De Wet collectieve warmte in het licht van de privacywetgeving

De Wcw

Het wetsvoorstel voor de Wet collectieve warmte (“Wcw”) beoogt de overgang naar duurzame warmte te faciliteren. De Wcw vervangt de huidige Warmtewet en streeft ernaar de warmtevoorziening in de gebouwde omgeving te verduurzamen en om op die manier de klimaatdoelstellingen te halen. In een eerder artikel zijn de doelen, regels en bevoegdheden van de Wcw reeds aan bod gekomen. Dit artikel behandelt de aanvullende richtlijnen van de Wcw met betrekking tot het gebruik van persoonsgegevens in de context van (collectieve) warmtevoorziening.

Persoonsgegevens

De Algemene Verordening Gegevensbescherming (“AVG”) is van toepassing op de verwerking van persoonsgegevens, dat wil zeggen “alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon”. Onder direct identificerende informatie vallen gegevens die doorgaans worden gebruikt om personen van elkaar te onderscheiden, zoals NAW-gegevens. Indirect identificerende informatie betreft gegevens die door koppeling of samenhang kunnen leiden tot identificatie, zoals een nummer van een warmtemeter. Gegevens die in relatie tot de warmtesector worden verwerkt, zoals verbruiksgegevens, meterstanden, nummers van warmtemeters, contractgegevens (in geval van kleinverbruikers) en NAW-gegevens, vallen onder de definitie van persoonsgegevens indien ze informatie bevatten over een (te identificeren) natuurlijke persoon.

De Wcw en persoonsgegevens

De Wcw bevat weinig concrete bepalingen die zien op (de verwerking van) persoonsgegevens. De Wcw stelt wel grenzen aan hoe verschillende instanties persoonsgegevens mogen opvragen en gebruiken. De Minister voor Klimaat en Energie, de Autoriteit Consument en Markt (“ACM”) en het college mogen persoonsgegevens alleen verwerken voor zover dat nodig is voor de uitoefening van hun taken en bevoegdheden (artikel 8.2 lid 1 Wcw). Verder geldt dat de Minister voor Klimaat en Energie en het college enkel informatie mogen opvragen wanneer dit redelijkerwijs nodig is voor de uitoefening van hun bevoegdheden (artikel 8.1 Wcw). Ook de verwerking van de persoonsgegevens door warmtebedrijven is ingeperkt tot verwerkingen die noodzakelijk zijn voor de uitvoering van taken en verplichtingen (artikel 8.2 lid 2 Wcw). Op die manier zorgt de Wcw ervoor dat persoonsgegevens alleen worden gebruikt voor officiële doeleinden.

De Wcw omvat verder de mogelijkheid om bij algemene maatregel van bestuur (“AMvB”) gegevensverwerking verdere invulling te geven, zoals met betrekking tot meetgegevens van verbruikers (artikel 2.42 lid 4 en 5 Wcw) en de maximale bewaartermijnen van persoonsgegevens (artikel 8.2 lid 3 Wcw), maar dit is tot op heden nog niet gebeurd.

Op afstand uitleesbare warmtemeter

Voor het bepalen van het verbruik van warmte wordt onder meer gebruik gemaakt van op afstand uitleesbare warmtemeters. Dit worden ook wel 'slimme warmtemeters' genoemd. De gedachte achter dergelijke warmtemeters is dat verbruikers hiermee hun (warmte-)verbruik kunnen besparen, wat uiteindelijk moet leiden tot een verlaging van het energieverbruik over het geheel. Niet alleen consumenten krijgen inzicht in deze gegevens; de informatie wordt ook verstuurd naar de leverancier of een derde-dienstverlener.

Gegevens over energieverbruik bieden een nauwkeurig beeld van wat zich in een huishouden afspeelt. Gelet hierop heeft de consument onder de Warmtewet, ook in geval van een plicht om een op afstand uitleesbare warmtemeter te installeren (zie artikel 8 lid 2, 3 en 12), het recht om te weigeren dat deze meters op afstand worden uitgelezen. Als er al een op afstand uitleesbare warmtemeter is geïnstalleerd, kan de consument namelijk verzoeken dat deze niet werd uitgelezen (artikel 8 lid 4 Warmtewet).

