Wat gebeurt er met mijn meetgegevens?

Wat gebeurt er met mijn meetgegevens?

Zoals eerder bericht zie hier zijn meetgegevens uit de slimme meter aan te merken als persoonsgegevens. Dit betekent dat de meetgegevens onder de Wet Bescherming Persoonsgegevens (Wbp) vallen. De energieleveranciers hebben een privacygedragscode voor de omgang met meetgegevens opgesteld zie hier en het College Bescherming Persoonsgegevens (CBP) keurde deze op 8 januari 2013 goed zie hier.

In een reeks blogberichten ga ik op deze Gedragscode in. In dit blogbericht ga ik in op de grondslagen en doeleinden voor het verwerken van meetgegevens.

Grondslagen voor verwerking persoonsgegevens

Om persoonsgegevens, dus ook meetgegevens, te kunnen verwerken is een “grondslag” nodig. Dat kan alleen maar op één of meer van zes in de Wbp (artikel 8) genoemde gronden.

Deze zijn kort gezegd:

a.⇥op grond van ondubbelzinnige toestemming,
b.⇥op grond van een overeenkomst met de betrokkene (dit is degene op wie de gegevens betrekking hebben),
c.⇥het is noodzakelijk om een wettelijke plicht te vervullen,
d.⇥als dat nodig is in verband met een “vitaal belang” van de betrokkene,
e.⇥door een bestuursorgaan (waarover helemaal onderaan nog een opmerking), of
f.⇥een gerechtvaardigd belang van degene die de gegevens verwerkt. Als uitgangspunt geldt dat deze laatste grond een restcategorie vormt voor de verzameling van persoonsgegevens.

Grondslag verwerking meetgegevens wetsgeschiedenis

Deze zes grondslagen zijn vrijwel één op één overgenomen in de Gedragscode. Dit riep bij mij meteen vragen op, want over de grondslag voor het verwerken van meetgegevens uit de slimme meter is veel gezegd tijdens de parlementaire behandeling van het wetsvoorstel over de slimme meter, maar niet over de grondslagen onder b, d, e of f.

De indruk die ik uit de wetgeschiedenis kreeg was dat de meetgegevens door leveranciers mochten worden verwerkt op basis van een wettelijke plicht (sub c) in de zogenaamde “standaard situatie” en dat voor ander gebruik de ondubbelzinnig toestemming van de afnemer nodig was (sub a).

Maar dit is kennelijk niet het geval. Tenminste, blijkens de Gedragscode mag de verwerking van de meetgegevens op één van de zes genoemde grondslagen worden gebaseerd.
Het lijkt mij dat alleen de eerste verzameling (verwerking) van de meetgegevens moet zijn gebaseerd op de wettelijke plicht van het verzamelen van de gegevens in de “standaard situatie” – tenzij er ondubbelzinnige toestemming is gegeven. Voor het eventueel verder verwerken van de meetgegevens zou dan een andere grondslag kunnen gelden – ervan uitgaande dat dit verder verwerken niet in strijd is met het doel waarvoor de meetgegevens zijn verzameld.   

Doeleinden in de Gedragscode

Persoonsgegevens mogen alleen voor welbepaalde doeleinden worden gebruikt.

De Gedragscode schrijft voor dat de meetgegevens alleen voor de volgende doeleinden mogen worden verwerkt:

1.⇥het twee maandelijks verstrekken van inzicht in het energieverbruik,
2.⇥ten behoeve van facturatie, verhuizing en switchen van leverancier, oftewel: de “standaard situatie”;
3.⇥advies over energie besparen, efficientere teruglevering en variabele tarifering,
4.⇥het beantwoorden van vragen en verstrekken van inlichtingen over het verbruik, oftewel: “overige diensten”;
5.⇥marketing gerelateerde doeleinden;
6. interne beheersdoeleinden.

Verenigbare doeleinden?

De Wbp schrijft voor dat persoonsgevens niet verder mogen worden verwerkt op een manier die onverenigbaar is met het oorspronkelijke doel waarvoor ze zijn verzameld.

In de Gedragscode wordt gezegd dat de meetgegevens die in de standaard situatie worden verzameld ook gebruikt kunnen worden voor de “overige diensten” zoals energiebesparingsadviezen en advies over efficiente teruglevering, maar ook voor marketing doeleinden, waaronder marketing van diensten of producten van dochterondernemingen en (onder voorwaarden) voor interne beheersdoeleinden.

Ik vraag mij af dit in overeenstemming is met de opzet van de relevante artikelen in de Elektriciteitswet en Gaswet.

