Smarte bygg tar eiendomsbransjen inn i IT-bransjen

Artikkelforfatterne er advokat Jacob Solheim, advokat Knut Olav Fiane og advokatfullmektig Christian Werner Skovly, Advokatfirmaet Føyen Torkildsen AS.

Eiendomsforvaltere har utviklet seg til å også bli tjenestetilbydere av adgangskontroll, kantinetjenester og andre fellestjenester. Dette innebærer allerede i dag at man er underlagt regulatoriske krav innenfor eksempelvis personvern. Som et ledd i dagens tjenestetilbud, hvor mange kan med hånden på hjertet si at de oppfyller dagens personvernlovgivning? Dette er for eksempel relevant for adgangskontroll, hvor den enkelte ansatte drar et kort for å åpne en dør. Hvor blir dataene av, hvor lenge blir dataene lagret og hvem har tilgang? Tilsvarende spørsmål må stilles når en besøkende registrerer seg, en ansatt bruker sitt kort i kantinen eller til parkering, eller når bygget er kameraovervåket. Alt dette er også i dag informasjon som er underlagt personvernlovgivingen, hvor det stilles strenge krav til kontroll.

Det pågår en uomtvistelig endring innenfor eiendomsbransjen og dette skjer raskt. Byggeplassen reduserer dødtid ved å ta i bruk nye digitale verktøy. Eiendomsutviklere planlegger smarte bygninger med infrastruktur som kommuniserer med hverandre, mens eiendomsforvaltere ønsker i stadig større grad å utvide tjenestetilbudet til leietakerne sine.

Sentralt i digitaliseringen står «internet of things» og kognitiv datateknologi, med bruk av såkalt «big data» og gode analyseverktøy. «Internet of things» innebærer at mer eller mindre alt som kan registrere data kobles til internett. På den måten kan data fra tusener av enheter kombineres og studeres i sammenheng. Kognitiv datateknologi lar datasystemer forstå, analysere og utøve handlinger basert på disse dataene.

Smarte bygg åpner døren for en mer effektiv forvaltning av bygg. Såkalte «beacons», små bluetooth-baserte sendere vil eksempelvis holde oversikt over hvem og hvor mange som til enhver tid befinner seg i bygget, hvordan den enkelte beveger seg i bygget, når de spiser i kantinen, når de bruker møterommene, toalettene, pauserommene og arbeidsplassene. Denne kunnskapen kan igjen benyttes til å beregne hvor mye mat kantinen skal lage, hvor ofte toalettene må vaskes og hvordan luft, lys, kjøle- og varme-ressurser kan optimaliseres for mindre ressursbruk. Informasjon om hvordan brukerne flytter på seg og interagerer med hverandre kan på sikt også brukes til å tilpasse fellesområder og arbeidsplasser – for å fasilitere sosialisering og samarbeid eller for å beregne hvor mange arbeidsstasjoner det reelt er behov for. I hotellbransjen arbeides det med integrert reservasjonssystem som gjør det mulig å tildele hotellrom ved siden av andre rom som er reservert slik at hotellet kan fylles opp fløy etter fløy. På den måten kan man styre inneklima der det er gjester og man slipper å varme opp hele hotellet. Vi antar tilsvarende løsninger kan komme for innovative kontorbygg hvor kontorplasser tildeles brukerne basert på at bygget skal fylles opp på en energieffektiv måte.

Smarte bygg vil, sammen med innføringen av nytt regime for personvern i EU, medføre at eiendomsaktører står overfor helt andre krav enn tidligere. Informasjonssikkerhet og personvern må i enda større grad ivaretas i ethvert byggeprosjekt, og eiendomsaktørene går i større grad inn i ansvarsroller de tidligere ikke har måttet forholde seg til.

Store deler av dataene som samles av smarte bygg vil utgjøre personopplysninger. Alle opplysninger som direkte eller indirekte kan knyttes til et individ er å anse som personopplysninger. Enhver innsamling og befatning med personopplysninger vil være underlagt EUs nye personvernforordning (GDPR) og det nye ePrivacy-direktivet. GDPR blir norsk lov 25. mai 2018, og stiller strenge krav til aktører som samler, bruker og utveksler personopplysninger. ePrivacy forventes også å bli norsk lov i løpet av 2018, muligens fra samme dato som GDPR, og vil blant annet stille krav til hvordan innsamling av data kan skje ved sensorteknologi som kommuniserer med en smarttelefon.

