22 jun '22
Inmiddels is het meer dan 4 jaar geleden dat de Algemene verordening gegevensbescherming (AVG) van kracht is geworden. Naar aanleiding van de invoering van de AVG heeft vrijwel elk bedrijf zich beziggehouden met de verplichtingen die de AVG met zich meebrengt. Dit geldt uiteraard ook voor bedrijven in de energiesector. De meeste van de bedrijven in de energiesector zullen inmiddels dan ook wel de nodige stappen hebben gezet om “AVG-compliant” te zijn. Echter, compliance is geen momentopname. Zowel de werkwijze van de bedrijven in de energiesector zelf, als de omgeving waarin zij opereren is altijd in ontwikkeling. Dit geldt te meer nu de laatste jaren in toenemende mate aandacht wordt besteed aan de “energietransitie”. Met die term wordt vaak verwezen naar het overstappen van fossiele energiebronnen naar meer duurzame bronnen, maar de energietransitie is breder dan dat. Wanneer wij het over de energietransitie hebben, dan hebben wij het over alle stappen die in de energiesector worden gezet om de energievoorziening structureel te veranderen. Ook daarbij speelt de verwerking van persoonsgegevens een rol.
In dit blog zal worden ingegaan op privacy gerelateerde aandachtspunten voor de energiesector. Daarbij wordt ook ingegaan op het gebruik van ‘slimme meters’ en worden praktische tips gegeven, waarmee u uw bedrijf AVG-compliant kunt maken of houden.
In de energiesector worden, net als in vrijwel alle andere sectoren, al langer persoonsgegevens verwerkt. Hierbij kan gedacht worden aan een aantal voor de hand liggende voorbeelden, zoals het verwerken van contact- en betalingsgegevens van klanten om stroom aan hen te leveren, de verwerking van salarisgegevens van medewerkers om hun loon te betalen en het verwerken van contactgegevens van leveranciers. Dit zijn allemaal “klassieke” voorbeelden van persoonsgegevens onder de AVG die passen bij de bedrijfsprocessen in de energiesector.
Met het oog op de energietransitie zetten veel bedrijven in de energiesector zich in om energie op een “slimme” manier te leveren. Hierbij worden bijvoorbeeld ‘slimme meters’ ingezet, die inzage geven in het energieverbruik van een huishouden. De gegevens die door deze slimme meters worden geregistreerd betreffen bijvoorbeeld hoeveel energie een bepaald huishouden op een bepaald moment verbruikt. Deze gegevens zijn gekoppeld zijn aan een energiecontract en dus aan een bepaald persoon of bepaalde personen. Derhalve kwalificeren deze gegevens als ‘persoonsgegevens’.
Energieleveranciers zullen deze gegevens graag zoveel mogelijk willen kunnen gebruiken. Vanuit privacyrechtelijk oogpunt moet echter bedacht worden dat deze persoonsgegevens beschermd zijn en dus niet onbegrensd ingezet mogen worden.
Als in de inleiding van dit blog aangegeven is privacy compliance geen momentopname, maar een continu proces. Bij nieuwe ontwikkelingen dient dus telkens beoordeeld te worden wat deze inhouden voor uw bedrijf op het gebied van privacy.
Om orde te scheppen in de veelvoud aan regels die de AVG inhoudt zijn door Ploum onderstaande zeven vuistregels opgesteld. Wij raden u aan om deze vuistregels te volgen voor alle verwerkingsactiviteiten die u onderneemt – en de naleving daarvan zo nu en dan te controleren. Volledige AVG-compliance is ook wanneer deze vuistregels worden nageleefd uiteraard niet te garanderen, maar met naleving van deze vuistregels is een bedrijf in ieder geval een goed eind op weg. Onze vuistregels zijn de volgende:
Voor een nadere toelichting op deze vuistregels verwijzen wij naar onze podcastserie.
