Smarte bygg Seminar 8. februar 2018

Like dokumenter
GDPR Hva er det og hva er nytt? Presentasjon fra GDPR-prosjektet hos Direktoratet for e-helse

KiNS seminar for fylkeskommunene Databehandleravtaler. Datatilsynet ved seniorrådgiver Ragnhild Castberg

Nye personvernregler fra mai Hva betyr det for din virksomhet? Advokat Sverre McSeveny-Åril og advokat Maja Glad Pedersen

GDPR Ny personvernforordning

Nye personvernregler fra mai Hva betyr det for din virksomhet? Advokat Sverre McSeveny-Åril og advokat Maja Glad Pedersen

Personvernforordningen Hva kommer og hva risikerer virksomhetene?

FÅ KONTROLL PÅ DE USTRUKTURERTE DATAENE

Personvern nytt landskap i #Oppdatert Tromsø 14. september 2017 Senioradvokat Simen Evensen Breen

EUs personvernforordning - hva kreves? #Oppdatert oktober, Radisson Blu Hotel, Bergen Partner advokat (H) Halfdan Mellbye

OM PERSONVERN TRONDHEIM. Mai 2018

GDPR - PERSONVERN. Advokat Sunniva Berntsen

Personvern i skyen Medlemsmøte i Cloud Security Alliance

POWEL DATABEHANDLERAVTALE

Nye personvernforordning - er vi klar? DFØ kundeforum 2017, Stavanger,

Ny EU-forordning: informasjonssikkerhet. Tommy Tranvik

Personopplysninger i leieforhold - illustrert ved eksemplet elektronisk adgangskontroll

GDPR og ny personvernlovgivning. Advokat (H) Torbjørn Saggau Holm

Nye personvernregler Gullik Gundersen juridisk rådgiver

REKRUTTERING OG GDPR

Personvernveileder. for medlemsbedrifter i Norges Bilbransjeforbund

Smarte bygg og personvern

Nye personvernregler

Personvernerklæring. 3) være adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles for («dataminimering»)

Nye personvernregler Hvordan blir organisasjonen i overensstemmelse med regelverket? Unicornis, 12. desember 2017

GDPR FOR EIENDOMSSELSKAPER

INFORMASJONSSIKKERHET & GDPR. Kundeforum 18.oktober

Implementering av det nye personvernregelverket ved UiB

Min bakgrunn: Jurist i 1994 og «IT-advokat» fra 1997 Personvernspørsmål har stadig blitt viktigere i den tiden...

Nytt personvernregelverk på 1-2-3

GDPR Prosjektgjennomføring Sjekkliste

Perspektiver og planer ved Universitetet i Oslo

Databehandleravtale mellom [Kunde] og Tibe T Reklamebyrå AS

Personvern - sjekkliste for databehandleravtale

Personvern og studieadministrasjon. Sadia Zaka Juridisk seniorrådgiver Unit

GDPR i et nøtteskall

Nye personvernregler fra 2018

Nye personvernregler fra mai 2018

Normkonferansen 2017 (GDPR) Juridisk opplæring personvern

Informasjonssikkerhet og internkontroll - hva er nytt med EUs personvernforordning

Databehandleravtale for NLF-medlemmer

CRM-løsninger i skyen - hva har du lov til å lagre?

Nye personvernregler

Nye personvernregler fra mai 2018 Personvern og medlemslister Knut B. Kaspersen - Datatilsynet 12. desember 2017

Nye personvernregler (GDPR)

NORID - Registrarseminar 26. april 2017

Forum for Kontroll og Tilsyn 27. mars 2019 Sekretariatskonferanse. Personvernombud Marianne Seim

Personvernforordningen

Avtale om behandling av personopplysninger (databehandleravtale) i forbindelse med <navn på tjeneste> (heretter omtalt som «avtalen»)

GDPR I DEN NORSKE OPERA & BALLETT. Spekter, 13. desember 2017

EUs nye forordning for personvern

GDPR. The General Data Protection Regulation. Ny personvernlov i Norge basert på EUs direktivet vedtatt 2016

Roller og ansvar. Hva er behandlingsansvarlig og hva er en databehandler? Thea Rølsåsen, faglig prosjektleder

Personvernforordningen

Hva gjør så KiNS og KS med GDPR?

