Energiebedrijven zijn zwakke organisaties als het om de omgang met persoonsgegevens gaat, zodat het verbazingwekkend is dat de overheid het goed vindt dat zij ‘slimme’ meters mogen beheren [*].

In 2016 schreef ik over het gigantische datalek dat zich destijds bij de energiebedrijven heeft voorgedaan en in 2019 over de handel in persoonsgegevens waaraan deze bedrijven zich illegaal schuldig hebben gemaakt.

Het is geen verrassing dat energiebedrijven met de rechter te maken krijgen op het gebied van bescherming van persoonsgegevens. De Rechtbank Gelderland oordeelde op 17 januari 2022 dat het energiebedrijf Zakelijk Energie Beheer B.V. (‘ZEB’) te Amsterdam laakbaar had gehandeld door de weigering te voldoen aan verzoeken die een door ZEB aangeschreven persoon (‘X’) deed.

Achtergrond
ZEB had via illegale weg persoonsgegevens van X verkregen – via advertentie- of marketingbedrijven – en had X op 19 maart 2021 gebeld. Daar was X niet blij mee, die dezelfde dag ZEB diverse AVG-verzoeken deed. X wilde weten welke persoonsgegevens ZEB had, wie zijn gegevens aan ZEB had verschaft en aan wie ZEB de gegevens had doorgegeven. ZEB beriep zich er op dat zij de persoonsgegevens van X zou mogen verwerken op grond van ‘gerechtvaardigd belang’ (een bekende AVG-dooddoener voor ongevraagde marketingactiviteiten) en weigerde medewerking.

Procedure
Vervolgens spant X een procedure aan die hij wint in een voor hem gunstige uitspraak (‘beschikking’). De Rechtbank beveelt ZEB:

• om binnen veertien dagen na de beschikking aan X inzage te geven in de van hem verwerkte persoonsgegevens, waaronder de verwerkingsdoeleinden, middels het verstrekken van een compleet overzicht van alle van hem verzamelde persoonsgegevens per gerechtvaardigd belang en per verwerking met daarbij genoemd de verwerkers die namens ZEB zijn persoonsgegevens hebben verwerkt,
• om binnen veertien dagen na de beschikking X de informatie te verstrekken bedoeld in de leden 1 en 2 van art. 14 AVG (allerlei verplichte gegevens die verstrekt moeten worden als gegevens van derden worden betrokken),
• om binnen veertien dagen na deze beschikking aan X een lijst te verstrekken van alle verwerkers en bedrijven met wie ZEB zijn persoonsgegevens heeft gedeeld en van wie zij de persoonsgegevens van X heeft ontvangen, met daarbij vermeld op basis van welke grondslag de persoonsgegevens zijn ontvangen,
• om binnen veertien dagen nadat zij aan de hiervoor vermelde bevelen heeft voldaan de persoonsgegevens van X te wissen.

Bij niet-nakoming is ZEB een dwangsom verschuldigd en verder wordt het energiebedrijf in de kosten veroordeeld. Deze uitspraak vormt een flinke waarschuwing voor iedereen die illegaal verkregen persoonsgegevens van advertentie- en marketingbedrijven gebruikt.

Het zou goed zijn al iedereen die met dit soort praktijken te maken krijgt, achter de overtreders van de AVG aangaat, zoals degene die ik met ‘X’ heb aangeduid in deze zaak heeft gedaan.

Noot

[*] Slimme meters leveren cybersecurity risico’s voor burgers op.
Wellicht dat de zwakke financiële positie van energiebedrijven bijdraagt aan de desinteresse voor databescherming, zie over die financiële situatie het recente bericht van de ACM, ACM stelt vooruitlopend op nieuwe wetgeving extra eisen aan energieleveranciers (23 maart 2022), waarover veel is geschreven, onder meer door NRC (1, 2), AD EN Radar. ACM komt zeer laat in actie want het is al vele jaren bekend dat energiebedrijven financieel zwak zijn, zie mijn eerdere artikel. Het leveren van deze primaire producten hoort niet thuis bij private bedrijven.