Door de minister is destijds uitdrukkelijk gezegd dat, bij het verzamelen van de gegevens:

“kan niet voorbij worden gegaan aan het belang van een zo helder mogelijke afbakening van het doel waarvoor persoonsgegevens verwerkt kunnen worden. Om die reden is samen met de sector nog eens kritisch gekeken naar de frequentie waarmee door de sector gegevens worden verzameld en verwerkt en is de afbakening, zoals beschreven in het wetsvoorstel marktmodel, geëxpliciteerd. In de eerste plaats wordt voorgesteld in de wet een expliciete verbinding te leggen tussen het verzamelen van persoonsgegevens en de beoogde doelen van de wetsvoorstellen marktmodel en energie efficiëntie (doelmatig netbeheer, juist factureren, snellere gegevensverwerking en inzicht geven in het energieverbruik).”

De laatste onderstreping geeft de “standaard situatie” weer: het oorspronkelijke doel van de gegevensverwerking. De geciteerde tekst lijkt gezien de expliciete verbinding met de taken van de leverancier tot gevolg te hebben dat de gegevens die in de standaard situatie worden verzameld niet zomaar voor andere doeleinden mogen worden gebruikt, zoals energiebesparingsadviezen, advies over efficiente teruglevering, voor het beantwoorden van vragen van afnemers, voor marketing doeleinden of interne beheersdoeleinden zoals in de Gedragscode wordt genoemd.

Maar de minister zegt later in het zelfde stuk:

“De leverancier of een derde partij kan de kleinverbruiker actief benaderen voor het geven van bijvoorbeeld energiebesparingsadviezen of andere diensten. Zo ligt in de lijn der verwachting dat er verschillende tariefpakketten aangeboden zullen worden aan de kleinverbruiker, die meer zijn toegesneden op het specifieke profiel van de betreffende kleinverbruiker.”

Het lijkt er dus op dat de wetgeschiedenis aanvaardt dat het verder verwerken van de meetgegevens voor het benaderen van de afnemer voor de door de Gedragscode genoemde “overige diensten” niet in strijd is met het oorspronkelijke doel, namelijk de gegevensverzameling in de standaard situatie.

Marketing doeleinden

Verder wijdt de Gedragscode een uitvoerige toelichting aan het gebruik van de meetgegevens voor marketing doeleinden, waaronder marketing van producten of diensten van dochtermaatschappijen. Het komt op mij over alsof de leveranciers hiermee publiekelijk proberen te rechtvaardigen dat ze de meetgegevens ook voor deze doeleinden mogen gebruiken.

Persoonlijk vind ik dit wat ver gaan. Dat de gegevens ook worden gebruikt voor energiebesparingsadviezen, advies over efficiente teruglevering, variabele tarifering en het beantwoorden van vragen van afnemers ligt nog enigszins in de lijn der verwachting, maar zeker gezien de wetgeschiedenis waarin uitgebreid aandacht is besteed aan de privacy van de afnemer van de slimme meter, vraag ik mij af of dit gebruik de toets kan doorstaan.

Interne beheersdoeleinden

Dit geldt des te meer voor het gebruiken van de meetgegevens voor “interne beheersdoeleinden”. De Gedragscode geeft als voorbeelden hiervan het optimaliseren van de bedrijfsvoering, het bepalen van in- en verkoopstrategieen, optimale inzet van resources en risicobeheer. Hoewel in de Gedragscode als uitgangspunt wordt genomen dat dit soort gebruik in principe niet is toegestaan, mag het wel als de leverancier kan aantonen als deze gegevens niet voor dat doel op geagegreerd niveau kunnen worden verwerkt. Ik ben bang dat dit de leveranciers erg veel interpretatie- en speelruimte zal geven. En naar mijn mening zal het gebruik van de meetgegevens voor deze doeleinden niets snel de verenigbaarheidstoest doorstaan.

Grondslagen

Voor de meeste doeleinden geeft de Gedragscode (althans, de toelichting) uitdrukkelijk de grondslagen:
1.⇥het twee maandelijks verstrekken van inzicht in het energieverbruik,
2.⇥ten behoeve van facturatie, verhuizing en switchen van leverancier, deze gegevens mogen blijken de Gedragscode op basis van een wettelijke plicht (sub c) en/of op basis van een overeenkomst (sub b) worden verwerkt. Volgens mij volgt uit de   wetsgeschiedenis dat alleen sub c kan zijn;
3. advies over energie bespraren, efficientere teruglevering en variablele tarifering;
4. het beantwoorden van vragen en verstrekken van inlichtingen over het verbruik, oftewel: “overige diensten”. Niet uitdrukkelijk wordt genoemd wat de grondslag is voor deze gegevensverwerking (zie daarover hierna meer);
5. marketing gerelateerde doeleinden met gegevens uit de standaard situatie; deze gegevens mogen worden verwerkt omdat dit blijkens de Gedragscode een gerechtvaardigd belang van de leverancier kan dienen (sub f);
6. marketing gerelateerde doeleinden met gegevens niet uit standaard situatie: dit mag alleen op basis van de ondubbelzinnige toestemming van de afnemer (sub a)
7. en interne beheersdoeleinden; dit mag kennelijk gebaseerd worden op één van de zes grondslagen maar is (dus) naar mijn mening in strijd met het oorspronkelijke doel waarvoor de meetgevens zijn verzameld en zou dus uberhaupt niet mogen gebeuren.

