De Privacy Consultant
Meesters in het privacyrecht

Meer regie slimme-meterdata bij de consument

01-04-2019

De Autoriteit Consument en Markt (ACM) vindt dat de consument regie moet krijgen over de toegang tot zijn gegevens van slimme meters. Dit heeft zij in een visiedocument aangegeven.1 Indien de consument geen toestemming geeft, dan zou technisch geen toegang tot de meetgegevens mogelijk moeten worden gemaakt. Deze verplaatsing van de regie naar de consument toont gelijkenis met andere markten, zoals de zorg. Ook de patiënt dient steeds meer de regie te krijgen over zijn medische gegevens.

Meterdata als persoonsgegevens?

Medische gegevens zijn bijzondere persoonsgegevens. Het moge duidelijk zijn dat men op grond van medische gegevens zeer veel en zeer gevoelige informatie over een persoon te weten kan komen. Wat kan men dan te weten komen op grond van enkel meetgegevens van energie?

Op grond van een onderzoek van de Fachhochschule in Münster blijkt dat er tal van interessante informatie kan worden verkregen uit deze meetgegevens.2 Hierbij werden meetintervallen onderzocht van een uur, elke vijftien minuten, elke minuut en elke seconde.

Zo kan er bijvoorbeeld worden achterhaald welke zender op een bepaald moment in een huishouden wordt bekeken. Op grond van een interval van vijftien minuten konden de onderzoekers achterhalen wanneer men ging slapen of een maaltijd ging bereiden. Door het verkleinen van de interval naar een minuut, konden de onderzoekers achterhalen of een warm of koud ontbijt werd genuttigd, of de kinderen alleen thuis waren en of de televisie was ingeschakeld. Een interval van een maand, zoals het geval is bij "domme" meters, zal echter niet dezelfde informatie opleveren.

Ook meterdata kan derhalve persoonlijke informatie bevatten en wordt dientengevolge aangemerkt als persoonsgegevens. Deze gegevens moeten dan ook goed beveiligd worden. Gegevens moeten bijvoorbeeld via een versleutelde verbinding worden verstuurd.

De huidige situatie omtrent gegevensverwerking

De netbeheerder is verplicht om meetgegevens te verzamelen omtrent het gebruik van energie, indien dit noodzakelijk is voor de taken van de netbeheerder.3 De term noodzakelijk is echter niet duidelijk, welke gegevens mag de netbeheerder precies verwerken? In ieder geval:

  • de gegevens om eenmaal per jaar de afnemer te factureren; 4
  • de gegevens om eenmaal per jaar een verbruiks- en indicatief kostenoverzicht te versturen; en 5
  • indien de afnemener over een op afstand uitleesbare meter beschikt, maandelijks een verbruiks- en indicatief kostenoverzicht.6

De gegevens in de factuur betreffen onder andere de totaalgegevens van de verbruikte energie.7 Het kostenoverzicht bevat ook deze gegevens, plus een vergelijking van energieverbruik met de gemiddelde afnemer.8 De maandelijkse frequentie kan voorts op verzoek worden verlaagd. Voor deze verzameling is geen toestemming nodig, omdat dit plaatsvindt op grond van een wettelijke verplichting.9

De netbeheerder mag deze gegevens ook aan de energieleverancier doorgeven, mits het gaat om gegevens betreffende afnemers van die leverancier. Daarnaast mag de interval maximaal een dag zijn. Dit betekent dat alleen geaggregeerde gegevens van een enkele dag mogen worden doorgegeven.

De visie van de ACM

De visie van de ACM stelt dat de organisatie welke deze meetgegevens verzamelt, onderdeel kan zijn van een concern van bedrijven die producten met deze meetgegevens aanbieden. De organisatie die de gegevens verzamelt moet volgens de visie onafhankelijk blijven. In dergelijke gevallen kan worden gedacht aan een onafhankelijk bestuur en een raad van toezicht. Verder streeft de ACM naar gelijke toegang tot de meetdata onder redelijke voorwaarden voor alle partijen.

