Van wie zijn de data?

In 2017 kreeg Google van de Canadese stad Toronto de kans een smart city te ontwikkelen. Het Google-onderdeel Sidewalk Labs zou in de wijk Quayside een project opzetten dat tevens een proefgebied werd voor soortgelijke ontwikkelingen elders. Google trok er $ 50 mln voor uit en toepassingen van proptech stonden voorop. Uiteraard was een van de onderdelen een zelfrijdende auto, en verder had een hoog duurzaamheidsgehalte prioriteit. Al in 2018 was er discussie over hoe het zat met de data die uit het project voortkwamen. Wie had er toegang toe en wie mocht daar iets mee? Sidewalk Labs ging onmiddellijk overstag en stelde de data beschikbaar voor wie dat maar wilde. De plannen voor wat er daadwerkelijk zou worden gebouwd werden concreter in 2019, maar nog steeds waren de data onderwerp van discussie. Nu was er onenigheid over wie er eigenlijk mocht bepalen wie er toestemming mocht geven voor gebruik van de data elders. Het hele project ging uiteindelijk, mede door onzekerheid over corona, ter ziele in mei 2020.

Goede afspraken

Zo belangrijk waren en zijn de proptech-data en de zeggenschap daarover. De discussie over data die voortkomen uit gebruik van proptech en wie erover mag beschikken duurt voort. Het is één ding om je daar in het vastgoed bewust van te zijn, het is een tweede om daar in de praktijk ook goede afspraken over te maken met inachtneming van alles wat daar wettelijk voor geregeld is. Elze ’t Hart, advocaat en partner bij Dentons, adviseert, contracteert en procedeert op het gebied van tech & data, onder meer over AI, IoT en privacy.

‘In de vastgoedsector is men niet zo bezig met data, maar juist op dat gebied is er veel om in de gaten te houden’, zegt ’t Hart tijdens een gesprek in het kantoor van Dentons aan de Zuidas.

Ze stelt de vragen waar het om gaat hardop: Hoe beschermen we de data? Wat gebeurt er met de data in de wereld van AI? Alles wat wordt verzameld en uitgelezen, is dat ook te koop? Daar raakt ook het terrein van de data voortdurend de veiligheid van de systemen. Toegang tot data regelen houdt in dat de cybersecurity op orde is en niet alleen onbevoegden binnen de organisatie geen toegang hebben, maar ook kwaadwillenden van buitenaf niet.

Niemands bezit

Specifiek voor de vastgoedsector zijn er de gebruikersgegevens in de verschillende segmenten. Bij kantoren zijn dat de bezettingscijfers en het energieverbruik, in winkelcentra worden gegevens over looproutes en passantenaantallen bijgehouden en in distributie- en datacentra zijn aan- en afvoerlijnen en temperatuurregeling heel belangrijk. Bij bijvoorbeeld ziekenhuizen en overheidsgebouwen komen daar nog extra elementen bij op het gebied van beveiliging, omdat het sectoren betreft die extra gereguleerd zijn.

Vanaf het allereerste begin moeten ontwikkelaars, bouwers, eigenaren en gebruikers volgens ’t Hart al nadenken over de data, die overigens bezit zijn van niemand – het gaat om het recht van toegang. Dit betreft niet alleen persoonsgegevens, maar ook niet-persoonsgegevens. ‘De gebruiker heeft recht op de data, maar de eigenaar ook’, legt ’t Hart uit. ‘Maar of de IT-leverancier en de fabrikant van de apparatuur ook iets met de data mogen doen, is een kwestie van vooraf goed afspreken en vastleggen.’

De ontwikkelaar heeft er bijvoorbeeld baat bij te weten of zijn samenwerking met een bepaalde architect zo goed is uitgepakt dat hij in de toekomst vaker projecten met hetzelfde bureau moet doen. Eigenlijk geldt dat ook voor de aannemer, die zijn werk zo goed mogelijk wil uitvoeren en als kenner van de praktijk oplossingen voor grote en kleine problemen kan aandragen. De eigenaar wil vervolgens bijvoorbeeld graag weten of zijn gebouwen zogezegd van elkaar kunnen leren: oudere gebouwen in zijn portefeuille met energielabel C kunnen profiteren van zijn nieuwste projecten met label A++. De gebruiker, die door het promoten van thuiswerken al in vierkante meters heeft afgeschaald, kijkt of het verantwoord is om volgend jaar nog meer ruimte in te leveren. De IT-leverancier heeft met succes de nieuwste snufjes geïmplementeerd en op grond van de data die gegenereerd zijn overweegt hij die te gaan ‘monetizen’.

