Ga verder naar contentGa verder naar content en skip ook inhoudsopgave
SduIn- en Uitvoer
Home

2014/724/EU: Aanbeveling van de Commissie van 10 oktober 2014 betreffende het model voor de privacyeffectbeoordeling van slimme netten en slimme metersystemen

2014/724/EU: Aanbeveling van de Commissie van 10 oktober 2014 betreffende het model voor de privacyeffectbeoordeling van slimme netten en slimme metersystemen

18.10.2014

NL

Publicatieblad van de Europese Unie

L 300/63

AANBEVELING VAN DE COMMISSIE

van 10 oktober 2014

betreffende het model voor de privacyeffectbeoordeling van slimme netten en slimme metersystemen

(2014/724/EU)

DE EUROPESE COMMISSIE,

Gezien het Verdrag betreffende de werking van de Europese Unie, en met name artikel 292,

Overwegende hetgeen volgt:

(1)

Slimme netten maken de belangrijkste onderdelen van het energiebeleid mede mogelijk. In het beleidskader tot 2030 worden slimme netten, als ruggengraat van het toekomstige koolstofvrije elektriciteitssysteem, erkend als facilitator voor de omvorming van de energie-infrastructuur om grotere hoeveelheden variabele hernieuwbare energie op te kunnen nemen, de energie-efficiëntie te verbeteren en de leveringszekerheid te garanderen. Slimme netten bieden een mogelijkheid om het concurrentievermogen van de technologiebedrijven in de EU te stimuleren, alsmede een platform voor traditionele energiebedrijven en nieuwkomers op de markt om innovatieve energiediensten en -producten op het gebied van netinfrastructuur en daarmee verband houdende informatie- en communicatietechnologie (ICT), domotica en apparaten te ontwikkelen.

(2)

Slimme metersystemen zijn een opmaat naar slimme netten. Zij bieden de mogelijkheid om de consumenten actief bij de energiemarkt te betrekken, en maken systeemflexibiliteit mogelijk door middel van vraagresponssystemen en andere innovatieve diensten. Overeenkomstig Richtlijn 2009/72/EG van het Europees Parlement en de Raad(1) en Richtlijn 2009/73/EG van het Europees Parlement en de Raad(2) moeten de lidstaten zorgen voor de invoering van slimme metersystemen die de actieve participatie van de consumenten aan de markt voor de levering van elektriciteit en gas ondersteunen.

(3)

De werking van slimme metersystemen biedt potentieel de mogelijkheid gegevens betreffende een individu, d.w.z. persoonsgegevens in de zin van artikel 2 van Richtlijn 95/46/EG van het Europees Parlement en de Raad(3), te verwerken. Dit effect wordt nog versterkt wanneer slimme netten en slimme apparaten nog verder worden ontwikkeld.

(4)

In Advies 12/2011(4) van de bij artikel 29 van Richtlijn 95/46/EG opgerichte Groep voor de bescherming van personen in verband met de verwerking van persoonsgegevens (hierna de „Groep gegevensbescherming artikel 29” genoemd) is vermeld dat slimme metersystemen en slimme netten potentieel steeds grotere hoeveelheden persoonsgegevens kunnen verwerken en die persoonsgegevens aan een groter aantal ontvangers beschikbaar kunnen stellen dan op dit moment, waardoor er voor degenen op wie de gegevens betrekking hebben (hierna „de betrokkenen” genoemd) nieuwe risico's ontstaan die in de energiesector voorheen onbekend waren.

(5)

In Advies 04/2013(5) van de Groep gegevensbescherming artikel 29 wordt gesteld dat slimme metersystemen en slimme netten een voorbode vormen van het „internet van dingen”, en dat de risico's die voortvloeien uit het verzamelen van gedetailleerde gegevens over energieverbruik in de toekomst waarschijnlijk verder zullen toenemen, wanneer deze gecombineerd worden met gegevens uit andere bronnen, zoals geolocatiegegevens, tracking- en profielgegevens op internet, videobewakingssystemen en radiofrequentie-identificatiesystemen (RFID)(6).

(6)

Meer kennis over de mogelijkheden en de aanzienlijke voordelen van slimme netten moet deze technologie helpen haar volledige potentieel te bereiken, terwijl er tegelijk voor moet worden gezorgd dat het risico dat die technologie ten nadele van het algemeen belang wordt gebruikt, wordt ingeperkt, zodat de aanvaardbaarheid ervan wordt vergroot.