Uansett hvor man står, ikke bli stående! Nye personvernregler fra mai 2018

Digital protokoll over behandlinger

Vurdering av personvernkonsekvenser, databehandleravtaler og avvik

SAK NR INFORMASJON OM TILPASNINGER TIL NY PERSONOPPLYSNINGSLOV MED FORORDNING (GDPR) STATUS I ARBEIDET I SYKEHUSET INNLANDET

Ny personvernforordning trer i kraft i mai 2018

Policy for personvern

Endringer i universitets- og høyskoleloven og EUs nye personvernforordning

GDPR Hva, hvordan og når

«GDPR i Bodø kommune» 22. januar 2019 Silje Valberg

Uansett hvor man står, ikke bli stående! Nye personvernregler fra mai 2018

EU'S NYE PERSONVERNREGLER 2018 GDPR (GENERAL DATA PROTECTION REGULATION)

Ny personvernforordning i EU/EØS GDPR (General Data Protection Regulations)

PERSONVERN INNFØRING I DAGENS REGELVERK OG NY FORORDNING

Nye personvernregler fra mai 2018

Sporveien AS standardvilkår for Databehandleravtaler Versjon Vedlegg 1 til Databehandleravtale mellom Sporveien AS og Databehandler

Personvern nytt landskap i Senioradvokat Simen Evensen Breen

Ny personvernforordning Er vi alle forberedt?

Vedlegg 3 til Kontrakt om Resttransport Romerike, Asker og Bærum og timesinnleide biler Nedre Romerike Databehandleravtale

GDPR - viktige prinsipper og rettigheter

Sikkerhet og personvern i skole og klasserom

Personopplysningsvern med ProFundo som databehandler

PERSONVERN I C-ITS

Prosedyre for personvern

Databehandleravtale. Charlotte Lindberg Difi

Personvern - vurdering av personvernkonsekvenser - DPIA

Personvern-rett H2016

GDPR og ny lov om personvern

EUs nye forordning for personvern

VEILEDER GDPR PERSONVERN. DEL 2 - personopplysninger utover ansatteforhold

Personvern nye krav etter GDPR. Stian F. Kristensen seniorrådgiver, SBU

Ny personopplysningslov. Per Bruvold Sikkerhetssjef/Personvernombud UNN, KVALUT oktober 2018

Skatteetatens prosjekt personvernforordningen Personvern i samarbeid med våre leverandører, hvem gjør hva?

Databehandleravtale. Båttjenester Indre Oslofjord Kapittel 9. Versjon Båttjenester Indre Oslofjord 2021

GDPR - Ny personopplysningslov - betydning for arkivsektoren? 18.april Seniorrådgiver Linda Svendsrud

Personvernforordningen

1 GRUNNLEGGENDE OM GDPR OG PERSONVERN 2 DATAOVERSIKTER 3 GJENNOMSIKTIGHET 4 SAMTYKKER 5 DATAUTVEKSLING 6 ENKELTE ANDRE SENTRALE REGLER 7 HVORDAN

Databehandleravtale. I henhold til gjeldende norsk personopplysningslovgivning og EUs Personvernforordning 2016/679 inngås følgende avtale.

Nye personvernregler fra mai 2018, hva nå?

Nye personvernregler (GDPR)

AVTALE OM BEHANDLING AV HELSE- OG PERSONOPPLYSNINGER (DATABEHANDLERAVTALE) I FORBINDELSE MED DRIFT AV HELSENETTET OG TILKNYTTEDE TJENESTER

GDPR HVA ER VIKTIG FOR HR- DATA

Ny personopplysningslov. Leif Erik Nohr Juridisk rådgiver UNN, KVALUT juni 2018

PERSONVERNERKLÆRING Behandling av personopplysninger i BWAS GROUP AS

Kontraktsmessige følger av at personopplysninger skal inngå i prosjektet ny personvernforordning. 6. Mars 2018 NARMA Av Åshild M.

