Se alle artikler
Adgangskontroll innebærer behandling av personopplysninger fordi systemet knytter mennesker til konkrete tilganger i et næringsbygg eller borettslag. GDPR gir rammene for hvordan disse opplysningene skal håndteres på en sikker, forholdsmessig og kontrollert måte.
Adgangskontrollsystemet registrerer og administrerer informasjon om personer og deres tilgang til bygg. Det kan dreie seg om navn, kontaktinformasjon, nøkkelbrikker, digitale nøkler på mobil, nøkkelbrikker og tilganger til bestemte dører eller soner.
I noen tilfeller lagres også hendelseslogger med oversikt over hvilke låser som er betjent av hvem på hvilke tidspunkt.
Når opplysninger kan knyttes til en identifiserbar person, regnes de som personopplysninger. Da skal slike data håndteres i tråd med GDPR, som i Norge er hjemlet i personopplysningsloven. I borettslaget vil styret ha ansvaret for at behandlingen skjer i tråd med regelverket. Tilsvarende ansvar ligger hos eiere og forvaltere i næringsbygg.
Datatilsynet forklarer detaljene i GDPR på en forståelig måte ->
Styrets rolle og ansvar
I borettslag vil styret normalt være behandlingsansvarlig for personopplysningene som inngår i adgangssystemet.
Det innebærer ansvar for at:
- det foreligger et klart formål med behandlingen
- det ikke samles inn flere opplysninger enn nødvendig
- opplysningene lagres forsvarlig
- tilgangen til systemet er kontrollert
Personvernreglene setter krav til at lagring av adgangsdata skal være forholdsmessige og godt begrunnet. Adgangskontroll vil ofte være legitimt begrunnet i behovet for sikkerhet og oversikt, men løsningene bør likevel vurderes opp mot hvor inngripende de er.
Flere av GDPR-prinsippene får en konkret betydning i adgangskontroll
Disse prinsippene bidrar til å gjøre personvern håndterbart i praksis, og det reduserer risikoen for uønsket bruk eller spredning av informasjon:
|
Dataminimering Formålsbegrensning Lagringsbegrensning Tilgangskontroll |
Mer om personvernprisnippene hos Datatilsynet ->
Praktiske vurderinger ved valg av adgangskontroll
Valg av adgangskontrollsystem påvirker hvordan personopplysninger håndteres i det daglige. Flere forhold er relevante i vurderingen:
- Hvor og hvordan data lagres, og hvilke sikkerhetsmekanismer som er på plass
- Hvordan brukere opprettes, endres og slettes
- Mulighet for å begrense tilganger i tid og omfang
- Oversikt over hvem som har tilgang til hvilke områder
- Håndtering av tapte nøkler eller brikker
I løsninger med digitale nøkler på mobilen kan det også være relevant å ha kontroll på eventuell videre deling av tilgang og hvilke sporbarhetsmuligheter som finnes.
Les mer om nøkkel på mobilen ->
Sammenhengen mellom personvern og drift
Personvern i adgangskontroll handler om både teknologi og rutiner. Her kommer valg av leverandør av adgangskontrollsystem inn i bildet. Borettslag og eiendomsselskap bør velge en aktør som bidrar til enklere forvaltning av regelkravene. Da blir resultatet både tryggere bygg og ryddigere personvern.
Her finner du flere detaljer om adgangskontrollsystemer ->
Her finner du flere detaljer om adgangskontrollsystemer ->