(7)

De rechten en verplichtingen die voortvloeien uit Richtlijn 95/46/EG en Richtlijn 2002/58/EG van het Europees Parlement en de Raad(7) zijn volledig toepasselijk op slimme metersystemen en slimme netomgevingen wanneer persoonsgegevens worden verwerkt.

(8)

Het pakket dat door de Commissie is goedgekeurd om Richtlijn 95/46/EG te hervormen, omvat een „voorstel voor een gegevensbeschermingsverordening”(8) die, wanneer zij wordt vastgesteld, op slimme metersystemen en slimme netomgevingen van toepassing is wanneer persoonsgegevens worden verwerkt.

(9)

In de mededeling van de Commissie aan het Europees Parlement, de Raad, het Europees Economisch en Sociaal Comité en het Comité van de Regio's van 12 april 2011 inzake „Slimme netwerken: van innovatie tot invoering”(9) is gegevensbescherming en -beveiliging nadrukkelijk genoemd als een van de vijf uitdagingen voor de invoering van slimme netten en is een aantal maatregelen vastgesteld om deze invoering te versnellen, waaronder de „privacy by design”-aanpak (ingebouwde privacy, privacy door ontwerp) en de beoordeling van de beveiliging en de bestendigheid van netwerken en informatie.

(10)

De Digitale Agenda voor Europa bevat een reeks passende maatregelen, in het bijzonder inzake gegevensbescherming in de Unie, netwerk- en informatiebeveiliging en cyberaanvallen. Bij de „Strategie inzake cyberbeveiliging van de Europese Unie: Een open, veilige en beveiligde cyberspace”(10) en het voorstel van de Commissie voor een richtlijn houdende maatregelen om een hoog gemeenschappelijk niveau van netwerk- en informatiebeveiliging in de Unie te waarborgen van 7 februari 2013(11) zijn wettelijke maatregelen en stimulansen voorgesteld om de investeringen, de transparantie en het kennisniveau van de gebruikers te bevorderen, waarbij het doel is de onlineomgeving van de EU veiliger te maken. In samenwerking met het bedrijfsleven, de Commissie en de andere belanghebbenden moeten de lidstaten passende maatregelen nemen om een samenhangende aanpak te waarborgen bij de bescherming en de beveiliging van persoonsgegevens.

(11)

De adviezen van de Groep gegevensbescherming artikel 29 van Richtlijn 95/46/EG, en het advies van de Europese Toezichthouder voor gegevensbescherming van 8 juni 2012(12) vormen een leidraad voor het beveiligen van persoonsgegevens en het waarborgen van gegevensbeveiliging wanneer gegevens worden verwerkt in slimme metersystemen en slimme netten. In Advies 12/2011 van de Werkgroep inzake slimme meters wordt de lidstaten aanbevolen uitvoeringsplannen op te stellen waarin wordt bepaald dat een privacyeffectbeoordeling moet worden gehouden.

(12)

Om de voordelen van slimme metersystemen zo goed mogelijk te benutten, is een van de belangrijkste voorwaarden dat passende technische en juridische oplossingen worden gevonden voor de privacy van het individu en de beveiliging van de persoonsgegevens als fundamentele rechten overeenkomstig de artikelen 7 en 8 van het Handvest van de grondrechten van de Europese Unie en artikel 16 van het Verdrag betreffende de werking van de Europese Unie. In Aanbeveling 2012/148/EU van de Commissie(13) worden specifieke leidraden vastgesteld inzake gegevensbescherming en worden de lidstaten en belanghebbenden verzocht ervoor te zorgen dat slimme metersystemen en slimme nettoepassingen worden gemonitord en dat de fundamentele rechten en vrijheden van individuen worden gerespecteerd.

(13)

In Aanbeveling 2012/148/EU is vermeld dat gegevensbeschermingsbeoordelingen het mogelijk moeten maken om risico's voor de gegevensbescherming bij de ontwikkeling van slimme netten van het begin af aan vast te stellen volgens het beginsel van gegevensbescherming door ontwerp. Daarin wordt aangekondigd dat de Commissie een gegevensbeschermingsbeoordelingsmodel voor slimme netten en slimme metersystemen ontwikkelt, die voor advies aan de Groep gegevensbescherming artikel 29 moet worden voorgelegd.

