Taloyhtiöiden IoT-hankkeet haastavat tarkkuuteen datan ja tietosuojan kanssa
19.01.2021
Keskeisiä Internet of Things eli IoT-ratkaisuja hyödyntäviä toimialoja ovat kiinteistöt ja asuminen, joissa verkkoon kytketyillä laitteilla on mahdollista parantaa asumismukavuutta ja -turvallisuutta sekä tuoda taloyhtiölle säästöjä. Kiinteistöistä kerätäänkin koko ajan enemmän dataa hyödyntämällä erilaisia sensori- ja monitorointiratkaisuja. IoT-ratkaisujen kautta saadun datan perusteella esimerkiksi lämmityksen optimointi ja sähkön kulutuksen pienentäminen voidaan toteuttaa aiempaa helpommin.
Rakennusvaiheessa IoT-järjestelmiin liittyvät toimitus- ja palvelusopimukset tehdään tyypillisesti urakoitsijan ja palveluntarjoajan välillä, varsinaisina käyttäjinä ovat kuitenkin yleensä esimerkiksi taloyhtiö isännöitsijöineen ja sen asukkaat. Tällöin on syytä varmistua siitä, että sopimukset ovat niihin liittyvine oikeuksine ja velvollisuuksineen siirrettävissä urakoitsijalta taloyhtiölle. Toisaalta perustajaosakkaana toimiva urakoitsija voi rakentamisvaiheessa tehdä sopimukset myös suoraan taloyhtiön nimiin. Huolelliseen sopimus- ja palvelukuvausdokumentaatioon on joka tapauksessa syytä kiinnittää huomiota, jotta IoT-ratkaisut ovat käyttäjän näkökulmasta mahdollisimman tehokkaasti hyödynnettävissä.
Rakennusalan yrityksille erilaiset IoT-ratkaisut tuovat uusia mahdollisuuksia uusien älytalojen rakentamishankkeisiin, mutta IoT-ratkaisuja voidaan hyödyntää myös taloyhtiön korjaushankkeissa. IoT-hankkeiden suunnittelussa ja toteuttamisessa tulee kuitenkin varmistaa, että datan keräämiseen ja käyttöön liittyvät oikeudet on asianmukaisesti järjestetty sekä huomioida esimerkiksi tietosuojalainsäädännönasettamat velvoitteet.
Eri toimijoiden roolit ja tarpeet huomioitava datan keräämisessä sekä käyttöoikeuksissa
Olennaisena osana IoT-ratkaisuihin liittyy datan kerääminen. IoT-hankkeiden suunnitteluvaiheessa datan käyttöoikeuksien osalta tulee niin käyttäjien kuin laitetoimittajan näkökulmasta määritellä, millaiset oikeudet kullakin osapuolella on palveluun siirrettävään dataan sekä raakadatan perusteella syntyvään jalostettuun dataan. Kun IoT-hankkeissa mukana on usein lukuisia toimijoita taloyhtiön, asukkaiden, isännöitsijän ja mahdollisen huoltoyhtiön muodossa, on ensisijaisen tärkeää, että kerättävää dataa koskevat kiinteistön toimijoiden väliset sopimukset ovat ajan tasalla ja eri toimijoiden roolit sekä käyttötarpeet on tunnistettu. Esimerkiksi energiankulutuksen seuranta on taloyhtiössä yleensä isännöitsijän vastuulla. IoT-ratkaisuihin sekä niistä kerättävän datan seurantaan liittyvät asiat onkin syytä olla sopimuksissa huomioituna paitsi käyttöoikeuksien, myös isännöitsijän tehtävien määrittelyn tasolla.
Datan keräämisen lisäksi suunnitteluvaiheessa on syytä miettiä datan siirrettävyyttä ja selvittää toimittajalta, miten data voidaan tarvittaessa siirtää muihin taloyhtiön tai asukkaiden käytössä oleviin järjestelmiin esimerkiksi rajapintojen kautta. Rakennuksissa käytettävät tekniset järjestelmät, esimerkiksi valaistus-, jäähdytys- ja turvajärjestelmät, ovat pitkään olleet suljettuja ratkaisuja ja perustuneet laitetoimittajien omiin tietojärjestelmiin. Eri järjestelmien väliset integraatiot taas ovat pitkälti olleet erikseen räätälöityjä ratkaisuja, minkä vuoksi ne ovat olleet kalliita. Tiedon laajempaa hyödyntämistä vaikeuttaakin se, että eri järjestelmistä saatavaa tietoa ei kuvata yhtenäisellä tavalla. Tilannetta monimutkaistaa se, että laite ja datan hyödyntämiseksi vaadittava ohjelmisto voidaan joutua hankkimaan eri toimittajilta. Avoimuutta ja yhteensopivuutta eri järjestelmien välillä tarvitaan, jotta ne palvelevat rakennusalan yrityksiä, kiinteistönomistajia sekä lopulta asukkaita ja muita kiinteistön käyttäjiä.
