Netbeheer Nederland en Energie-Nederland signaleerde na monitoring achteraf een datalek uit het centraal register waar de energiedata van Nederlandse huishoudens in staat opgeslagen. Het gaat om gegevensdiefstal van vermoedelijk twee miljoen huishoudens.
Een medewerker van een energieleverancier heeft ongeoorloofd deze data opgevraagd. Welke energieleverancier het betreft, wordt niet bekend gemaakt.
In het centraal register staan gegevens van het energiecontract opgeslagen, zoals jaarverbruik, type aansluiting en de einddatum van de contracten. Het register werd in 2011 door ict-dienstverlener Logica opgeleverd. Dit register is de basis van alle energiecontracten, zegt woordvoerder Martijn Boelhouwer van Netbeheer Nederland. ‘Deze gegevens worden bijvoorbeeld gebruikt om een switch van energieleverancier mogelijk te maken.’ Die data wordt steeds vaker opgevraagd. ‘Het gebruik van gegevens wordt steeds intensiever. Denk aan het gebruiksoverzicht, dat is een nieuw instrument bijvoorbeeld. Het belang van data neemt toe.’
Monitoring achteraf
Energieleveranciers hebben toegang tot deze database; met een automatische koppeling tussen de systemen van de energieleverancier en het centraal register kunnen de gegevens na een login worden opgevraagd. Vooraf wordt de toegang van de energieleverancier gewaarborgd – bijvoorbeeld door een accountantsverklaring waarin de juridische aspecten worden afgesproken – en achteraf vindt dagelijks monitoring plaats of de gegevens geoorloofd zijn opgevraagd.
Netbeheer Nederland en Energie-Nederland vermoeden dat de diefstal het werk is van een medewerker van de (niet expliciet genoemde) energieleverancier. ‘Op zich is het niet gek dat een groot aantal gegevens wordt opgevraagd. Denk aan die gebruiksoverzichten. Daarom viel het in eerste instantie niet op. Maar na navraag bleek het niet te kloppen. Zo hebben we toch snel het datalek kunnen constateren’, zegt de woordvoerder.
Juridische stappen
De medewerker is ontslagen. Netbeheer Nederland verwacht dat de energieleverancier een kort geding aanspant tegen de medewerker, omdat de medewerker ‘niet bereikbaar is om openheid te geven over de zaak.’ De partijen willen dat de medewerker de gegevens vernietigt. De data kan mogelijk worden gebruikt om ongevraagde productaanbiedingen (energiecontracten) per post te doen.
Daarnaast heeft de betreffende energieleverancier geen toegang meer tot het centraal register. Gegevens kunnen nu alleen na een intensieve controle vooraf worden opgevraagd. Dat kan lastig zijn om het moment dat een consument de overstap wil maken na een nieuwe leverancier.
Wanneer en of de leverancier weer toegang krijgt tot het register kan Boelhouwer niet zeggen. De zaak wordt ‘tot op de bodem uitgezocht om in het vervolg de risico’s van het verkeerde gebruik van deze data tot het minimum te beperken en stappen te nemen om toekomstig misbruik van het systeem uit te sluiten’. Hoe dit er precies uit komt te zien, is onderwerp van gesprek dat de komende weken plaatsvindt met toezichthouder Autoriteit Persoonsgegevens, Autoriteit Consument & Markt (ACM), de brancheorganisaties Netbeheer Nederland en Energie-Nederland en andere betrokken partijen.
