettigheter og friheter, ikke skjer leilighetsvis eller omfatter særlige kategorier av opplysninger eller personopplysninger som straffedommer og straffbare forhold I praksis må også små virksomheter ha viss oversikt for å kunne oppfylle øvrige krav Det kreves at databehandleren har en tilsvarende oversikt med noen få unntak.
Eksempel på enkel kartlegging
3. Sørg for at behandlingen er lovlig og for et fastsatt formål Databehandler = behandling må skje i samsvar med databehandleravtale og lov Behandlingsansvar = må sørge for lovlig behandlingsgrunnlag og behandle personopplysninger i samsvar med lov Når må brukeren gi samtykke?
4: Vær transparent Gi informasjon uoppfordret Ett formål med GDPR er å sette individer i stand til å vite hva opplysningene om dem benyttes til Den som samler personopplysninger skal tydelig informere om hvilke opplysninger de samler og til hvilke formål de skal brukes Den som er registrert har også rett til å kreve innsyn i hvilke opplysninger enhver aktør behandler om dem, samt rett til å kreve disse opplysningene rettet, slettet eller utlevert
5. Ivareta brukerens personvern Innebygd personvern betyr at det tas hensyn til personvern i alle utviklingsfaser av et system eller en løsning Skal være standardinnstilling Tekniske og organisatoriske tiltak Sikre effektiv gjennomføring av prinsippene for vern av personopplysninger
6. Sørg for god informasjonssikkerhet Personvern og informasjonssikkerhet hånd i hånd Konfidensialitet Integritet Tilgjengelighet Robusthet
Internkontroll og informasjonssikkerhet Kartlegging og oversikt Risikovurdering Internkontroll og dokumentasjon Informasjonssikkerhet Kilde: www.datatilsynet.no Veileder nytt regelverk: https://www.datatilsynet.no/regelverk-ogskjema/veiledere/virksomhetens-ansvar-etter-nytt-regelverk/
Strengere forpliktelser ved avvik Rapport til myndighetene innen 72 timer fra avviket ble oppdaget Fristen for databehandler til å rapporterer til behandlingsansvarlig må i praksis være kortere Hvem som rapporterer til Datatilsynet må være avklart i databehandleravtalen Informasjon til de registrerte kan være nødvendig Må ha felles rutiner i virksomheten for rapportering hvem gjør hva, når og hvordan?
7. Still krav til leverandørene (databehandlere) Leverandører som behandler personopplysninger på vegne av en behandlingsansvarlig skal være underlagt en skriftlig databehandleravtale Ta ansvar for leverandørkjeden Nytt krav: Kan bare bruke databehandlere som kan garantere at de har implementert tilstrekkelig tekniske og organisatoriske løsninger for å sikre etterlevelse av regelverket Behandlingsansvarlig må godkjenne databehandlers bruk av underleverandører Innfrir leverandøren kravene i forordningen? Hva tilbys av funksjonalitet i systemer og prosesser? Detaljerte krav til innholdet i databehandleravtalen Bruke kontrakten aktivt og følge opp leverandørene
8. Adgangskontroll og kameraovervåkning Hvem leverer tjenesten og er ansvarlig Utleier og leietaker(e) må avklare ansvarsfordeling Krav etter nytt regelverk Foreslått særlige regler for kameraovervåkning på arbeidsplass
GDPR: Ti steg for å komme i gang 1. Skaff deg oversikt over regelverket og hvilke forpliktelser som vil gjelde for din virksomhet. Planlegg godt og sett i gang nå - så rekker dere det. Sørg for tilstrekkelig forankring og forståelse i ledelsen og berørte deler av organisasjonen. 2. Etabler en arbeidsgruppe med fokus på GDPR 6. Sjekk om dere overfører data til utlandet utenfor EU/EØS internt eller eksternt, og om denne overføringen er lovlig. EUs Standardavtaler kan i mange tilfeller brukes. 7. Sørg for at informasjonen til ansatte, brukere, kunder osv. er god sjekk om dere trenger en personvernerklæring. 3. Lag en oversikt over hvilke personopplysninger virksomheten behandler, dataflyt og om behandlingen skjer på en lovlig måte. 4. Sjekk om du har tilstrekkelig lovlig grunnlag for den behandlingen som dere foretar, for eksempel om det er nødvendig å innhente nytt samtykke fra brukere eller kunder. 5. Ta kontakt med partnere og underleverandører. Sørg for å ha nødvendige avtaler på plass, og oppdater eksisterende om nødvendig. En underleverandør kan ikke behandle personopplysninger på annen måte enn det som er avtalt med den behandlingsansvarlige. 8. Vurdere om dere er pålagt å ha et personvernombud. 9. Sørg for god informasjonssikkerhet, innebygd personvern og kontroll på tilganger Få oversikt over risikofaktorene ved å gjennomføre en risikovurdering, eventuelt en personvernkonsekvensvurdering hvis det er påkrevd. Vurdere om dere har plikt til å konsultere Datatilsynet, for eksempel ved behandlinger som medfører høy risiko for de registrertes rettigheter. 10. Sørg for å ha et system for internkontroll, rutiner for behandling av avvik og dokumentasjon. Her kan du lese mer om virksomhetens ansvar (fra Datatilsynet).
Eksempel på arbeidsplan Planlegging Kartlegging Analyse Tiltak Implemen-tering Drift Governance Fastlegg arbeidets mål og omfang Hvem skal delta? Forankre og informere internt Utarbeide prosjektplan Kartlegg behandlingsaktiviteter, systemer og dataflyt Kartlegg partnere og leverandører Forstå kundenes/ brukernes/ ansattes behov og interesser Vurdere regeletterlevelse og evt. foreta en juridiske GAPanalyse Risikovurdering Planlegg oppgaver og tiltak som er identifisert i analysefasen Fastsett kontrollmål Gjennomfør og løs oppgaver Implementer prosesser/kontroller Intern opplæring og oppmerksomhetsskapende aktiviteter Etabler eller oppdater dokumentasjon Daglig etterlevelse av prosesser og kontroller Designe prosesser og kontroller til risikobasert sikring av fremtidig etterlevelse Overordnet styring og løpende forbedring av prosesser og kontroller Egenkontroll
Personvern i det daglige når alt er på plass Noen sjekkpunkter er det smart å ha. Eksempler: Innføring av ny teknologi Inngåelse av nye avtaler med underleverandører Bruk av skytjenester Bruk av teknologi som kan oppfattes som særlig inngripende eller kontrollerende, eksempelvis sporingsteknologi, intelligent videoanalyse, stemmegjenkjenning osv. Deling av opplysninger med samarbeidspartnere eller andre Sammenstilling av datasett og bruk av personopplysninger til nye formål Formål som tilgodeser en tredjepart, for eksempel samarbeidspartner. Overføring av personopplysninger til utlandet
Takk for oss! Erling Marcussen Timm Advokat og partner +47 920 42 471 e.timm@haavind.no Kari Gimmingsrud Advokat og partner +47 922 91 006 k.gimmingsrud@haavind.no
Løsninger finnes #haavindtech