IoT-ratkaisuun liittyvän palvelun käyttö vaatii usein henkilökohtaiset tunnukset ja salasanan. Sopimuksissa on tärkeää huomioida erityisesti se, miten asukkaiden poismuutto huomioidaan palvelun käyttöoikeuksissa. Käyttöoikeuksia tulee olla mahdollista päivittää reaaliaikaisesti siten, ettei aiemmilla asukkailla ole pääsyä nykyisten asukkaiden tietoihin.
Tietosuojan kanssa on oltava tarkkana
IoT-hankkeet ovat herättäneet taloyhtiöissä kiinnostusta, mutta myös huolta tietosuojaan ja tietoturvaan liittyvissä kysymyksissä. Henkilötietoja sisältävää dataa onkin käsiteltävä huolellisesti tietosuoja sekä tietoturva huomioiden. IoT-hankkeita koskevissa sopimuksissa tulee tunnistaa ja ymmärtää eri osapuolten roolit henkilötietojen käsittelyssä: kuka toimii henkilötietojen käsittelyssä rekisterinpitäjänä ja kuka henkilötietojen käsittelijänä.
Tietosuojan osalta on myös tiedostettava henkilötiedon laaja määritelmä EU:n tietosuoja-asetuksessa eli GDPR:ssä. Ajankohtainen esimerkki tietosuojan huomioimisesta IoT-hankkeissa on apulaistietosuojavaltuutetun ratkaisu viime vuodelta koskien sähkölukkojen hyödyntämistä taloyhtiössä kulunvalvonnassa. Tapauksessa taloyhtiössä oli otettu käyttöön ovenavaustietoja keräävä lukitusjärjestelmä rakennuksen yleisiin ulko-oviin. Taloyhtiö arvioi, että sähkölukkojärjestelmän keräämistä ovenavaustiedoista ei muodostunut henkilörekisteriä. Ratkaisun mukaan ovenavaustiedot voitiin kuitenkin katsoa henkilötiedoiksi ja sähkölukkojärjestelmän käyttö taloyhtiössä ei vastannut tietosuojalainsäädännössä asetettuja vaatimuksia. Ovenavauksen suorittanut henkilö oli mahdollista saada selville, kun avaimen yksilöintitieto yhdistettiin tiettyyn asuntoon. Tapaus muistuttaa, kuinka tärkeää on kiinnittää huomiota tietosuojan perusperiaatteisiin: määritellä peruste henkilötietojen käsittelylle, arvioida tiedonkeruun tarpeellisuus sekä tiedottaa henkilötietojen käsittelystä läpinäkyvästi rekisteröidyille.
Sopimuksissa huomioitava myös tietoturva
Tietosuojan ohella huolenaiheeksi on noussut internetiin yhdistettyjen laitteiden haavoittuvuus sekä tietoturvaan liittyvät kysymykset. Laitteita käytetään perinteisten tietotekniikkajärjestelmien ulkopuolella eikä niissä välttämättä ole sisäänrakennettua turvallisuusjärjestelmää, jolloin uhkana voivat olla muun muassa haittaohjelmat tai luvaton pääsy henkilötietoihin. Useimmiten laitteen omistaja on vastuussa laitteen tietoturvasta, ellei laitetoimittajan kanssa ole tietoturvasta erikseen sovittu.
Sopimuksissa tulisi kiinnittää huomiota myös tietoturvaan liittyviin kysymyksiin. Taloyhtiön kannattaa selvittää, minkälaisen tietoturvan tason toimittaja takaa ja miten tietoturvaa ylläpidetään. Taloyhtiön asukkailta vaadittavat aktiiviset toimenpiteet voivat osoittautua hankaliksi toteuttaa. Siksi laitteiden ylläpitoa helpottaa, mikäli ohjelmisto- ja tietoturvapäivi-
tykset voidaan suorittaa verkon kautta.
Taloyhtiön IoT-hankkeiden muistilista:
- Eri toimijoiden roolit ja tiedon käyttötarpeet on tunnistettu.
- Käyttöoikeudet kerättävään ja jalostettuun dataan on määritelty.
- Toimijoiden väliset sopimukset ovat ajan tasalla.
- Datan siirrettävyyteen liittyvät velvoitteet on huomioitu.
- Asukkaan poismuutto on huomioitu käyttöoikeuksissa.
- Tietosuojan osalta on määritelty, kuka toimii henkilötietojen käsittelyssä rekisterinpitäjänä ja kuka käsittelijänä.
- Peruste henkilötietojen käsittelylle on määritelty, tiedonkeruun tarpeellisuus arvioitu ja henkilötietojen käsittelystä on tiedotettu rekisteröidyille.
- Tietoturva-asiat on otettu asianmukaisesti huomioon.
Autamme mielellämme taloyhtiöiden IoT-hankkeisiin liittyvissä sopimus- ja tietosuoja-asioissa. Ota yhteyttä:
Ville Välimaa, Associate, [email protected], puh. +358 40 707 8169
Samuli Lehtonen, Associate, [email protected], puh. +358 40 627 7401