Uit Net NL: Sector stelt data en markt¬werking veilig
Het is alweer ruim een jaar geleden dat Netbeheer Nederland en Energie-Nederland een omvangrijke datadiefstal signaleerden uit de centrale registers met energiegegevens van Nederlandse huishoudens. Hoe is het nu gesteld met de veiligheid van energiedata?
Het is alweer ruim een jaar geleden dat Netbeheer Nederland en Energie-Nederland een omvangrijke datadiefstal signaleerden uit de centrale registers met energiegegevens van Nederlandse huishoudens. Hoe is het nu gesteld met de veiligheid van energiedata?
Om met de deur in huis te vallen: de gehele energiesector voert een breed pakket maatregelen uit die het risico op datamisbruik moeten terugdringen. De aanpak is vastgelegd in het Actieplan Dataveiligheid. Een belangrijk onderdeel van het actieplan is de introductie van extra identificatiesleutels. Vanaf april 2018 wordt de consument ter identificatie gevraagd om een deel van zijn bankrekeningnummer of een deel van zijn geboortedatum in te vullen. Dat gebeurt bijvoorbeeld als iemand wil overstappen naar een andere energieleverancier en daarvoor een op maat gemaakt aanbod wil. “We wilden ervoor zorgen dat de gegevens vertrouwelijk, veilig en juist gebruikt worden, zonder dat afbreuk wordt gedaan aan het comfort en gebruiksgemak van de klant”, vertelt Hans-Peter Oskam, manager Regulering en Marktfacilitering, namens Netbeheer Nederland een van de opstellers van het plan. “In Nederland kun je met een paar handelingen overstappen naar een andere energieleverancier. Jaarlijks doet 17 procent van de consumenten dat ook, een hoog percentage in vergelijking met andere Europese landen. We wilden dus koste wat kost het gemak bij overstappen behouden. Dan is het geen optie om een energieleverancier bijvoorbeeld alleen een prijsopgave per post te laten versturen. Snelle en veilige oplossingen als een identificatiesleutel passen beter.”
Marktwerking
Het belang van veiligheid (volgens de normen van de Wet bescherming persoonsgegevens) in combinatie met gebruiksgemak die de marktwerking niet verstoort, komt voort uit de intensieve uitwisseling van energiedata die plaatsvindt binnen de sector. In Nederland zijn die data van kleinverbruikers van gas en elektriciteit opgeslagen in het Contract Einde Register (CER) en het Centraal Aansluitingenregister (C-AR), beheerd door Energie Data Services Nederland (EDSN) in Amersfoort. Ze bevatten onder andere klantgegevens, informatie over het verbruik, de aansluiting, registreren of er een slimme meter aanwezig is en de einddatum van het contract.
De gezamenlijke netbeheerders zijn verantwoordelijk voor het beheer van deze registers en daarmee ook voor veilige opslag en uitwisseling van gegevens. Die uitwisseling vindt veelvuldig plaats. Leveranciers gebruiken de informatie bijvoorbeeld voor facturering, wijzigingen bij een verhuizing of het aanbieden van nieuwe contracten. Hierdoor kan een leverancier onder andere een aanbod doen dat aansluit bij de daadwerkelijke situatie van de consument, het zogeheten aanbod op maat.
‘We wilden koste wat kost het gemak bij overstappen behouden’
Datadiefstal onderstreept belang veiligheid
In september 2016 meldden Netbeheer Nederland en Energie-Nederland een diefstal van de energiegegevens van zo’n 2 miljoen huishoudens. Het voorval was landelijk nieuws en Minister van Economische Zaken Henk Kamp lichtte het toe in een brief aan de Tweede Kamer. Toch was die diefstal niet de aanleiding om dataveiligheid in de sector te verbeteren; de diefstal kwam juist aan het licht doordat al langer werd gewerkt aan dataveiligheid. Bij een van die activiteiten, extra monitoring van dataverkeer uit het Contract Einde Register (CER) en het Centraal Aansluitingenregister (C-AR), werd ontdekt dat in de maand augustus een opvallende hoeveelheid data was verstrekt aan één bepaalde energieleverancier. Nader onderzoek leerde dat het ging om de onrechtmatige verstrekking van de gegevens van 800.000 aansluitingen uit het CER en van 1,2 miljoen aansluitingen uit het C-AR: gegevens van het energiecontract zoals het standaard jaarverbruik, type aansluiting en de einddatum van de contracten. De betreffende energieleverancier herleidde deze opvragingen tot één medewerker, die inmiddels al niet meer bij het bedrijf werkte. Dit incident onderstreepte nadrukkelijk de noodzaak om het beheer en de veilige uitwisseling van gegevens te verbeteren. In een sectorbrede aanpak werd het definitieve Actieplan Dataveiligheid opgesteld in overleg met vertegenwoordigers van energieleveranciers, netbeheerders, Nederlandse EnergieData Uitwisseling (NEDU) en Energie Data Services Nederland (EDSN), en na afstemming met de Autoriteit Consument en Markt (ACM) en de Autoriteit Persoonsgegevens (AP). Op dit moment wordt volop gewerkt aan de implementatie. In april 2018 moeten alle maatregelen volledig geïmplementeerd zijn.
