I et moderne kontorbygg blir det samlet inn store mengder drifts- og brukerinformasjon om ansattes og besøkendes adferd, fra adgangskontroll og kameraovervåkning, til energiforbruk og belegg. Dette kan gi driftsgevinster og bedre brukeropplevelse, men gir samtidig opphav til viktige spørsmål om datahåndtering, personvern, kontrakter og risiko.

Innsamlingen av data muliggjør skreddersydd tjenesteyting og effektiv ressursbruk. Fordelene kommer både gårdeier og leietaker til gode i form av lavere kostnader, bedre kvalitet på tjenestene, mer energieffektive bygg og dermed positive bidrag til selskapenes klimamål. Samtidig kan det tidvis være uklart hvem som «eier» dataene, og hvem som egentlig bærer ansvaret når dataene også omfatter personopplysninger om ansatte, leietakere og besøkende.

Et grunnleggende juridisk spørsmål ved digitalisering i næringsbygg, er hvem som anses som «behandlingsansvarlig» og hvem som er «databehandler» etter personvernregelverket. Den behandlingsansvarlige (for eksempel gårdeier eller leietaker) bestemmer hvilke personopplysninger som skal behandles, til hvilke formål, og hvordan dette skal gjøres — og har det overordnede ansvaret for at all behandling skjer i tråd med reglene. Databehandleren, typisk en teknologileverandør eller driftsoperatør, behandler kun personopplysninger på instruks fra den behandlingsansvarlige og har ikke anledning til å bruke opplysningene til egne formål.

Rollefordelingen har praktisk betydning for plikter, kontrollrutiner og ikke minst for hvem som står juridisk til ansvar hvis noe går galt. En tydelig rolleavklaring, dokumentert i databehandleravtaler, er avgjørende – også for hvilke tekniske og organisatoriske sikkerhetstiltak som gjelder og hvem som gir instrukser om sletting og utlevering av data. Det er naturligvis slik at hvem som innehar rollene som behandlingsansvarlig og databehandler, er helt sentralt for i hvilken grad man kan stole på at dataene som samles inn ivaretas på en god måte.

Digital dataflyt har også fått stort fokus ved kjøp av næringseiendom og eiendomsselskaper. I due diligence-prosesser bør kjøper kartlegge hvordan historiske data, særlig personopplysninger, er samlet inn, lagret og håndtert. Dersom tidligere eier eller forvalter har behandlet data i strid med regelverket, kan kjøper i mange tilfeller overta både dataene og ansvaret for «syndene». Det betyr at dersom det avdekkes ulovlig lagrede adgangslogger, sensorspor eller manglende samtykker, kan kjøper bli møtt med pålegg fra Datatilsynet, og i ytterste konsekvens pålegges gebyr. Risikoen for slike "arvede" mangler gjør datakontroll til et naturlig punkt på sjekklisten før kjøp.