(14)

In Aanbeveling 2012/148/EU wordt er verder op gewezen dat het model voor de privacyeffectbeoordeling de voor de gegevensverwerking verantwoordelijken moet leiden bij de uitvoering van een gedegen privacyeffectbeoordeling die een beschrijving bevatten van de geplande verwerkingsoperaties, een evaluatie van de risico's voor de rechten en vrijheden van de betrokkenen, de maatregelen die zijn gepland als reactie op die risico's, de veiligheids- en beveiligingsmaatregelen en de mechanismen om de bescherming van persoonsgegevens te waarborgen en inachtneming van Richtlijn 95/46/EG aan te tonen, rekening houdend met de rechten en rechtmatige belangen van de gegevenssubjecten en betrokken personen.

(15)

Het „voorstel voor een gegevensbeschermingsverordening” ter vervanging van Richtlijn 95/46/EG zou de privacyeffectbeoordelingen onder bepaalde voorwaarden verplicht stellen als belangrijk instrument om de verantwoordingsplicht van de voor de gegevensverwerking verantwoordelijken te vergroten. In dit opzicht zal het model voor de privacyeffectbeoordeling van slimme netten en slimme metersystemen, hoewel dat model zelf niet verplicht is, dienen als beoordelings- en besluitvormingsinstrument ter ondersteuning van de voor de verwerking verantwoordelijken in de sector slimme netten om te voldoen aan een toekomstige wettelijke verplichting in het kader van het „voorstel voor een gegevensbeschermingsverordening”.

(16)

Een model dat op het niveau van de Unie wordt ontwikkeld om privacyeffectbeoordelingen uit te voeren moet erop gericht zijn dat de bepalingen van Richtlijn 95/46/EG en Aanbeveling 2012/148/EU in alle lidstaten samenhangend worden nageleefd en dat wordt bevorderd dat een gemeenschappelijke methodologie ten behoeve van de voor de gegevensverwerking verantwoordelijken wordt gebruikt om een adequate en geharmoniseerde verwerking van persoonsgegevens in de hele EU te garanderen.

(17)

Een dergelijk model moet de toepassing van het beginsel van gegevensbescherming door ontwerp vergemakkelijken door de voor de gegevensverwerking verantwoordelijken te stimuleren om zo snel mogelijk een effectbeoordeling van de gegevensbescherming uit te voeren, zodat zij kunnen anticiperen op de mogelijke gevolgen voor de rechten en vrijheden van de betrokkenen en sterke zekerheden kunnen inbouwen. Dergelijke maatregelen moeten worden gemonitord en moeten zo nodig worden herzien gedurende de levenscyclus van de toepassing of het systeem.

(18)

Het verslag dat wordt opgesteld aan de hand van de toepassing van het model moet ook een bijdrage leveren aan de activiteiten van de nationale gegevensbeschermingsautoriteiten op het gebied van de controle en het toezicht op de naleving van de verwerking en, met name, de risico's voor de bescherming van persoonlijke gegevens.

(19)

Het model moet niet alleen de oplossing van eventuele problemen op het gebied van gegevensbescherming, privacy en veiligheid in de slimme netomgeving gemakkelijker maken, maar ook bijdragen tot de aanpak van de uitdagingen op het gebied van gegevensverwerking die verband houden met de ontwikkeling van de detailhandelsmarkt voor energie. Een belangrijk deel van de waarde van de toekomstige detailhandelsmarkt is namelijk gebaseerd op gegevens en de verdergaande integratie van ICT in het energiesysteem. De verzameling en de organisatie van de toegang tot deze gegevens zijn van groot belang voor het scheppen van zakelijke kansen voor nieuwe bedrijven, met name gegevensaggregatoren, bedrijven die energiediensten verlenen en de ICT-sector. Gegevensbescherming, privacy en beveiliging zullen derhalve steeds belangrijker problemen worden waarvoor nutsbedrijven verantwoordelijkheid dragen. Het model helpt erop toe te zien, met name in de eerste fase van de invoering van slimme meters, dat toepassingen voor slimme metersystemen worden gemonitord en dat de fundamentele rechten en vrijheden van individuen worden beschermd door bij de ontwikkelingen op het gebied van slimme netten van meet af aan vast te stellen wat de gegevensbeschermingsrisico's zijn.

(20)

Na de indiening van het model, dat werd opgesteld onder auspiciën van de Commissie door de belangrijkste belanghebbenden in de sector slimme netten, bij de Groep gegevensbescherming artikel 29, heeft laatstgenoemde Advies 04/2013 uitgebracht. In aansluiting op de indiening van een herzien model op basis van Advies 04/2013, heeft de Groep gegevensbescherming artikel 29 Advies 07/2013 van 4 december 2013(14) uitgebracht. Met de aanbevelingen die in deze beide adviezen zijn geformuleerd, is door de belanghebbenden rekening gehouden.

(21)

In Advies 07/2013 van de Groep gegevensbescherming artikel 29 wordt aanbevolen voor de invoering van het model een test op te zetten waaraan de afzonderlijke gegevensbeschermingsautoriteiten wellicht hun steun willen aanbieden. Deze testfase moet ertoe bijdragen dat het model betere gegevensbescherming aan personen biedt in het kader van de invoering van slimme netten.

(22)

Gezien de voordelen die het model de sector, de consumenten en de nationale gegevensbeschermingsautoriteiten biedt, moeten de lidstaten samenwerken met de sector, het maatschappelijk middenveld en de nationale gegevensbeschermingsautoriteiten om het gebruik en de invoering van het model voor de privacyeffectbeoordeling in een vroeg stadium van de invoering van slimme netten en slimme metersystemen te stimuleren en te ondersteunen.

(23)

De Commissie zou aan de invoering van deze aanbeveling moeten bijdragen, zowel rechtstreeks als indirect, door de dialoog en de samenwerking tussen de belanghebbenden te vergemakkelijken, met name door de centralisatie en de verspreiding van informatie-feedback tussen de sector en de nationale gegevensbeschermingsautoriteiten tijdens de testfase.

(24)

Naar aanleiding van de conclusies van de testfase en in aansluiting op de herziening van Richtlijn 95/46/EG zou de Commissie moeten beoordelen of het nodig is om de in het model aanbevolen methodologie te herzien en te verfijnen.

(25)

Deze aanbeveling eerbiedigt de grondrechten en neemt de beginselen in acht die met name in het Handvest van de grondrechten van de Europese Unie worden erkend. Met name is deze aanbeveling erop gericht de volledige eerbiediging van het privéleven en van het familie- en gezinsleven (artikel 7 van het Handvest) en de bescherming van persoonsgegevens (artikel 8 van het Handvest) te garanderen.

(26)

Na raadpleging van de Europese Toezichthouder voor gegevensbescherming,

HEEFT DE VOLGENE AANBEVELING VASTGESTELD:

I. TOEPASSINGSGEBIED

1.

Deze aanbeveling biedt de lidstaten een leidraad voor de te nemen maatregelen om het model voor de privacyeffectbeoordeling van slimme netten en slimme metersystemen (hierna het „PEB”-model genoemd) positief en breed te verspreiden, te erkennen en te gebruiken om de fundamentele rechten op bescherming van persoonsgegevens en privacy bij de invoering van slimme nettoepassingen en -systemen en slimme metersystemen te helpen garanderen.

Het PEB-model is beschikbaar op de website van de taskforce voor slimme netten (http://ec.europa.eu/energy/gas_electricity/smartgrids/smartgrids_en.htm).

II. DEFINITIES

2.

De lidstaten wordt verzocht akte te nemen van de volgende definities:

a)

„slim net”(15): een gemoderniseerd energienet waaraan digitale tweerichtingscommunicatie tussen de leverancier en de gebruiker, slimme bemetering en monitoring- en toezichtsystemen zijn toegevoegd;

b)

„slim metersysteem”: een elektronisch systeem waarmee het energieverbruik en de energieproductie kunnen worden gemeten, waarbij meer informatie wordt verstrekt dan bij een conventionele meter, en dat data kan doorzenden en ontvangen door middel van een vorm van elektronische communicatie(16);

c)

„effectbeoordeling met betrekking tot de gegevensbescherming”: een systematisch proces voor de evaluatie van de potentiële effecten van risico's, wanneer verwerkingsoperaties door hun aard, hun bereik of hun doeleinden specifieke risico's kunnen opleveren voor de rechten en vrijheden van de betrokkenen, uit te voeren door de voor de verwerking verantwoordelijke of de verwerker, dan wel door de verwerker handelend namens de voor de verwerking verantwoordelijke;

d)

„gegevensbescherming door ontwerp” vergt de tenuitvoerlegging — op basis van meest recente technologie en rekening houdend met de tenuitvoerleggingskosten, zowel op het moment dat de verwerkingsmethodologie wordt vastgelegd als op het tijdstip van de verwerking zelf — van passende technische en organisatorische maatregelen en procedures, op een zodanige wijze dat de verwerking voldoet aan de eisen van Richtlijn 95/46/EG en dat de bescherming van de rechten van de betrokkenen gewaarborgd is;

e)

„gegevensbescherming door standaardinstellingen” vergt de tenuitvoerlegging van mechanismen om te waarborgen dat door standaardinstellingen alleen die persoonsgegevens worden verwerkt die noodzakelijk zijn voor elk specifiek doel van de verwerking en dat die gegevens met name niet uitgebreider worden verzameld en langer worden bewaard dan minimaal vereist is voor die doeleinden, zowel wat de hoeveelheid gegevens als wat de duur van hun opslag betreft;

f)

„beste beschikbare technieken”: het meest effectieve en geavanceerde stadium in de ontwikkeling van activiteiten en de desbetreffende werkingsmethoden, wat betreft de praktische geschiktheid van bijzondere technieken om in beginsel de basis te leggen om te voldoen aan het gegevensbeschermingskader van de EU. Zij zijn ontworpen om risico's met betrekking tot privacy, persoonsgegevens en beveiliging te voorkomen of te matigen.

g)

De Groep gegevensbescherming artikel 29 is opgericht in het kader van Richtlijn 95/46/EG.

III. UITVOERING

3.

Om de bescherming van persoonsgegevens in de hele Unie te garanderen, zouden de lidstaten de voor de verwerking verantwoordelijken moeten aansporen om het PEB-model voor slimme netten en slimme metersystemen toe te passen, waardoor zij zouden worden aangemoedigd om rekening te houden met het advies van de Groep voor de bescherming van personen in verband met de verwerking van persoonsgegevens, en met name met het Advies 07/2013(17). De adviezen van de Groep zijn beschikbaar op de website van de taskforce voor slimme netten (http://ec.europa.eu/energy/gas_electricity/smartgrids/smartgrids_en.htm).

4.

De lidstaten zouden moeten samenwerken met de industrie, het maatschappelijk middenveld en de nationale gegevensbeschermingsautoriteiten om de verspreiding en het gebruik van het PEB-model in een vroeg stadium van de invoering van slimme netten en slimme metersystemen te stimuleren en te ondersteunen.

5.

De lidstaten zouden de voor de verwerking verantwoordelijken moeten stimuleren om de beste beschikbare technieken die door de lidstaten moeten worden vastgesteld in samenwerking met de sector, de Commissie en andere belanghebbenden voor elk van de in punt 42 van Aanbeveling 2012/148/EU genoemde gemeenschappelijke minimale functionele eisen voor slimme metersystemen voor elektriciteit te beschouwen als aanvullend element van de privacyeffectbeoordeling.

6.

De lidstaten zouden de voor de verwerking verantwoordelijken moeten ondersteunen bij de ontwikkeling en de goedkeuring van de oplossingen „gegevensbescherming door ontwerp” (Data Protection by Design) en „gegevensbescherming door standaardinstellingen” (Data Protection by Default).

7.

De lidstaten zouden ervoor moeten zorgen dat de voor de verwerking verantwoordelijken hun respectievelijke nationale gegevensbeschermingsautoriteiten raadplegen over de aan de verwerking voorafgaande privacyeffectbeoordeling.

8.

De lidstaten zouden ervoor moeten zorgen dat de voor de verwerking verantwoordelijken, na afloop van een privacyeffectbeoordeling en overeenkomstig hun overige verplichtingen op grond van Richtlijn 95/46/EG, de juiste technische en organisatorische maatregelen nemen om de bescherming van persoonsgegevens te garanderen, en gedurende de hele levenscyclus van de toepassing of het systeem de beoordeling van de vastgestelde maatregelen te herzien en er voortdurend op toe te zien dat ze nog voldoen.