Studieplan 2017/2018. PERSONVERN en grunnopplæring i personvernregelverk (2017) Studiepoeng: 15. Studiets nivå og organisering. Bakgrunn for studiet

Transkript:

Smarte bygg Seminar 8. februar 2018

Velkommen 1. Velkommen v/ advokat Erling M. Timm 2. Entras tilnærming v/ Sonja Horn, Direktør for digitalisering og forretningsutvikling i Entra 3. Hva betyr EUs nye personvernforordning for eiendomsbransjen og hvilke muligheter ligger i den?

Proptech hva er det? Real Estate FinTech Delingsøkonomi Smarte bygg Informasjon Ja Ja Ja Transaksjon/marked Ja Ja Styring/kontroll Ja Eksempler på bruk Finn.no Crowdfunding Investeringsverktøy Utviklingsanalyse Coworking Airbnb Fri flyt parkering Adgangskontroll Inneklima Lysstyring

Proptech hva er det? Smart Real Estate PropTech Real Estate FinTech FinTech Shared economy

Nye personvernregler Er det relevant for eiendomsbransjen?

Teknologi driver utviklingen The Economist, mai 2017

Plattformer og digitalisering

Orbital insight

Smarte bygg Bygg inneholder stadig mer informasjonsteknologi. Fra tidligere kun ganske enkle styringssystemer for varme, ventilasjon og heis ser vi at systemene blir flere, mer avanserte, at de spiller sammen og med omverdenen. Det gjør at følgende problemstillinger blir mer aktuelle Trygghet for at nødvendige systemer har fornuftig levetid og at det er tatt høyde for at systemene kan byttes ut For systemer som er tilgjengelige fra utsiden - informasjonssikkerhet Trygghet for at nødvendige systemer er tilgjengelige (SLA) Ansvarsforhold ved feil på styringsystemer For systemer som behandler personopplysninger personvern og rettigheter til bruk av data Mekanismer som gjør at avtaler knyttet til styringsystemer kan følge bygget ved kjøp og salg Bygg genererer store menger data både persondata og andre data Hvilke krav stiller EUs nye personvernforordning til eiendomsutvikleren, leietakeren og tjenesteleverandøren.

Smarte bygg Utstyr og installasjoner Teknologi og software integreres i byggets kjerne Personvern Fellesfunksjoner og partnerskap Sikkerhet og informasjonssikkerhet Kostnader og finansiering Inntekter fra tjenester Når teknologien svikter Hvem er ansvarlig? Energiforvaltning

Tjenester Applikasjoner med tilgang til tjenester fra interne og eksterne leverandører Inneholder gjerne også et element av markedsføring, for eksempel nabolags tilbud, tilbud fra kaffebar osv. Lokasjonsteknologi og sensorer Flere som leverer tjenester til og sanker data fra samme enhet Informasjon til brukerne Hvem må innhente samtykke til hva? Hvem er ansvarlig og hvem har rett til å bruke personopplysningene? Foto Philips Lightning

Persondata i et bygg Noen eksempler: Hva med fremtiden? Informasjon om leietakere og kjøpere (leie- og boligkontrakter) Wifi i fellesareal Web applikasjoner for brukerne av bygget for enklere tjenester, for eksempel besøksregistrering og møtebooking Kameraovervåkning og adgangskontroll Parkering og skiltavlesing Lokaliseringsteknologi som GPS, beacons etc. Sensorer og IoT IT systemer Systemer for overvåkning av næringsbygg (sensorer) Sosiale medier Ansattes persondata (adgangskontroll, kantine osv.) Osv. Smarte bygg og smart by alt kan kobles til alt med mulighetene det gir til å samle og analysere data Økende bruk av sensorteknologi og IoT Digitalisering og automatisering av prosesser Vedlikehold Sikkerhet Logistikk og effektivisering osv. Individuelt tilpassede og brukerstyrte løsninger for leietakere Eiendommene har potensiale til å samle inn og behandle store mengder data i fremtiden, også data som alene eller sammen med andre datasett kan brukes til å identifisere enkeltpersoner

Hvordan kan eiendomsbransjen tilpasse seg for å ta i bruk mulighetene som ligger i å samle inn og analysere data fra bygg?