Expliciete toestemming
Nieuwe identificatiesleutels introduceren waarmee de gehele branche gaat werken, vraagt uiteraard enige tijd. Snel te implementeren maatregelen uit het Actieplan Dataveiligheid zijn direct al genomen. Zo is er een dagelijks maximum gesteld aan het aantal potentiële klanten waarvoor een leverancier data mag opvragen. Grote leveranciers kunnen daarbij grotere aantallen opvragen dan de kleinere. De netbeheerders monitoren deze datastromen en waar nodig wordt de toegang tot de registers tijdelijk opgeschort. Bij leveranciers mogen alleen nog geautoriseerde medewerkers data opvragen. Bovendien hebben netbeheerders en energieleveranciers afgesproken dat consumenten expliciet toestemming moeten geven aan leveranciers die deze gegevens uit het centrale register willen opvragen.
Bewustwording sector
“We hebben voor de zomer het Actieplan afgestemd met de toezichthouders”, vertelt Oskam. “Dat was voor ons het startsein om te gaan bouwen. Alle netbeheerders en alle energieleveranciers passen hiervoor hun processen en systemen aan. Daarbij hoort ook een voorlichtingstraject om in de sector de bewustwording rond privacy en het werken met data te vergroten. NEDU (Nederlandse EnergieData Uitwisseling) geeft daarvoor presentaties bij netbeheerders en alle energieleveranciers – dat zijn er meer dan zestig in Nederland. En daarmee zetten we een volgende stap om de veiligheid van de gegevens van onze klanten te vergroten.”
DATAVEILIGHEID VOLGENS DE AUTORITEIT PERSOONSGEGEVENS
Vanaf 1 januari 2016 zijn alle organisaties in Nederland verplicht om datalekken aan de AP te melden. Dat gebeurde vorig jaar bijna 5.500 keer, in de eerste helft van dit jaar stond de teller op 4.128 meldingen. Een melding kan gaan over de data van één persoon tot databestanden met gegevens van miljoenen mensen.
In 2016 is ruim honderd keer een datalek in de energiesector gemeld, in de eerste helft van 2017 is dat 63 keer, blijkt uit rapportages van de Autoriteit Persoonsgegeven. Dat is een relatief goede score; alleen de industrie had vorig jaar minder last van datalekken.
Waarschuwingen
De Autoriteit Persoonsgegevens onderzocht in 2016 4.000 meldingen en deelde daarbij aan 100 organisaties een waarschuwing uit. In het eerste halfjaar van 2017 werden 258 onderzoeken gestart. In vrijwel alle gevallen kreeg de organisatie daarbij een waarschuwing.
Ranglijst
Met 29% van alle meldingen kampte de branche gezondheid en welzijn in 2016 met de meeste datalekken, gevolgd door financiële dienstverlening (17%) en openbaar bestuur (15%). Het zijn branches die werken met veel, en vaak zeer privacygevoelige informatie. De energiesector bleef steken op 2 %, maar daarbij zit wel de diefstal van 2 miljoen aansluitingen. In de eerste helft van dit jaar blijft het percentage datalekken in de energiesector nagenoeg gelijk, maar de sector schuift in de ranglijst van de AP wel naar de middenmoot. Oorzaak: de AP rapporteert nu over meer sectoren. En met nul meldingen scoort dan de sector mijnbouw beter.