Adgangsguiden

Adgangskontroll og GDPR i borettslag og næringsbygg

Skrevet av Torfinn Rosland | 6. mai 26

Adgangskontroll innebærer behandling av personopplysninger fordi systemet knytter mennesker til konkrete tilganger i et næringsbygg eller borettslag. GDPR gir rammene for hvordan disse opplysningene skal håndteres på en sikker, forholdsmessig og kontrollert måte.

Adgangskontrollsystemet registrerer og administrerer informasjon om personer og deres tilgang til bygg. Det kan dreie seg om navn, kontaktinformasjon, nøkkelbrikker, digitale nøkler på mobil, nøkkelbrikker og tilganger til bestemte dører eller soner.

I noen tilfeller lagres også hendelseslogger med oversikt over hvilke låser som er betjent av hvem på hvilke tidspunkt.

Når opplysninger kan knyttes til en identifiserbar person, regnes de som personopplysninger. Da skal slike data håndteres i tråd med GDPR, som i Norge er hjemlet i personopplysningsloven. I borettslaget vil styret ha ansvaret for at behandlingen skjer i tråd med regelverket. Tilsvarende ansvar ligger hos eiere og forvaltere i næringsbygg.

Datatilsynet forklarer detaljene i GDPR på en forståelig måte ->

 

Styrets rolle og ansvar

I borettslag vil styret normalt være behandlingsansvarlig for personopplysningene som inngår i adgangssystemet.

Det innebærer ansvar for at:

    • det foreligger et klart formål med behandlingen
    • det ikke samles inn flere opplysninger enn nødvendig
    • opplysningene lagres forsvarlig
    • tilgangen til systemet er kontrollert

Personvernreglene setter krav til at lagring av adgangsdata skal være forholdsmessige og godt begrunnet. Adgangskontroll vil ofte være legitimt begrunnet i behovet for sikkerhet og oversikt, men løsningene bør likevel vurderes opp mot hvor inngripende de er.

 

Flere av GDPR-prinsippene får en konkret betydning i adgangskontroll

Disse prinsippene bidrar til å gjøre personvern håndterbart i praksis, og det reduserer risikoen for uønsket bruk eller spredning av informasjon:

Dataminimering
Det er ikke behov for å lagre mer informasjon enn det som er nødvendig for å administrere tilganger. Enkle identifikatorer kan i mange tilfeller være tilstrekkelig.

Formålsbegrensning
Opplysningene skal brukes til det de er samlet inn for, som å sikre adgang og administrere tilgangsrettigheter.

Lagringsbegrensning
Opplysninger skal ikke lagres lenger enn nødvendig. Det gjelder særlig ved utflytting, bytte av leietaker eller når ansatte slutter.

Tilgangskontroll
Kun et begrenset antall personer bør ha administratortilgang til systemet. Det bør også være klart hvem som har ansvar for oppfølging og vedlikehold.

 

Mer om personvernprisnippene hos Datatilsynet ->

 

Praktiske vurderinger ved valg av adgangskontroll

Valg av adgangskontrollsystem påvirker hvordan personopplysninger håndteres i det daglige. Flere forhold er relevante i vurderingen:

    • Hvor og hvordan data lagres, og hvilke sikkerhetsmekanismer som er på plass
    • Hvordan brukere opprettes, endres og slettes
    • Mulighet for å begrense tilganger i tid og omfang
    • Oversikt over hvem som har tilgang til hvilke områder
    • Håndtering av tapte nøkler eller brikker

I løsninger med digitale nøkler på mobilen kan det også være relevant å ha kontroll på eventuell videre deling av tilgang og hvilke sporbarhetsmuligheter som finnes.

Les mer om nøkkel på mobilen ->

 

Sammenhengen mellom personvern og drift

Personvern i adgangskontroll handler om både teknologi og rutiner. Her kommer valg av leverandør av adgangskontrollsystem inn i bildet. Borettslag og eiendomsselskap bør velge en aktør som bidrar til enklere forvaltning av regelkravene. Da blir resultatet både tryggere bygg og ryddigere personvern.

Her finner du flere detaljer om adgangskontrollsystemer ->

Her finner du flere detaljer om adgangskontrollsystemer ->
Vis hele posten