EUs personvernforordning (GDPR) Trer i kraft i EU 25. mai 2018 og vil bli gjort gjeldende i Norge gjennom EØS-avtalen «One continent one law» og «One stop shop» GDPR er et oppdatert rammeverk for lovlig behandling av personopplysninger Foreslått i å gjelde i Norge gjennom egen lov Noen nasjonale tilpasninger Gjelder for behandling av personopplysninger om fysiske personer, ikke selskaper GDPR er mye mer enn bare juss og IT

Grunnbegreper Personopplysning enhver opplysning om en identifisert eller identifiserbar fysisk person («den registrerte») Behandling enhver operasjon eller rekke av operasjoner som gjøres med personopplysninger, enten automatisert eller ikke, f.eks. innsamling, registrering, organisering, strukturering, lagring, endring Den registrerte Behandlingsansvarlig en identifisert eller identifiserbar fysisk person en fysisk eller juridisk person, en offentlig myndighet, en institusjon eller ethvert annet organ som alene eller sammen med andre bestemmer formålet med behandlingen av personopplysninger og hvilke midler som skal benyttes; Databehandler en fysisk eller juridisk person, offentlig myndighet, institusjon eller ethvert annet organ som behandler personopplysninger på vegne av den behandlingsansvarlige,

Alle virksomheter får nye plikter Alle må ha en oversikt og sørge for at behandlingen skjer lovlig Skal gi forståelig informasjon om hvordan de bruker personopplysninger Må vurdere risiko og personvernkonsekvenser Dokumentasjon og internkontroll Bygge personvern inn i systemer og løsninger («privacy by design») Mange virksomheter må opprette personvernombud Alle databehandlere får nye plikter (utvidet anvendelsesområde) Nye krav til avvikshåndtering plikt til å melde fra om brudd på personvernregler innen gitte frister Alle virksomheter må kunne oppfylle borgernes nye rettigheter

Rettigheter for de registrerte De registrerte brukere, leietakernes ansatte, besøkende, egne ansatte osv. Klare og styrkede rettigheter og noen nye Rett til informasjon Rett til innsyn Retting og sletting Rett til å begrense behandling Retten til å bli glemt Dataportabilitet Motsette seg profilering Få beskjed hvis noe går galt Justisdepartementet foreslår å videreføre dagens (særnorske) regler om innsyn i e-post og kameraovervåkning

Hva er nytten? Legalt rammebetingelser Kommersielt og internt «Compliance» - etterleve lover og regler Kostnader (bøter og sanksjoner) Risiko for tap av omdømme og kunder Avvik og brudd kan medføre kostnader Bygge tillitt internt og eksternt Omdømme Når alle kjenner rammebetingelsene, er det letter å drive utvikling av nye tjenester og konsepter Konkurransemessig fortrinn kan analyse av big data gir dere noen fordeler? Beskytte digitale verdier fremtidige inntektskilder eller forretningsdrivere?

Rammebetingelsene hvordan skaffe seg «licence to play» Sørg for et lovlig grunnlag for behandlingen som gjøres. Innhent samtykke fra brukeren. Oppfyll de grunnleggende prinsippene og forordningens regler: Lovlig, rettferdig og transparent For et spesifikt formål Ikke mer enn nødvendig (dataminimering) Korrekt og oppdatert Lagres ikke lengre enn nødvendig Behandles sikkert Ha kontroll! Er ansvarlig for og skal kunne dokumentere at kravene overholdes.

1. Ha oversikt over roller, ansvar og rettigheter Behandlingsansvarlig eller databehandler? Ny lov stiller krav til tydelig fordeling og dokumentasjon av ansvar mellom selskaper som utleverer opplysninger til hverandre eller som er leverandører av tjenester. Leietakere vil som hovedregel være behandlingsansvarlige for brukere Eiendomsforvaltere vil ofte være databehandlere for flere leietakere I tillegg har eiendomsselskapet ofte en database med leiekontrakter og andre kontrakter knyttet til eierskap og forvaltning av næringseiendom, for eksempel: eksterne forvaltningsselskap, vaktselskap, IT-leverandør, Vakt og sikring Osv. Ansvarsforhold og rettigheter mellom aktørene må være regulert i en avtale. I tillegg må selskapene har interne rutiner hvor hvordan personopplysninger behandles i tråd med databehandleravtalen. Eksempel: Adgangskontroll.