Prioriteit vanaf dag één

Jeroen Slobbe van BDO stelt ook met nadruk dat cybersecurity vanaf dag één prioriteit moet hebben, ‘anders ben je later veel duurder uit’. Slobbe is Director Cybersecurity Advisory bij BDO Accountants & Adviseurs en noemt zich ethisch hacker. Hem nodig je uit als je wilt weten of je bedrijf kwetsbaar is voor digitale inbraken. Hij staat aan het hoofd van een team van twaalf hackers en vijftien governance compliance experts. Zijn mensen lichten gebouwen en organisaties door op veiligheid en weerbaarheid. Daarbij staat ook voortdurend aansluiten bij de snel veranderende wettelijke vereisten voorop. Ze geven advies over hoe het beter kan, maar ook vaak hoe het slimmer, goedkoper en gebruiksvriendelijker zou kunnen. ‘Op die manier krijgt een pand marktvoordeel’, aldus Slobbe telefonisch vanuit zijn kantoor in Breda. ‘Investeerders zijn geïnteresseerd en de gebruiker vindt het aantrekkelijker.’

Duurzaamheid

Meteen vanaf het begin van de levensduur van een gebouw worden data verzameld en letten ontwikkelaars en eigenaren op de data. Dat is vanwege bijvoorbeeld energielabels en duurzaamheidscertificaten ook een must. ’t Hart: ‘Ten behoeve van een Breeam-certificering worden heel veel data verzameld, en het is zaak om op te letten wat daarmee gebeurt.’ Voor er ook maar een steen is gelegd kan al bekend zijn welk Breeam-certificaat het gebouw moet krijgen of in elk geval wat het streven is. Voor de grotere ondernemingen geldt ook de jaarlijkse verplichting van een ESG-rapportage en daar is duurzaamheid een belangrijke component van. Die partijen hebben wettelijk gezien bepaalde data nodig.

EU-wetgeving

Voor alle bedrijven geldt daarbij dat ze zich moeten houden aan de wet, en dat is in de praktijk vaak EU-wetgeving. Sinds 2015 is er een EU digital strategy en op dit moment bevinden de landen van de EU zich in de Digital Decade op basis van de ‘2030 Digital Compass’. Juist 2025 is daarin een belangrijk jaar, omdat dan enkele wetten in werking treden, waaronder een Data Verordening die ook op data uit gebouwen kan zien. De Wet weerbaarheid kritieke entiteiten, een van de vele onderdelen van dat traject, behelst richtlijnen die ‘kritieke’ organisaties moeten beschermen tegen door de natuur of door de mens veroorzaakte dreigingen. De weerbaarheid moet ook voor online dreigingen in orde zijn, en is geregeld via de Cyberbeveiligingswet (Cbw), de implementatie van de Network and Information Security Directive (NIS2-richtlijn). Kritieke organisaties worden door de minister aangewezen en bieden diensten aan die ‘van cruciaal belang zijn voor de instandhouding van vitale maatschappelijke functies, economische activiteiten, de volksgezondheid en openbare veiligheid of het milieu’.

Alle wettelijke eisen enerzijds en verhalen over cyberaanvallen en ransomware anderzijds kunnen bij ondernemers, die zich liever op hun eigen kernactiviteiten richten, intimiderend overkomen. Slobbe erkent dat het allemaal ‘steeds complexer’ wordt en spreekt van een kat-en-muisspel: de cybersecurity probeert de ransomware telkens een stap voor te blijven. Slobbe: ‘Het is als de liftsystemen van een gebouw: je onderhoud moet voortdurend up-to-date zijn.’ Daarnaast geldt volgens hem ook altijd dat je moet zorgen dat je back-ups werken, want ‘je wilt niet te laat ontdekken dat het niet zo is’.

Risico’s minimaliseren

Volgens Slobbe gaat de digitaliseringsslag verder, daar is geen ontkomen aan. ‘Je moet door, je kunt niet alles op slot zetten. Risico’s kun je niet voor honderd procent uitsluiten. We willen systemen duurzamer en slimmer maken, maar niet minder veilig, dus we minimaliseren de risico’s. Een voorbeeld: als ik het risico om te worden aangereden in het verkeer tot nul wil terugbrengen, moet ik altijd thuisblijven. Dat kan niet, en dus ben ik voorzichtig als ik de straat op ga, zorg ik dat mijn fiets in orde is, et cetera.’ Dit allemaal binnen het redelijke, zegt Slobbe: ‘Een groentewinkel met een dagelijkse omzet van € 2000 koopt ook geen kluis van een ton. Dat is geen verstandige zakelijke beslissing. Tegelijkertijd moeten organisaties met geavanceerdere gebouwen dan een groentewinkel ook het maatschappelijk belang meewegen in hun cyberafwegingen.’