Het belangrijkste punt in de visie van de ACM gaat over het feit dat de consument zeggenschap moet hebben over zijn eigen data. De ACM stelt dat de consument op dit moment zelf geen mogelijkheid heeft tot inzage in zijn eigen gegevens. De derde organisatie, via welke de consument toegang wenst te verkrijgen in zijn gegevens, moet de toestemming van de consument aan de netbeheerder tonen. Dit zou in de praktijk op moeilijkheden stuiten.

De ACM heeft als visie dat er een systeem komt te bestaan waarin de consument kan bepalen welke partijen toegang tot zijn gegevens krijgen. Volgens de ACM is het namelijk op dit moment niet duidelijk wanneer de consument toestemming verleent en waarvoor.

Wat moet er daadwerkelijk gebeuren?

De ACM stelt juist vast dat de consument op grond van de AVG reeds diverse rechten heeft, zoals het recht op inzage en het recht op overdracht van gegevens. Het feit dat dit in de praktijk niet mogelijk blijkt te zijn door administratieve moeilijkheden, heeft echter geen invloed op deze rechten. De consument heeft simpelweg recht op inzage in zijn gegevens.

Indien de netbeheerder geen inzage geeft, dan kan de Autoriteit Persoonsgegevens worden gevraagd te handhaven of staat de gang naar de rechter open. Het moet echter wel gaan om inzage in persoonsgegevens, zoals metingen met een frequentie van een kwartier. Geaggregeerde gegevens van een maand zijn immers geen persoonsgegevens. Ook de wijze waarop toestemming wordt gevraagd, moet simpelweg voldoen aan de AVG.

Waar het binnen deze markt is misgegaan en wat er daadwerkelijk moet gebeuren, is dat organisaties bewust moeten zijn dat zij verantwoordelijk zijn voor de bescherming van persoonsgegevens. De meeste rechten en plichten omtrent privacy bestaan reeds vele jaren. Ditzelfde geldt voor de technieken in de IT om deze gegevens te beschermen.

Deze problematiek geeft aan dat, tijdens het ontwikkelen van bijvoorbeeld de slimme meter, niet is nagedacht over privacy. Het privacy-by-design principe is niet voldoende in acht genomen. Het zou organisaties, die deze nieuwe markt van energiegegevens betreden, sieren om hier beter mee om te gaan.

Nu de ACM deze visie heeft gepubliceerd, zal de volgende stap van de ACM en de Autoriteit Persoonsgegevens handhaving zijn. Zoals de minister reeds in 2016 heeft opgemerkt, biedt de huidige wet- en regelgeving voldoende waarborgen voor de privacy.10 Voor een goede borging van de privacy moeten deze regels echter goed worden nageleefd.

Wilt uw organisatie meterdata verwerken en heeft u hierover vragen? Neem dan vrijblijvend contact met ons op.

 

Voetnoten

  1. https://www.acm.nl/sites/default/files/documents/2019-03/visiedocument-datagovernance-energie.pdf.
  2. Prof. Dr.-Ing U. Greveler, Dr. B. Justus, D. Löhr MSc, "Hintergrund und experimentelle Ergebnisse zum Thema 'Smart Meter und Datenschutz'".
  3. Artikel 26ab Elektriciteitswet.
  4. Artikel 2 Besluit factuur, verbruiks- en indicatief kostenoverzicht energie
  5. Artikel 6 Besluit factuur, verbruiks- en indicatief kostenoverzicht energie.
  6. Artikel 7 Besluit factuur, verbruiks- en indicatief kostenoverzicht energie.
  7. Artikel 4 Besluit factuur, verbruiks- en indicatief kostenoverzicht energie.
  8. Artikel 10 Besluit factuur, verbruiks- en indicatief kostenoverzicht energie.
  9. Artikel 6 lid 1 sub c AVG.
  10. Kamerbrief 22 januari 2016, "Beschermingpersoonsgegevens bij slimme meters", DGETM-EI/ 15106488.