Behandlingsansvarlig eller databehandler? Selskap/arbeidsgiver Behandlingsansvarlig - Bestemmer formålet med behandlingen Leietaker Eiendomsutvikler Databehandler - Behandler på vegne av behandlingsansvarlig Databehandler - Behandler på vegne av behandlingsansvarlig Tjenesteleverandør Underleverandører, eks. IT-drift, CRM-system, HR-system, utvikling og drift av web applikasjoner, osv.

Eksempler: Aktivitet Rolle Ansvar, for eksempel Eiendomsselskapet som arbeidsgiver for egne ansatte Behandlingsansvarlig Fullt ansvar etter ny lovgivning. Ansvar overfor de ansatte og tilsynsmyndigheter Leietaker som kjøper av tjenester fra forskjellige leverandører Leverandør av tjenester til leietakere og deres brukere Behandlingsansvarlig Fullt ansvar etter ny lovgivning. Databehandler Databehandlere har direkte forpliktelser etter nytt regelverk, både overfor kunden, de registrerte og tilsynsmyndigheter Eiendomsselskapet som tilrettelegger for felles applikasjoner og tjenester for brukere av bygg Databehandler eller behandlingsansvarlig? Ansvar må klargjøres overfor leietakere og brukere

2: Ha oversikt over behandlingsaktivitetene Et ubetinget krav for selskap med mer enn 250 ansatte Kravet gjelder også for mindre selskaper hvis behandlingen trolig vil medføre en risiko for de registrertes rettigheter og friheter, ikke skjer leilighetsvis eller omfatter særlige kategorier av opplysninger eller personopplysninger som straffedommer og straffbare forhold I praksis må også små virksomheter ha viss oversikt for å kunne oppfylle øvrige krav Det kreves at databehandleren har en tilsvarende oversikt med noen få unntak.

Eksempel på enkel kartlegging

3. Sørg for at behandlingen er lovlig og for et fastsatt formål Databehandler = behandling må skje i samsvar med databehandleravtale og lov Behandlingsansvar = må sørge for lovlig behandlingsgrunnlag og behandle personopplysninger i samsvar med lov Når må brukeren gi samtykke?

4: Vær transparent Gi informasjon uoppfordret Ett formål med GDPR er å sette individer i stand til å vite hva opplysningene om dem benyttes til Den som samler personopplysninger skal tydelig informere om hvilke opplysninger de samler og til hvilke formål de skal brukes Den som er registrert har også rett til å kreve innsyn i hvilke opplysninger enhver aktør behandler om dem, samt rett til å kreve disse opplysningene rettet, slettet eller utlevert

5. Ivareta brukerens personvern Innebygd personvern betyr at det tas hensyn til personvern i alle utviklingsfaser av et system eller en løsning Skal være standardinnstilling Tekniske og organisatoriske tiltak Sikre effektiv gjennomføring av prinsippene for vern av personopplysninger

6. Sørg for god informasjonssikkerhet Personvern og informasjonssikkerhet hånd i hånd Konfidensialitet Integritet Tilgjengelighet Robusthet

Internkontroll og informasjonssikkerhet Kartlegging og oversikt Risikovurdering Internkontroll og dokumentasjon Informasjonssikkerhet Kilde: www.datatilsynet.no Veileder nytt regelverk: https://www.datatilsynet.no/regelverk-ogskjema/veiledere/virksomhetens-ansvar-etter-nytt-regelverk/

Strengere forpliktelser ved avvik Rapport til myndighetene innen 72 timer fra avviket ble oppdaget Fristen for databehandler til å rapporterer til behandlingsansvarlig må i praksis være kortere Hvem som rapporterer til Datatilsynet må være avklart i databehandleravtalen Informasjon til de registrerte kan være nødvendig Må ha felles rutiner i virksomheten for rapportering hvem gjør hva, når og hvordan?