Bij het hiervoor genoemde voorbeeld van het inzetten van een slimme meter, moeten bedrijven in de energiesector dus constateren dat zij daarmee meer persoonsgegevens gaan verwerken dan voorheen. Daarbij dient een inventarisatie te worden gemaakt: welke persoonsgegevens zijn dit, waarom is het noodzakelijk om deze te verwerken en op welke wettelijke grondslag kan men hiervoor een beroep doen? Daarnaast dienen deze bedrijven te constateren dat zij deze gegevens uit een nieuwe bron verkrijgen en dat deze meters middels software zullen worden uitgelezen. Daarbij dienen deze bedrijven zich af te vragen of hier derde partijen bij zijn betrokken en zo ja, of zij daarmee een verwerkers- of vergelijkbare overeenkomst hebben gesloten. Ook dient te worden afgevraagd of de gegevens met andere partijen gedeeld worden (en of dat mag).
Verdere acties zijn mede afhankelijk van de gevoeligheid van de betrokken gegevens en de risico’s die komen kijken bij de verwerking die een bedrijf uitvoert. Wanneer een bedrijf tot de conclusie komt dat de verwerking een hoog risico bevat, is het verplicht om een Data Processing Impact Assessment (DPIA) uit te voeren. Van een hoog risico zal bij de inzet van slimme meters al snel sprake zijn, nu een nieuwe techniek wordt ingezet waarmee dat hoge risico geïmpliceerd is. Met een DPIA worden alle risico’s bij de verwerking in kaart gebracht, zodat de verwerking op een verantwoorde manier kan worden uitgevoerd (tenzij de conclusie van het DPIA is dat de verwerking niet op een verantwoorde manier kan worden uitgevoerd, in welk geval de Autoriteit Persoonsgegevens (AP) dient te worden geraadpleegd).
Om de verwerking vervolgens op een verantwoorde manier uit te voeren, dienen (beveiligings)maatregelen getroffen te worden. Daarbij kan gedacht worden aan het treffen van de nodige technische beveiligingsmaatregelen (als het installeren van firewalls) en het opstellen van of aanpassen van een bestaande privacyverklaring om betrokkenen te informeren over een nieuwe verwerking.
Daarnaast zijn er nog tal van mogelijke acties die een bedrijf in de energiesector eventueel dient uit te voeren op grond van de AVG, waarbij wij verwijzen naar onze zeven vuistregels als startpunt maar waarbij wij uiteraard ook graag meedenken.
Zoals u in dit blog heeft kunnen lezen, dient u er telkens wanneer u een nieuwe activiteit uit gaat voeren op bedacht te zijn dat deze activiteit ook een nieuwe verwerking van persoonsgegevens in kan houden. Indien dit het geval is dient u deze verwerking in kaart te brengen en alle acties uit te voeren die nodig zijn om ervoor te zorgen dat de verwerking overeenkomstig de AVG wordt uitgevoerd. Dat is uiteraard in de praktijk een stuk makkelijker gezegd dan gedaan. Heeft u hulp nodig bij het AVG-compliant maken of houden van uw bedrijf? Wij helpen u uiteraard graag, ook bij het verrichten van een Quick Scan of uw documenten nog up-to-date zijn. Hiervoor kunt u contact met ons opnemen via privacy@ploum.nl.
Contact
Neem contact op via onderstaand telefoonnummer of stuur ons een email.
+31104406440 privacy@ploum.nlGerelateerde downloads
01 nov 24
21 okt 24
14 okt 24
13 okt 24
09 okt 24
07 okt 24
27 sep 24
13 sep 24
13 aug 24
13 aug 24
19 jul 24
17 jul 24
Met uw inschrijving blijft u op de hoogte van de laatste juridische ontwikkelingen op dit gebied. Vul hieronder uw gegevens in om per e-mail op te hoogte te blijven.
Blijf op de hoogte van de laatste juridische ontwikkelingen in uw sector. Vul hieronder uw gegevens in om op maat gesneden juridische updates en uitnodigingen voor evenementen te ontvangen.
Volgen wat u interessant vindt
Krijg aanbevelingen op basis van uw interesses
{phrase:advantage_3}
{phrase:advantage_4}
We vragen u om uw voor- en achternaam zodat wij die kunnen gebruiken als u zich bijvoorbeeld inschrijft op een Ploum Kennisevent.
Er wordt automatisch een wachtwoord voor u aangemaakt. Zodra uw account is aangemaakt ontvangt u dit wachtwoord in een welkomstmail. U kunt er direct mee inloggen. Dit wachtwoord kunt u indien gewenst ook zelf aanpassen via de wachtwoord vergeten functie.