Het is fascinerend wat er aan datalekken aan het licht komt. Veel zal onder de pet worden gehouden verwacht ik.
Een hele grote is het schandaal rondom energiebedrijven. Het illustreert de gevaren van grote dataverzamelingen. De dataverzameling van de Nederlandse energiebedrijven is groot, want alle Nederlandse consumenten en organisaties zitten in hun bestanden.

Brief minister

Op 4 oktober jl. heeft de minister van economische zaken een brief met de volgende inhoud bekend gemaakt in het dossier over verwerking en bescherming persoonsgegevens:

32761 Verwerking en bescherming persoonsgegevens
Nr. 107 Brief van de minister van Economische Zaken
Aan de Voorzitter van de Tweede Kamer der Staten-Generaal
4 oktober 2016

In de regeling van werkzaamheden van 14 september jl. heeft het lid Van Veldhoven (D66) verzocht om een brief naar aanleiding van de berichtgeving in de media over de diefstal van energiegegevens van twee miljoen huishoudens (Handelingen II 2015/16, nr. 111, item 5). Hierbij geef ik, mede namens de staatssecretaris van Veiligheid en Justitie, invulling aan dit verzoek.

Datalek energiegegevens
Op 13 september jl. hebben Netbeheer Nederland en Energie-Nederland een gezamenlijk persbericht naar buiten gebracht over de diefstal van energiegegevens van twee miljoen huishoudens. Het betreft het onrechtmatig opvragen van klantgegevens door een energieleverancier. Ik vind het ernstig dat er een incident van een dergelijke aard en omvang is geweest. Consumenten moeten erop kunnen vertrouwen dat er zorgvuldig met hun data wordt omgegaan. Een incident van deze omvang moet de hele sector dan ook zeer serieus nemen. Ik heb de sector direct aangesproken op zijn verantwoordelijkheid en aangegeven dat ik op de kortst mogelijke termijn maatregelen verwacht om dergelijke incidenten in de toekomst te voorkomen.

Sinds begin dit jaar loopt er vanuit de Autoriteit Consument en Markt (ACM) en de Autoriteit Persoonsgegevens (AP) een onderzoek naar het beheer en de inrichting van het Contract Einde Register (CER) en Centraal Aansluitingenregister (C-AR). Het CER bevat gegevens over alle kleinverbruikerscontracten voor elektriciteit en gas. Het C-AR bevat gegevens die samenhangen met de aansluiting. De gezamenlijke netbeheerders zijn verplicht om leveranciers met een vergunning, indien deze daartoe door de consument is gemachtigd, toegang te geven tot deze registers. Leveranciers gebruiken deze informatie onder andere voor facturering, aansluitingen, wijzigingen bij een verhuizing of het aanbieden van nieuwe contracten. Hierdoor kan de leverancier onder andere een aanbod doen wat aansluit bij de daadwerkelijke situatie van de consument (aanbod op maat). De gezamenlijke netbeheerders zijn verantwoordelijk voor het beheer van onder meer deze registers en daarmee van de beveiliging van en de verstrekking uit de in de registers opgenomen gegevens.

In mei 2016 zijn de eerste bevindingen uit het lopende onderzoek van de toezichthouders naar het beheer en de inrichting van de registers CER en C-AR gedeeld met de gezamenlijke netbeheerders. De toezichthouders constateerden dat er onvoldoende controle plaatsvond door de netbeheerders op het gebruik van het CER en het C-AR door de leveranciers. De toezichthouders hebben de netbeheerders derhalve opgedragen om direct passende beveiligingsmaatregelen te treffen. De netbeheerders zijn daarop vanaf juni 2016 gestart met de monitoring van opvragingen uit het CER en het C-AR. Tijdens de monitoring van de centrale registers begin september 2016 constateerden de netbeheerders dat een leverancier in augustus opvallende hoeveelheden data had opgevraagd uit het CER en het C-AR.

Op 1 september 2016 hebben de gezamenlijke netbeheerders de betreffende leverancier om een verklaring gevraagd over het opvragen van gegevens uit het CER van ruim 800.000 aansluitingen en van gegevens uit het C-AR van ruim 1,2 miljoen aansluitingen. In de reactie van de leverancier op 9 september 2016 is aangegeven dat er vermoedens zijn dat deze gegevens onrechtmatig zijn opgevraagd door een ex-medewerker van een bij de energieleverancier aangesloten contractpartij.

Naast de ontdekking van het grote datalek is bij de monitoring van de registers geconstateerd dat bij een aantal leveranciers een onjuiste procedure is gevolgd bij opvragingen uit de registers. Op verzoek van de AP delen de gezamenlijke netbeheerders alle opvallende zaken die uit de monitoring blijken. De gezamenlijke netbeheerders hebben daarom ook deze voorvallen gemeld aan de AP. Het is nu aan de AP om eventueel nader onderzoek te doen en zo nodig maatregelen te treffen.