7. Still krav til leverandørene (databehandlere) Leverandører som behandler personopplysninger på vegne av en behandlingsansvarlig skal være underlagt en skriftlig databehandleravtale Ta ansvar for leverandørkjeden Nytt krav: Kan bare bruke databehandlere som kan garantere at de har implementert tilstrekkelig tekniske og organisatoriske løsninger for å sikre etterlevelse av regelverket Behandlingsansvarlig må godkjenne databehandlers bruk av underleverandører Innfrir leverandøren kravene i forordningen? Hva tilbys av funksjonalitet i systemer og prosesser? Detaljerte krav til innholdet i databehandleravtalen Bruke kontrakten aktivt og følge opp leverandørene

8. Adgangskontroll og kameraovervåkning Hvem leverer tjenesten og er ansvarlig Utleier og leietaker(e) må avklare ansvarsfordeling Krav etter nytt regelverk Foreslått særlige regler for kameraovervåkning på arbeidsplass

GDPR: Ti steg for å komme i gang 1. Skaff deg oversikt over regelverket og hvilke forpliktelser som vil gjelde for din virksomhet. Planlegg godt og sett i gang nå - så rekker dere det. Sørg for tilstrekkelig forankring og forståelse i ledelsen og berørte deler av organisasjonen. 2. Etabler en arbeidsgruppe med fokus på GDPR 6. Sjekk om dere overfører data til utlandet utenfor EU/EØS internt eller eksternt, og om denne overføringen er lovlig. EUs Standardavtaler kan i mange tilfeller brukes. 7. Sørg for at informasjonen til ansatte, brukere, kunder osv. er god sjekk om dere trenger en personvernerklæring. 3. Lag en oversikt over hvilke personopplysninger virksomheten behandler, dataflyt og om behandlingen skjer på en lovlig måte. 4. Sjekk om du har tilstrekkelig lovlig grunnlag for den behandlingen som dere foretar, for eksempel om det er nødvendig å innhente nytt samtykke fra brukere eller kunder. 5. Ta kontakt med partnere og underleverandører. Sørg for å ha nødvendige avtaler på plass, og oppdater eksisterende om nødvendig. En underleverandør kan ikke behandle personopplysninger på annen måte enn det som er avtalt med den behandlingsansvarlige. 8. Vurdere om dere er pålagt å ha et personvernombud. 9. Sørg for god informasjonssikkerhet, innebygd personvern og kontroll på tilganger Få oversikt over risikofaktorene ved å gjennomføre en risikovurdering, eventuelt en personvernkonsekvensvurdering hvis det er påkrevd. Vurdere om dere har plikt til å konsultere Datatilsynet, for eksempel ved behandlinger som medfører høy risiko for de registrertes rettigheter. 10. Sørg for å ha et system for internkontroll, rutiner for behandling av avvik og dokumentasjon. Her kan du lese mer om virksomhetens ansvar (fra Datatilsynet).

Eksempel på arbeidsplan Planlegging Kartlegging Analyse Tiltak Implemen-tering Drift Governance Fastlegg arbeidets mål og omfang Hvem skal delta? Forankre og informere internt Utarbeide prosjektplan Kartlegg behandlingsaktiviteter, systemer og dataflyt Kartlegg partnere og leverandører Forstå kundenes/ brukernes/ ansattes behov og interesser Vurdere regeletterlevelse og evt. foreta en juridiske GAPanalyse Risikovurdering Planlegg oppgaver og tiltak som er identifisert i analysefasen Fastsett kontrollmål Gjennomfør og løs oppgaver Implementer prosesser/kontroller Intern opplæring og oppmerksomhetsskapende aktiviteter Etabler eller oppdater dokumentasjon Daglig etterlevelse av prosesser og kontroller Designe prosesser og kontroller til risikobasert sikring av fremtidig etterlevelse Overordnet styring og løpende forbedring av prosesser og kontroller Egenkontroll

Personvern i det daglige når alt er på plass Noen sjekkpunkter er det smart å ha. Eksempler: Innføring av ny teknologi Inngåelse av nye avtaler med underleverandører Bruk av skytjenester Bruk av teknologi som kan oppfattes som særlig inngripende eller kontrollerende, eksempelvis sporingsteknologi, intelligent videoanalyse, stemmegjenkjenning osv. Deling av opplysninger med samarbeidspartnere eller andre Sammenstilling av datasett og bruk av personopplysninger til nye formål Formål som tilgodeser en tredjepart, for eksempel samarbeidspartner. Overføring av personopplysninger til utlandet

Takk for oss! Erling Marcussen Timm Advokat og partner +47 920 42 471 e.timm@haavind.no Kari Gimmingsrud Advokat og partner +47 922 91 006 k.gimmingsrud@haavind.no

Løsninger finnes #haavindtech

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding