De Energiewet 1.0 deel 3: Energiedata als noodzakelijk en kansrijke grondstof

In dit derde deel uit de reeks De Energiewet 1.0, staan we stil bij de wijzigingen die zijn beoogd ten aanzien van het beheer en de uitwisseling van gegevens, in het bijzonder van energiedata.

De nieuwe Energiewet introduceert namelijk een herziening van het huidige stelsel gegevensuitwisseling.

Over wat voor soort data hebben we het eigenlijk?

De Europese richtlijn voor de interne markt voor elektriciteit (2019/944) onderscheidt voor de doeleinden van deze richtlijn: verbruiksgegevens, meetgegevens, gegevens nodig voor de eindafnemer om over te stappen naar een andere leverancier, vraagrespons gegevens en gegevens voor andere diensten.

In de huidige Elektriciteitswet zijn de relevante bepalingen omtrent gegevensbeheer en uitwisseling voornamelijk vastgelegd in de Technische Codes, in het bijzonder de Informatiecode en de Meetcode. In de Informatiecode is onder meer bepaald dat de netbeheerder de aansluitingen en geplande aansluitingen op het eigen net identificeert door aan elke aansluiting of geplande aansluiting één unieke EAN-code toe te kennen.

De netbeheerder neemt deze unieke EAN-codes op in een zogenaamd aansluitingenregister ten behoeve van haar eigen net waarin, naast deze unieke EAN code, ook andere gegevens worden opgenomen. Dit betreffen dan bijvoorbeeld (maar niet uitputtend) de identificatie van de actuele leverancier behorende bij de desbetreffende aansluiting (bedrijfs-EAN-code), de identificatie van de actuele programmaverantwoordelijke op de desbetreffende aansluiting (bedrijfs-EAN-code), maar ook de naam van de aangeslotene met wie de aansluit- en transportovereenkomst is gesloten en de adresgegevens behorend bij het overdrachtspunt van de aansluiting.

Het feit dat de gegevens deels als persoonsgegevens in de zin van de AVG kwalificeren en dus deels ook niet (omdat het gaat om niet-natuurlijk personen of om informatie die niet direct of indirect herleidbaar is tot een natuurlijk persoon), heeft ertoe geleid dat in de huidige regeling onduidelijkheden bestaan over de afbakening van rollen en bevoegdheden. Ook ontbreken er onvoldoende grondslagen en kaders over de vraag welke gegevens dan uitgewisseld moeten en kunnen worden.

Introductie wettelijke gegevensgrondslag

Het College van Beroep voor het bedrijfsleven (CBb) heeft op 14 januari 2020 een uitspraak gedaan in een beroepszaak van Vereniging Netbeheer Nederland en NEDU tegen het Besluit Dataveiligheid van 26 oktober 2018. In deze zaak draaide het om de vraag of een verplichting tot verwerking van persoonsgegevens zoals opgenomen in de Informatiecode kan worden gekwalificeerd als een wettelijke verplichting zoals bedoeld in artikel 6 lid 1 sub c van de AVG. Deze vraag is door het CBb ontkennend beantwoord. Om toch uitvoering te kunnen geven aan de bepalingen in de Informatiecode moeten netbeheerders beschikken over een andere geldige verwerkingsgrondslag, bijvoorbeeld toestemming van de betrokkene of gerechtvaardigd belang (op grond van artikel 6 lid 1a resp. 1f AVG).

Met de nieuwe Energiewet wordt de grondslag om (persoons)gegevens te verwerken op een hoger niveau (de wet) vastgelegd en niet zoals nu in de Informatiecode, waarvan de AP heeft uitgemaakt dat deze “code” niet valt onder een wettelijke grondslag zoals bedoeld in art 6 lid 1 sub c AVG.

Voorts beoogt de nieuwe Energiewet, vanwege de verwevenheid van gegevensverwerkingen die deels als persoonsgegevens kwalificeren en deels niet, zoveel mogelijk aan te sluiten bij de algemene principes van de AVG. Zo zullen bijvoorbeeld regels worden opgenomen over de inrichting van de verschillende processen waarin gegevens worden verwerkt. Ook zal nader worden uitgewerkt bepaald om welke gegevens het gaat en welke partij (of partijen) voor de daarbij aan te wijzen processen de betreffende gegevens verzamelt, aanlevert, ontvang of bewerkt.

Bijhouden register en meldingsplicht

Op zich niet nieuw is de verplichting om een register van gegevensverwerkingen bij te houden zowel op het niveau van de individuele netbeheerder als door de gezamenlijke netbeheerders, echter deze verplichting wordt met het wetsvoorstel bij wet vastgelegd. De zogeheten gegevensuitwisselingsentiteit krijgt de taak een uniform en centraal register te beheren van de gezamenlijke netbeheerders. Datalekken en incidenten moeten worden gemeld bij de Autoriteit Consument en Markt (ACM). Ziet de inbreuk op persoonsgegevens dan is tevens melding bij de Autoriteit Persoonsgegevens nodig.

Voor zover het dus gaat om (de uitwisseling van) persoonsgegevens blijven de bepalingen uit de AVG een rol spelen, immers de AVG is rechtstreeks werkend en gaat dus vóór de Energierichtlijn en de nieuwe Energiewet.

Meer weten over rechten en plichten rondom energiedata? Neem gerust contact op.