Slimme warmtemeters en privacy – waar moet aan worden gedacht?

6 mei 2020 | Blog

In oktober 2020 moeten alle nieuw te installeren meters ‘slim’ zijn, dit betekent dat zij op afstand uit te lezen moeten zijn. Maar bij het gebruik en het uitlezen van deze slimme meters, speelt het privacy recht een belangrijke rol. Bijvoorbeeld op het gebied van beveiligings- en informatieverplichtingen.

Wil je als warmteleverancier aan de slag gaan met slimme meters, houd dan in het kader van privacy in ieder geval rekening met de beveiliging van persoonsgegevens, het informeren van betrokkenen, het uitvoeren van een DPIA en de overeenkomsten met derde partijen. Lees in dit blog meer over de aandachtspunten en hoe hiermee om te gaan.

Wetsvoorstel

Recent heeft de Tweede Kamer ingestemd met een wetsvoorstel dat regelt dat alle warmtemeters (en koudemeters, maar die laten we even buiten beschouwing) op afstand uitleesbaar moeten zijn. Dit worden ook wel ‘slimme warmtemeters’ genoemd. Hiermee wordt de Richtlijn Energie-efficiëntie 2018/2002/EU (‘de Richtlijn’) geïmplementeerd. Omdat de uiterlijke implementatiedatum 25 juni 2020 is, doet de Eerste Kamer er op dit moment alles aan om de wet op die datum in werking te laten treden.

Concreet bepaalt het wetsvoorstel dat alle warmtemeters die na 25 oktober 2020 nieuw geïnstalleerd worden slim moeten zijn. En op den duur moeten alle warmtemeters door slimme meters vervangen zijn, behalve als dit niet kostenefficiënt is.

Door ‘verslimming’ kunnen warmtemeters op afstand worden uitgelezen. Zo krijgen consumenten accurate, betrouwbare, duidelijke en tijdige informatie over hun verbruik. De gedachte is dat zij hiermee hun (warmte-)verbruik kunnen terugdringen wat uiteindelijk zou moeten leiden tot een verlaging van het ‘overall’ energieverbruik. Feit is echter wel dat niet alleen de consument inzicht krijgt in deze gegevens. Zo kan deze informatie ook worden verstuurd naar de leverancier of een derde-dienstverlener.

Meetgegevens en privacy

Met slimme meters kunnen derden, zoals een warmteleverancier of derde-dienstverleners en andere partijen met wie een warmteleverancier informatie deelt (denk aan een app-aanbieder), dus inzicht krijgen in de manier van verbruik en soms zelfs in het privéleven van consumenten. Zo kan laag verbruik over een langere periode betekenen dat iemand op vakantie is en uit een stijging in verbruik na kantooruren worden afgeleid dat een persoon tijdens kantooruren werkt.

Als een meetgegeven informatie bevat over een (te identificeren) natuurlijke persoon, of samen met andere gegevens kan leiden tot informatie over een natuurlijke persoon, is sprake van een persoonsgegeven als bedoeld in de AVG. Dan is het privacyrecht van toepassing, wat de volgende aandachtspunten meebrengt.  

Mogelijkheid tot weigering

Allereerst is van belang dat de consument, ook als straks de plicht bestaat om slimme warmtemeters te installeren, het recht heeft om deze te weigeren (art. 8 lid 3 Warmtewet). En als er al een slimme meter staat, kan de consument verzoeken dat deze niet op afstand wordt uitgelezen (art. 8 lid 4 Warmtewet). De consument moet in die gevallen zelf het verbruik doorgeven of periodiek door de leverancier of het meetbedrijf (in geval van een warmtekostenverdeler) laten opnemen.

Deze regeling is een uitvloeisel van de kritiek die al in 2009 al bestond toen de Tweede Kamer de afname van slimme gas- en elektriciteitsmeters wilde verplichten. Dit voorstel is uiteindelijk door de Eerste Kamer afgewezen in verband met privacyrechtelijke bezwaren hieromtrent. Ook de Autoriteit Persoonsgegevens (“AP”) had destijds kritiek op het wetsvoorstel.

Beveiliging

Uit de AVG volgt de verplichting dat “passende technische en organisatorische maatregelen” ter bescherming van persoonsgegevens genomen moeten worden (art. 32 AVG). Deze verplichting houdt in dat niet alleen aan de technische aspecten moet worden gedacht, maar ook aan organisatorische zoals bijvoorbeeld beveiligings- en datalekprotocollen en trainingen van werknemers. Nu is beveiliging natuurlijk van belang voor elke verwerking van persoonsgegevens, maar bij slimme meters helemaal. Een inbreuk kan namelijk leiden tot (onbevoegd) inzicht in leefpatronen van consumenten.