Getroffen maatregelen
Sinds 1 januari 2016 geldt de meldplicht datalekken. Deze meldplicht houdt in dat organisaties (zowel bedrijven als overheden) direct een melding moeten doen bij de AP zodra zij een ernstig datalek hebben dat mogelijk ernstige nadelige gevolgen kan hebben voor de bescherming van persoonsgegevens. Het datalek moet ook gemeld worden aan de mensen van wie de persoonsgegevens zijn gelekt, indien het datalek waarschijnlijk ongunstige gevolgen zal hebben voor hun persoonlijke levenssfeer. Het is daarom goed dat de verantwoordelijken na de ontdekking van het datalek op 12 september jl. melding hebben gedaan bij de AP. Ook de ACM is direct op de hoogte gesteld. De AP kan een onderzoek instellen naar het datalek en de wijze waarop de getroffen klanten worden geïnformeerd. Het is nu aan de AP hoe verder met dit incident wordt omgegaan.

Na de datadiefstal hebben de gezamenlijke netbeheerders een aantal maatregelen getroffen. Inmiddels kan de betreffende energieleverancier geen opvragingen meer doen uit de registers. Tevens is het onderzoeksbureau KPMG op 15 september jl. gevraagd bij de betreffende energieleverancier onderzoek te doen om te kijken in hoeverre de processen voldoen aan de Wet Bescherming Persoonsgegevens (WBP) en de Informatiecode elektriciteit en gas.

Sinds 15 september jl. verstrekken de gezamenlijke netbeheerders lijsten met daarop de gegevens van de betrokken aansluitingen aan de bijbehorende energieleveranciers. Op deze wijze kunnen consumenten bij hun eigen leverancier nagaan of hun gegevens betrokken zijn bij dit datalek. De gezamenlijke netbeheerders hebben tevens per direct de monitoring van het CER en het C-AR geïntensiveerd. Op dagbasis wordt gecontroleerd of er geen opvallende uitvragingen worden gedaan.

Op 16 september jl. hebben de gezamenlijke netbeheerders aangifte gedaan bij het Openbaar Ministerie. Daarnaast is de betreffende energieleverancier via een civielrechtelijke procedure gesommeerd mee te werken aan het juridisch onderzoek en te verklaren wat er met de gegevens is gebeurd en deze gegevens te doen vernietigen.

Toekomstige maatregelen
De toezichthouders hebben de netbeheerders verzocht snel met voorstellen te komen waardoor de gegevens uit de registers slechts aan marktpartijen worden verstrekt wanneer die partijen gerechtigd zijn over die gegevens te beschikken.
De gezamenlijke toezichthouders AP en ACM voeren hiertoe gesprekken met Netbeheer Nederland, Energie-Nederland en andere betrokken partijen.

Na goed overleg met de marktpartijen hebben de gezamenlijke netbeheerders op 30 september 2016 de toezichthouders geïnformeerd over hun verbetervoorstellen en concrete acties met een bijbehorende tijdsplanning. De AP en de ACM bepalen welke verdere aanpak zij zullen kiezen en welke instrumenten zij daarbij zullen inzetten. Ik zal uw Kamer informeren zodra er meer zicht is op de verdere aanpak van de AP en de ACM.

Het is interessant wat er gaat gebeuren naar aanleiding van dit schandaal. Gaan de energieverkopers met hun tablets waarop zij op het systeem van de energiebedrijven kunnen inloggen verdwijnen? Gaan de energiebedrijven en de netbeheerders een flinke boete van Autoriteit Persoonsgegevens en Autoriteit Consument & Markt krijgen?

Gaan consumentenbedrijven eindelijk iets aan cybersecurity doen?

Digitale ramp nodig?

Het blijft opmerkelijk dat ondanks dit soort datalekken het optimisme over het aanleggen van grote databanken met persoonsgegevens blijft. En het optimisme over ‘slimme energiemeters’ wordt bij de overheid en energiebedrijven niet getemperd, zo lijkt het.

Zou er eerst een digitale ramp moeten gebeuren? Ik hoop het niet.

Meer informatie:

• Brief van de minister van economische zaken van 4 oktober 2016.
• Vereniging Eigen Huis, artikel over de brief van de minister van economische zaken, 6 oktober 2016.
• Julian Huijbregts, Toezichthouders constateerden onvoldoende controle al voor diefstal energiedata, Tweakers.net, 5 oktober 2016.
• Vereniging Eigen Huis dringt er op aan dat consumenten worden geïnformeerd, eigen bericht VEH, waarin vraagtekens bij de komst van de slimme meter worden gezet, hun brief aan de energiebedrijven, 15 september 2016. Over de VEH uitingen: BNR 15 september 2016; Telegraaf 15 september 2016.
• Consumentensite Radar over het datalek, 14 september 2016.
• Aankondiging Netbeheer Nederland van het datalek, 13 september 2016; zij schrijven in een aanvulling van 15 september: “Klanten die willen weten of hun data is geraakt, kunnen contact opnemen met hun energieleverancier. Netbeheer Nederland is een juridische procedure gestart tegen de energieleverancier waar de gegevens zijn ontvreemd.“