Kleinere bedrijven hebben minder verplichtingen, maar ‘hebben daar doorgaans ook minder over nagedacht’, zegt ’t Hart. ‘Denk daarom ook als kleiner bedrijf altijd na over data als die essentieel zijn voor een pand, en stel daarbij de volgende vragen: wat voor systeem heb ik, wie heeft er toegang toe, wat kan ik met de data en mag dat gezien de wetgeving?’ Toegang hebben tot data is wellicht iemands recht, maar ze moeten ook beschikbaar zijn als je ze wilt gebruiken. Het kan zelfs essentieel zijn voor de continuïteit van de bedrijfsvoering dat de data beschikbaar zijn. Voor de continuïteit, compliance (waaronder beveiliging) en het toekomstige gebruik van het systeem wil je ook goede afspraken maken over de updates en upgrades van het systeem. Last but not least: leg dit allemaal vast in een contract met je provider of IT-leverancier.

Onbruikbaar gebouw

Dat lijkt soms misschien erg ver te gaan, maar het is noodzakelijk. Slobbe geeft het voorbeeld van een Amerikaans bedrijf dat getroffen werd door ransomware en met een gebouw zat dat tijdelijk onbruikbaar was. De vraag is dan wie er opdraait voor de kosten. Het zou goed zijn als dat al meteen duidelijk is door de gemaakte afspraken. Een vergelijkbare vraag doet zich voor als in een hotel het systeem van de toegangspasjes tot de kamers is gehackt en het hotel omzet verliest. Wie is er verantwoordelijk? Slobbe: ‘Als dan ook nog na het hacken ingebroken is in kamers en spullen zijn ontvreemd, kan het helemaal ingewikkeld worden.’

De ervaring van ’t Hart is dat niet alle organisaties weten hoe ze moeten omgaan met data en evenmin met de veranderende wetgeving. ‘Sommige hebben geen idee’, zegt ze. ‘Daardoor zien ze pas dat er een probleem is als dat zich voordoet.’ Juristen en ‘techies’ zijn twee heel verschillende mensensoorten, en niet elke vastgoedjurist is op de hoogte van de meest recente wetgeving over de data uit proptech.

De consequenties kunnen volgens ’t Hart aanzienlijk zijn. ‘Uit onwetendheid kunnen bedrijven data niet gebruiken of ze kwijtraken, soms zelfs bedrijfsgeheimen. Ook kunnen datalekken zich voordoen, met alle gevolgen van dien.’ Dit leidt soms tot boetes van toezichthouders. Als een bedrijf niet de benodigde beveiligingsmaatregelen treft en toeziet op de naleving ervan, kunnen bestuurders ook persoonlijk aansprakelijk gesteld worden. ’t Hart: ‘Het verdient aanbeveling om de risico’s op dit vlak goed te begrijpen, en daarvoor is het nodig dat juristen en bestuurders in het vastgoed zich veel meer bewust worden van wat er speelt op het gebied van technologie en data binnen hun bedrijf.’

Termen en begrippen
AV (algemene verordening gegevensbescherming)
AI (Articifial intelligence)
CSRD (Corporate Sustainability Reporting Directive): EU-richtlijn die verplicht te rapporteren over duurzaamheid
CER (Critical Entities Directive): zie Wwke
CRA (Cyber Resilience Act): regelgeving die in 2027 van kracht wordt voor minimumeisen op het gebied van digitale veiligheid
Cbw (Cyberbeveiligingswet): digitale weerbaarheidsverplichting, treedt later dit jaar in werking
Dataverordening EU: moet geharmoniseerde regels voor eerlijke toegang tot en eerlijk gebruik van gegevens vaststellen
GDPR (General Data Protection): Uitvoeringswet EU Dataverordening, zie AVG
IoT (Internet of Things): elk apparaat dat online is
NIS2-richtlijn (Network and Information Security Directive): zie Cyberbeveiligingswet (Cbw)
OT (Operational Technology): beheersystemen
Platformwetgeving: eisen voor digitale diensten via online marktplaatsen en netwerken
Wwke (Wet weerbaarheid kritieke entiteiten): EU-richtlijnen die in het najaar van kracht worden en toezien op in stand houden van vitale diensten, inclusief cyberveiligheid (Cyberbeveiligingswet)