De AVG en de energiesector

22 jun '22

Auteur(s): Nina Witt, Lars Boer,

Inmiddels is het meer dan 4 jaar geleden dat de Algemene verordening gegevensbescherming (AVG) van kracht is geworden. Naar aanleiding van de invoering van de AVG heeft vrijwel elk bedrijf zich beziggehouden met de verplichtingen die de AVG met zich meebrengt. Dit geldt uiteraard ook voor bedrijven in de energiesector. De meeste van de bedrijven in de energiesector zullen inmiddels dan ook wel de nodige stappen hebben gezet om “AVG-compliant” te zijn. Echter, compliance is geen momentopname. Zowel de werkwijze van de bedrijven in de energiesector zelf, als de omgeving waarin zij opereren is altijd in ontwikkeling. Dit geldt te meer nu de laatste jaren in toenemende mate aandacht wordt besteed aan de “energietransitie”. Met die term wordt vaak verwezen naar het overstappen van fossiele energiebronnen naar meer duurzame bronnen, maar de energietransitie is breder dan dat. Wanneer wij het over de energietransitie hebben, dan hebben wij het over alle stappen die in de energiesector worden gezet om de energievoorziening structureel te veranderen. Ook daarbij speelt de verwerking van persoonsgegevens een rol.

In dit blog zal worden ingegaan op privacy gerelateerde aandachtspunten voor de energiesector. Daarbij wordt ook ingegaan op het gebruik van ‘slimme meters’ en worden praktische tips gegeven, waarmee u uw bedrijf AVG-compliant kunt maken of houden.

De verwerking van persoonsgegevens in de energiesector

In de energiesector worden, net als in vrijwel alle andere sectoren, al langer persoonsgegevens verwerkt. Hierbij kan gedacht worden aan een aantal voor de hand liggende voorbeelden, zoals het verwerken van contact- en betalingsgegevens van klanten om stroom aan hen te leveren, de verwerking van salarisgegevens van medewerkers om hun loon te betalen en het verwerken van contactgegevens van leveranciers. Dit zijn allemaal “klassieke” voorbeelden van persoonsgegevens onder de AVG die passen bij de bedrijfsprocessen in de energiesector.

Met het oog op de energietransitie zetten veel bedrijven in de energiesector zich  in om energie op een “slimme” manier te leveren. Hierbij worden bijvoorbeeld ‘slimme meters’ ingezet, die inzage geven in het energieverbruik van een huishouden. De gegevens die door deze slimme meters worden geregistreerd betreffen bijvoorbeeld hoeveel energie een bepaald huishouden op een bepaald moment verbruikt. Deze gegevens zijn gekoppeld zijn aan een energiecontract en dus aan een bepaald persoon of bepaalde personen. Derhalve kwalificeren deze gegevens als ‘persoonsgegevens’.

Energieleveranciers zullen deze gegevens graag zoveel mogelijk willen kunnen gebruiken. Vanuit privacyrechtelijk oogpunt moet echter bedacht worden dat deze persoonsgegevens beschermd zijn en dus niet onbegrensd ingezet mogen worden.

Praktische tips om AVG-compliant te blijven

Als in de inleiding van dit blog aangegeven is privacy compliance geen momentopname, maar een continu proces. Bij nieuwe ontwikkelingen dient dus telkens beoordeeld te worden wat deze inhouden voor uw bedrijf op het gebied van privacy.

De zeven vuistregels

Om orde te scheppen in de veelvoud aan regels die de AVG inhoudt zijn door Ploum onderstaande zeven vuistregels opgesteld. Wij raden u aan om deze vuistregels te volgen voor alle verwerkingsactiviteiten die u onderneemt – en de naleving daarvan  zo nu en dan te controleren. Volledige AVG-compliance is ook wanneer deze vuistregels worden nageleefd uiteraard niet te garanderen, maar met naleving van deze vuistregels is een bedrijf in ieder geval een goed eind op weg. Onze vuistregels zijn de volgende:

  1. Verwerk de persoonsgegevens alleen als daar een in de wet vermelde grondslag voor is;
  2. Verzamel, gebruik en bewaar niet meer persoonsgegevens dan nodig en alleen als er geen andere manier is om het zelfde doel te bereiken die minder belastend voor de privacy is (dataminimalisatie; alleen need to know);
  3. Gebruik de persoonsgegevens alleen voor het doel waarvoor ze verkregen zijn (doelbinding);
  4. Vertel altijd aan de betrokkene wat met zijn persoonsgegevens wordt gedaan (transparantiebeginsel);
  5. Hoe privacygevoeliger de informatie, hoe meer vereisten (gewone, gevoelige en bijzondere persoonsgegevens);
  6. Neem passende technische en organisatorische maatregelen tegen verlies, onbevoegde toegang of onbeschikbaarheid van de persoonsgegevens;
  7. Regel voldoende waarborgen als wanneer persoonsgegevens met derden worden uitgewisseld.

Voor een nadere toelichting op deze vuistregels verwijzen wij naar onze podcastserie.

Een voorbeeld: de inzet van de slimme meter

Bij het hiervoor genoemde voorbeeld van het inzetten van een slimme meter, moeten bedrijven in de energiesector dus constateren dat zij daarmee meer persoonsgegevens gaan verwerken dan voorheen. Daarbij dient een inventarisatie te worden gemaakt: welke persoonsgegevens zijn dit, waarom is het noodzakelijk om deze te verwerken en op welke wettelijke grondslag kan men hiervoor een beroep doen? Daarnaast dienen deze bedrijven te constateren dat zij deze gegevens uit een nieuwe bron verkrijgen en dat deze meters middels software zullen worden uitgelezen. Daarbij dienen deze bedrijven zich af te vragen of hier derde partijen bij zijn betrokken en zo ja, of zij daarmee een verwerkers- of vergelijkbare overeenkomst hebben gesloten. Ook dient te worden afgevraagd of de gegevens met andere partijen gedeeld worden (en of dat mag).