IV. TESTFASE

9.

De lidstaten zouden de organisatie van een testfase moeten ondersteunen(18) met de invoering van praktische toepassingen, onder meer door op zoek te gaan naar testers uit de sectoren „slimme netten” en „slimme meters”, en hen aan te moedigen aan deze testfase mee te doen.

10.

De lidstaten zouden er gedurende deze testfase voor moeten zorgen dat het model voor alle relevante toepassingen en systemen wordt toegepast, alsmede het advies(19) van de Groep voor de bescherming van personen in verband met de verwerking van persoonsgegevens en het bepaalde in deel III van deze aanbeveling, om het beste effect op de gegevensbescherming te sorteren en om zoveel mogelijk inputgegevens te verzamelen voor de latere evaluatie van het model.

11.

De lidstaten zouden de nationale autoriteiten die bevoegd zijn voor gegevensbescherming moeten stimuleren en ondersteunen om de voor de verwerking verantwoordelijken tijdens de testfase(20) een leidraad en steun te bieden.

12.

De Commissie is van plan rechtstreeks bij te dragen tot de uitvoering van en het toezicht op de testfase door de dialoog en de samenwerking tussen de belanghebbenden te faciliteren, met name door de belanghebbenden het platform(21) te bieden voor de organisatie van vergaderingen van belanghebbenden waarbij de testers, de sector en vertegenwoordigers van het maatschappelijk middenveld, de nationale gegevensbeschermingsautoriteiten en energieregulators betrokken zijn.

13.

De lidstaten zouden de testers moeten stimuleren om de resultaten van de testfase aan de nationale autoriteiten die bevoegd zijn voor gegevensbescherming en aan de andere relevante betrokkenen mee te delen in het kader van het belanghebbendenplatform, op basis van drie categorieën evaluatiecriteria:

a)

efficiëntie van het model bij de boordeling van het effect van individuele slimmenettoepassingen op de gegevensbescherming,

b)

nut van het model bij het leiden van de voor de verwerking verantwoordelijke bij de uitvoering van de effectbeoordeling overeenkomstig de concrete omstandigheden van de toepassing of het systeem, en

c)

gebruiksvriendelijkheid van het model vanuit het perspectief van de voor de gegevens verantwoordelijke.

De rapportage over deze evaluatiecriteria moet vooral gericht zijn op het verstrekken van informatie die relevant is voor de toepassing van de aanbeveling van de Commissie en van het model in alle betrokken toepassingen en systemen.

14.

De Commissie is van plan te zorgen voor de opstelling van een inventarisatie van tijdens de testfase uitgevoerde privacyeffectbeoordelingen. De inventarisatie van privacyeffectbeoordelingen wordt gedurende de hele testfase beschikbaar gesteld op de website van de taskforce voor slimme netten, en zal regelmatig worden bijgewerkt om de voortdurende en snelle verbetering van de toepassing van het model te bevorderen.

V. TOETSING

15.

Binnen twee jaar na de bekendmaking van deze aanbeveling in het Publicatieblad van de Europese Unie zouden de lidstaten de Commissie een beoordelingsverslag moeten verstrekken waarin de relevante conclusies uit de testfase worden uiteengezet.

16.

De Commissie is van plan twee jaar na de bekendmaking van deze aanbeveling in het Publicatieblad van de Europese Unie de noodzaak voor een herziening van het PEB-model te beoordelen, in het licht van de bovenstaande evaluatiecriteria en aan de hand van de verslagen over de testfase die door de lidstaten zijn ingediend. De Commissie overweegt nog of zij een speciale bijeenkomst voor belanghebbenden zal organiseren waarop over deze beoordeling van gedachten kan worden gewisseld alvorens tot herziening wordt overgegaan.

17.

Deze herziening moet ertoe bijdragen dat het PEB-model individuen verbeterde gegevensbescherming biedt in het kader van de invoering van slimme netten, en de bepalingen van de herziene Richtlijn 95/46/EG en van Advies 07/2013 weerspiegelt.

Gedaan te Brussel, 10 oktober 2014.

Voor de Commissie

Günther OETTINGER

Lid van de Commissie