Ett formål med GDPR er å sette individer i stand til å vite hva opplysningene om dem benyttes til. De som samler personopplysninger skal tydelig informere blant annet om hvilke opplysninger de samler og til hvilke formål de skal brukes. Individer gis også rett til å kreve innsyn i hvilke opplysninger enhver aktør behandler om dem, samt rett til å kreve disse opplysningene rettet, slettet eller utlevert.

GDPR stiller videre krav til tydelig fordeling og dokumentasjon av ansvar mellom selskaper som utleverer opplysninger til hverandre eller for selskaper som er leverandører av databehandlingstjenester. Eiendomsforvaltere vil ofte falle inn under sistnevnte kategori, ettersom de ofte administrerer flere felles tjenester på vegne av sine leietakere. I tillegg sitter eiendomsselskaper ofte på en database med leiekontrakter og andre kontrakter knyttet til eierskap og forvaltning av næringseiendom. Dette er avtaler med eksterne forvaltningsselskap, vaktselskap, IT-selskap, revisjonsselskap med videre. Avhengig av hva slags type informasjon disse ulike aktørene behandler i gjennomføringen av sin avtale med eiendomsselskapet, må eiendomsselskapet sørge for å ha nødvendige tillatelser i orden, og forsikre seg om at avtaleparten har det samme.

Ett eksempel er adgangskontroll. I dag har den enkelte leietakers ansatte typisk adgangskort som lar dem bevege seg innenfor de sonene de har adgang til. Etter hvert som for eksempel mobiltelefonen benyttes som adgangskort, og beacons til enhver tid sporer mobilens (og derav den ansattes) lokasjon, vil lokasjonsdataene bli mer detaljerte og oppdaterte.

Mange eiendomsforvaltere håndterer adgangskontroll for sine leietakere. Ett spørsmål er hvordan en eiendomsforvalter skal forholde seg til leietakere som ønsker lokasjonshistorikk utlevert for å kontrollere timelistene til en ansatt. Har arbeidstagere i det hele tatt lov til å lagre lokasjonsdata om hver ansatt?

En annen utfordring oppstår når leieforholdet skal avvikles. Ikke bare må leietakeren levere fra seg nøkler, men partene må også ta stilling til hvem som skal få med seg opplysningene alle brukerne av eiendommen har generert gjennom leieforholdet.

Rollen som databehandler innebærer for det første at eiendomsforvaltere må innta databehandlingsavtaler i leiekontraktene sine. I forbindelse med utgivelse av nye versjoner av standard leieavtale i juni 2016, ble det også utarbeidet en standardavtale for behandling av personopplysninger i forbindelse med bruk av elektroniske nøkkelkort. Føyen Torkildsen bisto Norsk Eiendom ved utarbeidelsen av standardavtalen. Standardavtalen vil være et nyttig verktøy for eiendomsbransjen, men det er ikke gitt at standardavtalen vil være tilstrekkelig i alle henseender.

Kravene som nå stilles er noe enhver eiendomsaktør må ta innover seg. GDPR stiller strenge krav til sletting og utlevering av personopplysninger, samt til dokumentasjon av hvordan selskapet forholder seg til disse kravene og personopplysningene de besitter. Straffesanksjonene for brudd på GDPR er betydelige. Datatilsynet gis myndighet til å ilegge bøter på opptil 4% av et selskaps globale omsetning, eller 20 000 000 Euro. Samtidig har hvert enkelt individ rett til å kreve erstatning dersom personopplysninger ikke behandles i henhold til loven, og her vil både leietaker og utleier være solidarisk ansvarlige for erstatningsbeløpet.

Det første eiendomsselskaper bør gjøre i lys av de nye reglene er å kartlegge hvilke personopplysninger som behandles og hvordan disse behandles. Dette kan fort være mye mer omfattende enn man tror. På bakgrunn av denne kartleggingen og de funnene som gjøres, bør selskapet utarbeide og implementere nye rutiner. Blant annet må man sørge for å få på plass et godt internkontrollsystem, som sikrer gode rutiner for behandling av personopplysninger, samt fremgangsmåte ved eventuelle sikkerhetsbrudd. Det er all grunn til å sørge for at selskapet er forberedt på hva som må være på plass innen mai 2018.