ActieplanDataveiligheidAlgemeneInleiding

Eensectorbredeaanpakvoorverhoogdeprivacybijdeuitwisselingvangegevensuitcentraleregisters

FirstConsulting

20juni2017,Amersfoort

20-06-2017 VoorlichtingActieplanDataveiligheid 2

• Aanleiding

• Projectinrichting

• Opdrachtenuitgangspunten

• ActieplanDataveiligheid• MaatregelenAanbodopMaat• Maatregelenpre-switcheninhuizing• Overigemaatregelen• Natraject

• Uitdagingen

AgendaIntroductievoorlichtingActieplanDataveiligheid

1

2

3

4

5

20-06-2017 VoorlichtingActieplanDataveiligheid 3

1.AanleidingAanloopnaar1december2016

StartActieplanDataveiligheid

1dec.

20162015

ToenemendeaandachtvoorPrivacy

Datalek

Zomer2016

Toezichthouders(ACM/AP)vragenombeleiddataveiligheidklantgegevens

Netbeheerderspresenteren“Rechtmatigeraadpleging

CentraleRegisters”

30sept.

ACMbeoordeeltplan

netbeheerdersalsontoereikend

16nov.

ALVNEDU

Toezichthouders

20-06-2017 VoorlichtingActieplanDataveiligheid 4

2.ProjectinrichtingStakeholdervertegenwoordiging1dec– 31jan

- Operationele,technischeenjuridischeexperts- Gezamenlijkeoplossingenontwikkelen- IC-Kvertegenwoordigd

- Vertegenwoordigingleveranciers,netbeheerders,Meetverantwoordelijken,NEDU

- Verzorgenvankaders,monitoringvoortgang- Besluitvorming

Stuurgroep

Taskforce

20-06-2017 VoorlichtingActieplanDataveiligheid 5

3.UitgangspuntenOpdrachtomschrijving

Opdrachtomschrijving

1. Ontwikkeleengezamenlijkonderschrevenwerkbareoplossingdieervoorzorgtdathet(huidige)gebruikvandecentraleregisters(CER,C-ARenTMR)doormarktpartijeninrelatietotniet-”eigenklanten”vollediginlijnwordtgebrachtmetdeeisenuitdeWbp enzoveelalsrealistischmetdepuntenvanACMenAP.

2. Maakduidelijkwelkeanderemaatregelennualdoornetbeheerders(incl.EDSN),deleveranciersenNEDUwordenofkunnenwordengenomenomhetbeschermingsniveauvandegegevensteverhogen(o.a.o.b.v.PIAnetbeheerdersendegezamenlijkegevraagdeadviezenvanBrinkhof.

Belangrijksteuitgangspunten

Gezamenlijkeketen-

verantwoordelijkheid

Toestemmingconsumentbij

gegevensverstrekking

Data-minimalisatie

Rechtmatigenjuistgebruikdata(registers)

Geschiktbeschermings-niveau gegevens

ConformWbp-wetgeving

20-06-2017 VoorlichtingActieplanDataveiligheid

KLANTAfnemervanelektriciteitengas,wienspersoonsgegevensincentraleregisterswordenopgeslagen• houdtzekerheidvanvertrouwelijke,veiligeenjuistebehandelingvangegevens• heeft mogelijkheidtotvergelijkenvanaanbiedingenvanverschillendeleveranciers

3.UitgangspuntenDrieperspectievenbijhetopstellenvanhetactieplandataveiligheid

LEVERANCIERAanbiedervanelektriciteitengas,engebruikervanpersoonsgegevensuitcentraleregisters• wordtnietbeperktinmarktwerking• behoudtbestaandeprocessenzoveelmogelijk

NETBEHEERDERBeheerderenverstrekkervanpersoonsgegevensuitcentraleregisters

• heeftvoorafzekerheiddaterenkelgegevensverstrektwordenmettoestemmingvandeklantenvoorhetbetreffendedoel

• verhoogtopkortetermijndegegevensbescherming

6

20-06-2017 VoorlichtingActieplanDataveiligheid 7

4.ActieplanDataveiligheidEenambitieuzeenintegraleaanpakvoorverhogingvangegevensbescherming

Hoogbeschermingsniveau

Klantstaatcentraal

Breedpakketaanmaatregelen

Breedgedragendoorsector

Behoudenmarktwerking

Uitbreiding:(pre)switchen-inhuizing

Dataminimalisatie

20-06-2017 ActieplanDataveiligheid 8

4.ActieplanDataveiligheidFasestijdensoffrerenencontracteren

Borgingtoestemmingd.m.v.

Leveringscontract?

Leverancieropaansluiting?