De Wcw zal voorzien in eenzelfde mogelijkheid. Kleinverbruikers kunnen op grond van artikel 2.42 lid 2 verzoeken om de uitlezing uit te schakelen en hun verbruik zelf doorgeven. Indien een op afstand uitleesbare warmtemeter toch wordt uitgelezen, is een dergelijke verwerking onrechtmatig. Naar aanleiding van het wetgevingsadvies van de Autoriteit Persoonsgegevens (“AP”) is besloten dat gegevens van op afstand uitleesbare meters met het oog op privacy maximaal eens per 15 minuten mogen worden verzameld, gevalideerd of vastgesteld.

Aanvullende privacywaarborgen

Hoewel verbruiksdata op zichzelf geen persoonsgegevens zijn, kan het door regelmatige meting wel als zodanig worden beschouwd. De gedragsgegevens die hieruit voortkomen (denk aan huiselijke of werkactiviteiten, geloofsovertuiging en vakantie) kunnen namelijk wel als persoonsgegevens worden gezien en vallen daarom onder de reikwijdte van de AVG. Bij gebrek aan handvatten in de Wcw dienen de uitgangspunten van de AVG als leidraad te worden genomen. In dat kader verwijst de AP in eerdergenoemd wetgevingsadvies naar haar handreiking die zij eerder in het kader van slimme energiemeter heeft opgesteld.

Een belangrijk aspect is bijvoorbeeld het informeren van consumenten. Dit omvat onder meer het verstrekken van informatie over hoe persoonsgegevens worden verzameld, de doeleinden van de verwerking, de partijen die toegang hebben tot bepaalde gegevens en de rechten van consumenten zoals neergelegd in de artikelen 13 en 14 AVG. Deze informatie moet eenvoudig te raadplegen zijn, bijvoorbeeld via een QR-code op de meter.

Artikel 32 AVG vereist dat ‘passende technische en organisatorische maatregelen’ worden genomen om persoonsgegevens te beschermen. Dit betekent niet alleen het nemen van technische voorzorgsmaatregelen, maar ook het implementeren van organisatorische aspecten zoals beveiligings- en datalekprotocollen en het trainen van werknemers. Dit is met name cruciaal in geval van op afstand uitleesbare warmtemeters, waar een inbreuk kan leiden tot ongeautoriseerde toegang tot de leefpatronen van consumenten. Bij het gebruik van op afstand uitleesbare warmtemeters is het dan ook verplicht om voorafgaand een DPIA uit te voeren (artikel 35 AVG); hiermee kunnen vooraf eventuele risico’s al worden geïdentificeerd en worden afgedekt.

De verwerkingsactiviteiten, inclusief het gebruik van op afstand uitleesbare warmtemeters, dienen te worden georganiseerd op een manier waarbij (i) er voldoende waarborgen zijn ingebouwd om persoonsgegevens te beschermen en om te voldoen aan de AVG, en (ii) alleen noodzakelijke informatie wordt verwerkt voor de gestelde doeleinden (privacy by design en privacy by default) (artikel 25 AVG). Als er meerdere partijen betrokken zijn bij de verwerking van persoonsgegevens, zoals bijvoorbeeld een app die informatie deelt met zowel de consument als de warmteleverancier, kan het noodzakelijk zijn om verwerkersovereenkomsten of overeenkomsten voor gezamenlijke verantwoordelijkheid af te sluiten (artikelen 26 en 28 AVG).

Toezicht

Waar het gaat om de verwerking van persoonsgegevens, is de AP de aangewezen toezichthoudende autoriteit. De AP controleert onder meer of de nodige informatie wordt verstrekt, of toestemming wordt verkregen en of gegevens veilig worden verwerkt. De Wcw biedt een kader voor het gebruik van persoonsgegevens in de warmtevoorziening, terwijl de AP (en dus niet de ACM) waakt over de naleving van deze regels en de bescherming van de privacy van burgers.

Kortom

De Wcw streeft naar een zorgvuldige balans tussen de vereiste verwerking van persoonsgegevens voor de warmtevoorziening en de bescherming van individuele persoonsgegevens. Nu de Wcw (vooralsnog) weinig specifieke privacy-eisen stelt, dient de AVG – logischerwijs – als leidraad voor de bescherming van privacy. Een en ander leidt tot verschillende verplichtingen voor actoren in de warmteketen.