De
regels rondom de beveiliging van persoonsgegevens in de registers van
netbeheerders worden aangescherpt. Dat volgt uit een codewijzigingsbesluit van
de Autoriteit Consument & Markt (ACM). Eerder had de sector hiertoe zelf
een voorstel ingediend, dat nu op hoofdlijnen is overgenomen.
1 juni 2018 • Nieuws
Strengere regels voor beveiliging klantgegevens
Aanleiding
voor de wijziging is een aantal incidenten waarbij energieleveranciers gegevens
hebben opgevraagd bij en ontvangen van netbeheerders, terwijl dit niet had
mogen gebeuren. Twee jaar geleden bleek bovendien dat een medewerker van een
energieleverancier gegevens van twee miljoen kleinverbruikers had gestolen. De
aangepaste code moet zorgen voor een betere beveiliging van de registers van
netbeheerders.
Sleutels
De voornaamste wijziging is de
introductie van twee ‘sleutels’, bestaande uit cijferreeksen. Deze zijn bedoeld
om de gegevensuitwisseling bij het overstappen van een klant naar een andere
leverancier in veilige banen te leiden. Indien de nieuwe
leverancier straks gegevens bij een netbeheerder wil opvragen, moet eerst
toestemming worden gevraagd aan de potentiële klant. Laatstgenoemde dient dan
zijn persoonlijke klantsleutel te vermelden. Bij een positief antwoord
registreert de leverancier dit in zijn systeem en koppelt hier een andere,
unieke code aan: de instemmingssleutel.
Wanneer vervolgens de leverancier
daadwerkelijk de gegevens opvraagt, stuurt hij beide sleutels mee. De
gezamenlijke netbeheerders controleren dan of de klantsleutel overeenkomt met
de vermelding in het klantsleutelregister. Pas als daar helderheid over is,
mogen de gegevens worden verstrekt. De toestemmingssleutel die de leverancier
in zijn eigen systeem registreert, dient als bewijs bij een eventuele controle achteraf.
Zakelijke gebruikers
Deze methode geldt voor zowel
particuliere als zakelijke kleinverbruikers. Voor die laatste categorie had de
Vereniging voor Energie, Milieu en Water (VEMW) liever een alternatief
gezien. De klantsleutel is namelijk gebaseerd op het bankrekeningnummer
van de klant of diens geboortedatum. Nu zijn van bedrijven de
rekeningnummers vaak openbaar (waardoor de sleutel makkelijk te acherhalen is)
en is er geen sprake van een geboortedatum. De ACM ziet echter geen alternatief
zonder de administratieve lasten te vergroten. Bovendien, zo zegt de
toezichthouder, wordt de veiligheidssituatie hierdoor in elk geval niet
slechter.
Verder is in het besluit bepaald dat
netbeheerders alleen nog informatie kunnen verstrekken die strikt noodzakelijk
is. De code specificeert “welke leverancier en welke programmaverantwoordelijke
in welke situaties over gegevens van het CAR (administratieve gegevens hordend
bij de aansluiting) en het CER (contractgegevens horend bij de
aansluiting) mogen beschikken”.
IT-systemen
Belanghebbenden kunnen nog een
zienswijze op het besluit indienen. Dat is mogelijk tot zes weken na
publicatie in de Staatscourant. De ACM merkt op dat de sector,
vooruitlopend op de nieuwe regels, al is begonnen met het aanpassen van de
IT-systemen.
Bron: Energeia
Heeft u vragen naar aanleiding van dit artikel?
Neem dan contact met ons op.