Verder wordt de ondubbelzinnige toestemming (sub a) in de Gedragscode terecht verplicht gesteld voor het verwerken van uurwaarden en kwartierwaarden. Dit geldt voor welk type doeleinden dan ook.

Grondslag gerechtvaardigd belang leverancier
De Gedragscode maakt niet expliciet wat de grondslag is voor de verwerking van de meetgegevens voor overige diensten maar ik vermoed dat dit sub f is, namelijk dat dit nodig is op basis van een gerechtvaardigd belang van de leverancier.

Als dat zo is, moet de leverancier nog de afweging maken of het belang of de fundamentele rechten en vrijheden van de afnemer, in het bijzonder het recht op bescherming van de persoonlijke levenssfeer, niet prevaleert. Ook moet de leverancier er dan rekening mee houden dat de afnemer zich tegen het verwerken van de persoonsgegevens voor deze doeleinden kan verzetten op grond van de Wbp.

Dit geldt ook voor het gebruik van de meetgegevens uit de standaard situatie voor marketing doeleinden (zie onder 5 hierboven) want de grondslag die hiervoor wordt genoemd is sub f.

De grondslag voor deze gegevensverwerking zou ook op basis van een overeenkomst (sub b) kunnen zijn.

Ondubbelzinnige toestemming intrekken, gegevensverwerking beëindigen
Er is tijdens de behandeling van het wetsvoorstel veel te doen geweest over de ondubbelzinnige toestemming voor het verwerken van uurwaarden en kwartierwaarden. Om de privacy van de afnemer beter te waarborgen, is in de Elekriciteitswet en Gaswet opgenomen dat de verwerking van deze waarden alleen kan geschieden op basis van ondubbelzinnige toestemming. Dit betekent dat de volgende tekst uit de toelichting in de Gedragscode:

“Ondubbelzinnige Toestemming kan te allen tijde worden ingetrokken. Na deze intrekking mag de Leverancier de Verwerking niet meer baseren op Ondubbelzinnige Toestemming. Als de Verwerking dan niet op een van de andere Verwerkingsgrondslagen (zie paragraaf 3.4 resp. artikel 8 Wbp) kan worden gebaseerd, moet deze Verwerking dus worden beëindigd,”

mij niet juist lijkt. Als de verplicht gestelde ondubbelzinnige toestemming voor uurwaarden en dagwaarden wordt ingetrokken, dan kan de verwerking van die meetgegevens naar mijn mening dan ook niet op een andere grondslag worden gebaseerd.

Verwerking meetgegevens door bestuursorgaan?

Dan tot slot een technisch detail. In de Gedragscode is ook de grondslag van artikel 8 wbp onder e één of één (of klakkeloos?) overgenomen:“de Verwerking van Persoonlijke Meetgegevens noodzakelijk is voor de goede vervulling van de publieke taak van een bestuursorgaan waaraan de Persoonlijke Meetgegevens worden Verstrekt.”

Maar deze grond heeft alleen betrekking op bestuursorganen die de persoonsgegevens zelf ontvangen. Dit blijkt uit de parlementaire geschiedenis, vermeld in de Wbp-naslag van het CBP zelf zie hier

“Verwerking uitbesteden aan niet-bestuursorgaan
De in onderdeel e gehanteerde terminologie sluit niet uit dat het bestuursorgaan de verwerking van de gegevens uitbesteedt aan een particuliere instelling. Deze instelling zal echter niet als verantwoordelijke mogen worden aangemerkt. De bepaling biedt geen grondslag voor de verzameling of de vastlegging van persoonsgegevens door een instantie die geen bestuursorgaan is. Dergelijke verwerkingen zullen bijvoorbeeld door artikel 8, onder c of f, moeten worden gerechtvaardigd. (MvT, II, nr. 3, blz. 85)”.

Ik kan mij in de huidige geprivatiseerde energiemarkt geen energieleverancier bedenken die is aan te merken als een publiek bestuursorgaan.