FaseIIdentificerenaansluiting

FaseIIAanbodfase

FaseIIIPre-switch&pre-inhuizing

FaseIVLeverancieropaansluiting

û û ü ü

û û û ü

N.v.t. Klantsleutel&toestemmingssleutel Leveringscontract Leveringscontract

Basisgegevensaansluiting StandaardgegevenssetAoM (alleenbijswitch)

Standaardgegevenssetpre-switch&pre-inhuizing

Gegevensbenodigdvooruitvoeringleveranciersrol

Initiëlefocus:AanbodopMaat

20-06-2017 VoorlichtingActieplanDataveiligheid 9

FilmVanvoornaamsteveranderingen

20-06-2017 ActieplanDataveiligheid 10

4.ActieplanDataveiligheidOverigemaatregelen– reedsinganggezet

2.Voorlichtenmarktpartijen

inzakedataprivacy

3.Beperkendirectetoegangvoorderde

partijen

4.Standaardiserenaccountbeleid

1.Limiterenenmonitorenaantal

opvragen

5.Doorvoerendataminimalisatie

• Opvraaglimietperleverancier

• Continuemonitoring• Live:1april2017

• Onderaannemersenkeltoegangvialeverancier

• Bewerkers-overeenkomstnoodzakelijk

• Leverancierisverantwoordelijk

• Dataverzoekentotdepersoonherleidbaar

• Controleoptoegangsrechten

20-06-2017 VoorlichtingActieplanDataveiligheid

HetActieplanisvantoepassingopallekleinverbruikers

• Consumenten• Kleinzakelijke klantenenmultisites

(Wbp nietaltijdvantoepassing)

Alleklantsleutelsvanbestaandeklantenmoeteninderegisterswordengezet

• Klantsleutelsaanleverenvoorregisters:veeladministratiefwerk

• Onderlingeafhankelijkheidleveranciers:AanbodopMaato.b.v.klantsleutel

11

5.Uitdagingen

20-06-2017 VoorlichtingActieplanDataveiligheid 12

‘Hierbijwordtbovendienhetvolgendeonderuwaandachtgebracht.

Uitwet- enregelgevingvolgtde verplichtingdatnetbeheerders(periodiek)detoestemmingvan

potentiëleklantenaanleveranciersvoorhetgebruikvanhunpersoonsgegevenscontroleren.Deze

controleverplichtingmaaktonderdeeluitvandemaatregelendiedenetbeheerderinzijn

algemeenheidmoettreffenteneindeeenrechtmatigegegevensverurerking tekunnengaranderen.

HoewelhetActieplandedataveiligheidnaarverwachtingzalvergroten,merkende Ap endeACM

opdatdevoorgesteldecontrolesystematiekvandezetoestemminginhetActieplanonvolledigis.

DeAPendeACMvindenditeentekortkominginhetActieplanengaanervanuitdatstelselmatige

controlesintegraalonderdeeluitmakenvandegegevensvennrerkingen’

ExtractuitbriefACMenAP

Reactie ACMen APopaktieplan

Dankvooruwaandacht.

Vragen?

NieuwewerkwijzevoorhetverkrijgenvangegevenstenbehoevevaneenAanbodopMaat:1. Klantgeefttoestemmingenklantsleutel2. Leverancierlegttoestemmingdecentraal

vast3. Leveranciergenereerttoestemmingssleutel4. Leverancierdoetgegevensverzoekmet

klant- entoestemmingssleutel5. Netbeheerdercontroleertklantsleutels,

registreerttoestemmingssleutelenverstrektstandaardgegevensset

6. LeverancierdoetAanbodopMaataanklanto.b.v.standaardgegevensset

20-06-2017 ActieplanDataveiligheid 14

4.ActieplanDataveiligheidMaatregelenAanbodopMaat(faseII)

1 23

4

6

5

2

3

5

6

1

4

20-06-2017 ActieplanDataveiligheid 15

4.ActieplanDataveiligheidMaatregelenpre-switchenpre-inhuizing (faseIII)

Nieuwewerkwijzevoorhetverkrijgenvangegevensnahetafsluitenvaneencontract,voorstartlevering:

1. Klantsluitovereenkomstmetnieuweleverancier

2. Leverancierdoetpre-registratieovereenkomstinCER

3. LeverancierdoetgegevensverzoekfaseIII4. Netbeheerdercontroleertpre-registratieinCER5. Netbeheerderlevertstandaardgegevensset

aanleverancier6. Leverancierstartvervolgprocessenobv

gegevensset- Bevestigencontractklant- Registratiecontracteindedatumenopzegtermijn- Voorbereidenlevering

1

2

3

4

6

1

2

4

3

6

5

5