Aanvullende beveiligingseisen voor warmteleveranciers zijn tot nog toe niet gesteld, terwijl de Warmtewet wel in een expliciete grondslag daarvoor voorziet (art. 8 lid 6 sub a Warmtewet). Wel wordt momenteel bekeken of het Besluit op afstand uitleesbare meetinrichtingen, dat nu voor elektriciteit en gas geldt, ook van toepassing kan worden verklaard op warmte. Zo lang dit niet het geval is, zullen warmteleveranciers zelf moeten bedenken hoe zij hun beveiligingsmaatregelen zo inrichten dat aan de eisen uit de AVG wordt voldaan.

Informatieplicht

Een derde belangrijk punt is het informeren van consumenten. Onder andere over de wijze waarop persoonsgegevens worden verzameld, wat de doelen van verwerking zijn, welke partijen bepaalde informatie ontvangen en wat de rechten van consumenten zijn (art. 13 en 14 AVG). Tevens moeten consumenten terecht kunnen met hun privacygerelateerde vragen, bij voorkeur via een speciaal e-mailadres of telefoonnummer.

Zulke informatie wordt vaak gepresenteerd in een privacyverklaring, die bijvoorbeeld bij een (warmte-)leveringsovereenkomst kan worden gevoegd of kan worden gepubliceerd op de website of in de bij de meter behorende app.

Verplichte uitvoering DPIA

Bij gebruik van slimme meters is het verplicht om voorafgaand aan het gebruik daarvan een zogenoemde Data Protection Impact Assessment (‘DPIA’) uit te voeren (zie punt 14 van dit Besluit) (art. 35 AVG).

Een DPIA omvat een beoordeling van de beoogde verwerkingen en bijbehorende risico’s, om vast te stellen of de beoogde verwerking niet een te hoog risico voor de betrokken consumenten inhoudt. Als hieruit volgt dat er geen (te) grote risico’s voor betrokkenen aanwezig zijn, bijvoorbeeld omdat blijkt dat volgende beveiligingsmaatregelen zijn getroffen. mag de verwerking plaatsvinden. Indien uit de DPIA echter volgt dat dit wel het geval zal zijn, moet de AP worden ingeschakeld. Pas als de AP groen licht geeft, mag de verwerking worden uitgevoerd – zo niet, dan moet worden nagedacht over betere waarborgen.

Food for thought

Naast bovengenoemde punten dient ook rekening te worden gehouden met onderstaande:

  • Het kan verstandig – en in bepaalde gevallen zelfs verplicht zijn op grond van de AVG – om een Functionaris-Gegevensbescherming aan te stellen, bijvoorbeeld wanneer persoonsgegevens van grote hoeveelheden klanten worden verwerkt c.q. uitgebreid gebruik wordt gemaakt van slimme warmtemeters (art. 37 AVG). Een Functionaris-Gegevensbescherming is betrokken bij alle verwerkingsactiviteiten en ondersteunt de organisatie daarin;
  • De verwerkingsactiviteiten, waaronder inbegrepen de slimme meter, moeten zo zijn ingericht dat a) voldoende waarborgen zijn ingebouwd ter bescherming van persoonsgegevens en ter naleving van de AVG en b) slechts noodzakelijke informatie wordt verwerkt in het kader van de gestelde doelen (Privacy by Design en Privacy by Default) (art. 25 AVG);
  • Indien meer partijen, zoals bijvoorbeeld een app die informatie toestuurt aan zowel de consument als de warmteleverancier, betrokken zijn bij de verwerking van persoonsgegevens kan het verplicht zijn om verwerkersovereenkomsten of gezamenlijke verantwoordelijke overeenkomsten te sluiten (art. 26 en 28).
Conclusie

Als u als warmteleverancier met slimme meters aan de gang gaat of wil, is in het kader van privacy met name het volgende van belang:

  • Beveiliging van persoonsgegevens;
  • Informeren van betrokkenen;
  • Uitvoeren van een DPIA;
  • Overeenkomsten met derde partijen (voor zover relevant).

Heeft u vragen? Neem dan contact op met Keesjan Meijering of Martin Hemmer. Zij danken overigens Berry de Jong van Stadsverwarming Purmerend voor zijn waardevolle bijdrage aan dit blog!

Meld u aan voor onze nieuwsbrieven