Verdere acties zijn mede afhankelijk van de gevoeligheid van de betrokken gegevens en de risico’s die komen kijken bij de verwerking die een bedrijf uitvoert. Wanneer een bedrijf tot de conclusie komt dat de verwerking een hoog risico bevat, is het verplicht om een Data Processing Impact Assessment (DPIA) uit te voeren. Van een hoog risico zal bij de inzet van slimme meters al snel sprake zijn, nu een nieuwe techniek wordt ingezet waarmee dat hoge risico geïmpliceerd is. Met een DPIA worden alle risico’s bij de verwerking in kaart gebracht, zodat de verwerking op een verantwoorde manier kan worden uitgevoerd (tenzij de conclusie van het DPIA is dat de verwerking niet op een verantwoorde manier kan worden uitgevoerd, in welk geval de Autoriteit Persoonsgegevens (AP) dient te worden geraadpleegd).

Om de verwerking vervolgens op een verantwoorde manier uit te voeren, dienen (beveiligings)maatregelen getroffen te worden. Daarbij kan gedacht worden aan het treffen van de nodige technische beveiligingsmaatregelen (als het installeren van firewalls) en het opstellen van of aanpassen van een bestaande privacyverklaring om betrokkenen te informeren over een nieuwe verwerking.

Daarnaast zijn er nog tal van mogelijke acties die een bedrijf in de energiesector eventueel dient uit te voeren op grond van de AVG, waarbij wij verwijzen naar onze zeven vuistregels als startpunt maar waarbij wij uiteraard ook graag meedenken.

Tot slot

Zoals u in dit blog heeft kunnen lezen, dient u er telkens wanneer u een nieuwe activiteit uit gaat voeren op bedacht te zijn dat deze activiteit ook een nieuwe verwerking van persoonsgegevens in kan houden. Indien dit het geval is dient u deze verwerking in kaart te brengen en alle acties uit te voeren die nodig zijn om ervoor te zorgen dat de verwerking overeenkomstig de AVG wordt uitgevoerd. Dat is uiteraard in de praktijk een stuk makkelijker gezegd dan gedaan. Heeft u hulp nodig bij het AVG-compliant maken of houden van uw bedrijf? Wij helpen u uiteraard graag, ook bij het verrichten van een Quick Scan of uw documenten nog up-to-date zijn. Hiervoor kunt u contact met ons opnemen via privacy@ploum.nl.

Contact

Advocaat

Nina Witt

Expertises:  IT-recht,Privacyrecht,Intellectuele Eigendom, Food,Zorg, E-health,E-commerce,

Advocaat

Lars Boer

Expertises:  IT-recht,Privacyrecht,Aanbestedingsrecht, Technologie, media en telecom, Commerciële contracten,

Gerelateerde downloads

Deel dit artikel

Reageer op dit artikel

Wilt u reageren op dit artikel? Inloggen of maak een Mijn Ploum account aan om uw reactie te plaatsen


Blijf op de hoogte

Voeg deze interesses toe aan Mijn Ploum.

Expertise(s)

Onderwerp(en)

Auteur(s)

Heeft u vragen over privacyrecht?

Neem contact op via onderstaand telefoonnummer of stuur ons een email.

Toon alle contactgegevens

Stel direct een vraag

Inschrijven nieuwsbrief

Persoonlijke gegevens

 

Bedrijfsgegevens

Meer informatie over hoe we uw persoonlijke gegevens gebruiken, kunt u lezen in ons Privacy statement. U kunt uw voorkeuren altijd wijzigen via de link ‘Wijzig uw gegevens' of u afmelden via de link ‘Afmelden'. Deze links vindt u onderaan ieder bericht dat u van Ploum ontvangt.

* Verplicht in te vullen velden.

Geïnteresseerd in

Account aanmaken

Haal alles uit Ploum.nl. Binnen een minuut geregeld.

Ik heb al een account

Voordelen Mijn Ploum

  • Volgen wat u interessant vindt
  • Krijg aanbevelingen op basis van uw interesses
  • Snel inschrijven voor kennisevents en Ploum Academy
  • Vraag en antwoord mogelijkheden gebruiken bij artikelen

Account aanmaken

Haal alles uit Ploum.nl. Binnen een minuut geregeld.

*Verplicht in te vullen velden.

Ik heb al een account

Voordelen Mijn Ploum

Volgen wat u interessant vindt

Krijg aanbevelingen op basis van uw interesses

Snel inschrijven voor kennisevents en Ploum Academy

Reacties op artikelen plaatsen


Waarom vragen we uw naam?

We vragen u om uw voor- en achternaam zodat wij die kunnen gebruiken als u zich bijvoorbeeld inschrijft op een Ploum Kennisevent.

Wachtwoord

Er wordt automatisch een wachtwoord voor u aangemaakt. Zodra uw account is aangemaakt ontvangt u dit wachtwoord in een welkomstmail. U kunt er direct mee inloggen. Dit wachtwoord kunt u indien gewenst ook zelf aanpassen via de wachtwoord vergeten functie.