Artikkel

Hvem kontrollerer datastrømmen i et smartbygg?

Utviklingen i eiendomsbransjen går entydig mot mer digital infrastruktur (IoT) og løsninger i skyen. Hvem som har råderetten til andre data enn persondata som skapes i kontor- og næringsbygg er imidlertid ikke klarlagt.

Persondata som genereres i næringsbygg, skal være regulert av databehandleravtaler inngått i medhold av GDPR. Råderetten for upersonlige data er imidlertid ikke regulert gjennom lov eller dagens standardkontrakter for næringseiendom. En uformell undersøkelse blant noen større, norske sikkerhetssystemleverandører viser at temaet ikke berøres i dagens lisensvilkår mellom systemleverandørene og kunden (her typisk eier / utleier av bygget).

 

Utfordringer med flere parter

Ved utleie av næringseiendom er det gjerne minst tre parter involvert: Utleier har anskaffet systemene som er integrert i bygget mens utstyrsleverandøren leverer tjenester som kontinuerlig overvåkning, lagring og analysetjenester. Hvordan systemene er installert og driftes har betydning for hvilke data som skapes.

Eksempelvis vil et adgangskontrollsystem ikke bare kunne registrere hvem, men også upersonlige data om hvor mange som går inn og ut av bygget. Andre systemer, som CO2-sensorer og lyssensorer, innhenter mer indirekte informasjon om bruken av møterom og andre fasiliteter. Disse systemene er det leietaker som bruker, og er derfor med på å skape datastrømmen.

Utleier som eier av bygget kan ha interesse i å ha tilgang til disse dataene som grunnlag for utviklingen og tilpasning av eiendommen mot sine kunder, leietaker kan få vite mer om sin virksomhet, mens leverandøren av tjenestene kan ha interesse i dataene til egne formål. Etter hvert som dataene bearbeides og blir til store databaser av informasjon, vil dataene etter hvert få stor kommersiell interesse for andre og kan videreselges eller lisensieres ut.

Hvis alle parter her har like stor interesse i å beholde dataene, kan det være duket for en heftig diskusjon.

 

Hvem kontrollerer data etter loven?

I dagligtalen snakker vi gjerne om å «eie» egne data, men dette kan fort være et upresist uttrykk. Det juridiske utgangspunktet er at det ikke er noen særlig eiendomsrett til datastrømmer. En begrunnelse for dette er at data kan sies å være eierløs ettersom den vanskelig lar seg avgrense på noen fornuftig måte. Opplysningene om hvor mange som går inn og ut av et bygg er en eierløs opplysning, et faktum. På samme måte eier man ikke opplysningen om hvor gammel du er, hva man heter eller at du blir observert på en sykkel i Frognerparken.

Samtidig har vi lovgivning som beskytter den skapende innsats (opphavsrett), tekniske løsninger (patent) og utnyttelse av rådata (databaser). Vi har også et regelverk som regulerer behandlingen av personopplysninger, samt regler som beskytter forretningshemmeligheter.

EU-kommisjonen har satt eierskap til data på dagsorden gjennom forslag til oppbygging av en europeisk dataøkonomi (COM(2017)final 9). Arbeidet står for tiden på vent da Kommisjonen trenger mer tid til å vurdere spørsmålet.

Det som utpeker seg som det praktiske grunnlaget for råderett over data er der dataene innhentes i en database som får vern etter åndsverkloven, eller der dataene blir beskyttet etter reglene om forretningshemmeligheter.

Fast eiendom

Deloitte bistår aktører innen eiendom i alle faser av deres eiendomsprosjekter, med blant annet forhandlinger, tvister og risikohåndtering.

Les mer om våre tjenester her

Databasevern for fremstiller

Åndsverkloven § 24 gir «den som fremstiller» en database et særskilt vern. Bestemmelsen må tolkes i lys av EU-retten og databasedirektivet. Art. 1(2) i direktivet definerer database på følgende måte: «En samling selvstendige verk, data eller annet materiale ordnet på en systematisk og metodisk måte som det er individuell tilgang til ved elektroniske eller andre midler». Databasen må altså bestå av selvstendige elementer som kan skilles fra hverandre.

Videre må dataene være samlet på måte en måte som gjør det mulig å gjenfinne informasjonen. Det er altså idet dataene går over fra å være en kontinuerlig strøm av eierløse opplysninger som registreres av en digital enhet, til å flyttes, samles og sorteres over tid på en harddisk etter gitte regler i en software, at vi kan snakke om en database.

I praksis kan databasevernet medføre et innholdsvern, dersom dataene ikke kan fremskaffes noe annet sted. I så fall vil den som fremstiller databasen kunne utnytte denne eneretten ved å dele tilgang til tredjepersoner etter avtale. I utgangspunktet vil det være den som sitter på tilgangen til datastrømmen som også får mulighet til å «bearbeide» dataene slik at de oppnår et databasevern.

 

Vern for forretningshemmeligheter

Uavhengig av om databasen er vernet etter åndsverkloven kan den inneholde data som er beskyttet etter reglene om forretningshemmeligheter. Opplysninger om en maskinvare, f.eks. når på døgnet den brukes og til hva, kan indirekte fortelle mye om en virksomhet. Tilsvarende kan registreringer i resepsjonen være sensitiv informasjon som man ikke ønsker skal tilflyte andre.

Her hviler det et særskilt ansvar på utleier og systemleverandøren til å kunne tilrettelegge for at systemene er tilstrekkelig sikre for leietakers bruk.

I markedsføringslovens § 28 settes forbud mot rettstridig utnyttelse av forretningshemmeligheter. En datastrøm der informasjonen ikke er offentlig kjent, kan raskt være en forretningshemmelighet dersom det vil være en kommersiell fordel for andre å få tilgang til informasjonen. Det innebærer også et den som sitter på en eksklusiv råderett over dataene kan lisensiere tilgang til tredjepersoner etter avtale.

Forbudet gjelder her primært den aktive utnyttelse, som salg, deling eller annen tilgjengeliggjøring, så her er det viktig at det også ligger tilstrekkelig forpliktelser på leietaker og systemleverandøren hva angår sikkerhet og konfidensialitet slik at disse opplysningene ikke uaktsomt tilflyter andre.

 

Smarte bygg: En GDPR-fri hverdag?

Hvilke muligheter ligger i datainnsamling utenfor GDPRs virkeområde? 

Les artikkelen her

Tilgang må kontraktsreguleres

Hvem som har tilgang til datastrømmen vil være avgjørende for om man senere kan få et databasevern eller beskyttelse som forretningshemmelighet. I et kontraktsforhold mellom to profesjonelle parter vil man normalt forvente at råderett til dataene er regulert i en egen avtaleklausul.

Men som nevnt innledningsvis er vår erfaring at dette i stor grad mangler i dagens avtalevilkår mellom systemleverandørene og kunden. Det er gode grunner til å tro at domstolen vil avgjøre spørsmålet ut fra generelle vurderinger ut fra hva som er formålet med innsamlingen av dataene, og ikke nødvendigvis behovet til hver av partene Dette kan være uheldig for den parten som i utgangspunktet hadde sterke interesser i å ha tilgang til dataene.

I mangel på gode standarder må partene i dag være bevisst hvilke data som kan ha interesse for den ene eller annen parten i et leieforhold i fremtiden. Databasene har en så vidt potensiell kommersiell verdi at dette bør reguleres, og blir antagelig et forhandlingstema fremover for de som ønsker å sikre seg nødvendig innsikt og analyse av smarte bygg.

Var denne siden nyttig?