Dossier

Minister Van der Hoeven had op aandringen van de Tweede Kamer het CBP gevraagd een advies uit te brengen over de introductie van de digitale energiemeters, en wat deze introductie betekent voor de privacy van de Nederlandse burger. Van der Hoeven was blijkbaar even vergeten dat het haar wettelijke plicht is het CBP om advies te vragen over de wet. Gert Onne van de Klashorst van het CBP voelt zich niet gepasseerd: "Het gebeurt wel vaker dat ambtenaren zo enthousiast raken, dat ze ons advies even vergeten."

De minister dacht ongetwijfeld goed werk te hebben geleverd, immers in het wetsvoorstel staat een paar keer expliciet genoemd dat de Wet bescherming persoonsgegevens moet worden gerespecteerd en dat de consument toestemming moet geven voor gebruik van de gegevens. Maar het CBP maakt hiermee de kachel aan, blijkt uit de dinsdag gedateerde brief. De Tweede Kamer vergadert deze donderdag over het wetsvoorstel.

Het belangrijkste oordeel dat het College geeft, is dat het wetsvoorstel voor de introductie van de zogenoemde slimme meter in strijd is met de Wet bescherming persoonsgegevens, zelfs ongeacht de toestemming van de betrokkenen. Het gaat hierbij om het inzamelen en beschikbaarstellen van de kwartierwaarden (stroom) en uurwaarden (gas) van het energieverbruik.

Belangrijk daarbij is, dat er onderscheid moet worden gemaakt tussen de gegevens die nodig zijn voor het opstellen van een energiefactuur en de gegevens die verzameld worden voor commerciële toepassingen. Gelukkig voor het CBP wordt dat onderscheid in het wetsvoorstel zelf gemaakt: het tweemaandelijks verzamelen van de meterstanden is afdoende voor facturering, stelt EZ.

Maar wat is het probleem als een betrokkene toestemming geeft om de meetgegevens elk kwartier of elk uur in te zamelen? Helemaal niets, zegt het CBP, zolang die toestemming vrij, specifiek en geïnformeerd wordt verkregen. Langs die lat heeft het College nu het wetsvoorstel gelegd.

Vrij wil volgens het CBP zeggen "dat de betrokkene zijn wil in vrijheid heeft kunnen uiten". Met andere woorden: dat het onthouden van toestemming om elk kwartier de gegevens te verzamelen niet tot gevolg heeft dat er in het geheel geen energieovereenkomst tot stand komt, want dan wordt het de toestemming feitelijk afgedwongen.

Maar, concludeert het CBP, in het wetsvoorstel staat niets over de mogelijkheid voor een consument om een overeenkomst af te sluiten waarbij alleen de werkelijk benodigde tweemaandelijkse gegevens worden verzameld. En bovendien ontbreekt de mogelijkheid om eenmaal verleende toestemming weer in te trekken. Het wetsvoorstel van Van der Hoeven is hoe dan ook strijdig met de Wet bescherming persoonsgegevens op dit punt. Het wetsvoorstel verplicht namelijk de netbeheerders die kwartier- en uurgegevens te verzamelen, ongeacht eventueel gegeven toestemming.

Met specifiek wordt bedoeld dat duidelijk moet zijn welke gegevens nu eigenlijk voor welk doel worden gebruikt en aan wie deze worden verstrekt. De algemeen geformuleerde machtiging, zegt het CBP, "voldoet niet aan dit criterium". Geïnformeerd ten slotte betekent dat de betrokkene vooraf op begrijpelijke manier op de hoogte moet zijn gebracht "van alle aspecten van de gegevensverwerking die voor hem of haar van belang kunnen zijn". De consument moet de consequenties van het verlenen van toestemming kunnen overzien.

Het zijn niet de enige opmerkingen die het college heeft. Het CBP merkt bijvoorbeeld ook op dat er in het wetsvoorstel geen bewaartermijn bestaat. De bewaartermijn is wettelijk vastgeglegd op 'niet langer dan noodzakelijk', dus zodra ze niet meer nodig zijn voor facturering moeten de gegevens worden geanonimiseerd. En ook op de beveiliging van de gegevens is het CBP kritisch: die is vooral gericht op beveiliging van de meter zelf en zijn externe communicatie. Maar hoe zit dat met de backoffices die de gegevens verwerken? En de websites waarop kleinverbuikers hun gegevens kunnen inzien? Zijn de gegevens daar in veilige handen?

Wat heel belangrijk is, zegt Van de Klashorst, die de materie "juridisch zeer complex" noemt, is de noodzakelijkheid van de gegevens. Als bijvoorbeeld in de toekomst de meetwaarden worden gebruikt voor energiebesparingsadviezen, is het dan wel nodig om bij elk verbuik de persoonsgegevens te stoppen? Kan niet worden volstaan met de vier cijfers van de postcode?

De brief van het CBP besluit met een advies dat niets aan duidelijkheid te wensen overlaat: "Het CBP adviseert u niet tot indiening van het voorstel over te gaan, dan nadat daarin met het vorenstaande rekening zal zijn gehouden." Van de Klashorst zegt dat maar beter naar die raad geluisterd kan worden: "Als je niet van tevoren over dit soort dingen nadenkt, leert de ervaring dat aanpassing achteraf -als alle ICT en dergelijke erop is ingesteld- heel erg duur is."