Zoeken
  1. Home
  2. Kennis
  3. Artikelen
  4. De ACM kan geen nieuwe verplichtingen introduceren tot verwerking persoonsgegevens

De ACM kan geen nieuwe verplichtingen introduceren tot verwerking persoonsgegevens

Het College voor Beroep voor het bedrijfsleven (CBB) heeft op 14 januari 2020 geoordeeld dat de ACM energiebedrijven niet kan verplichten om persoonsgegevens te verwerken. Een verwerking kan alleen verplicht zijn als de wet daar uitdrukkelijk in voorziet. De uitspraak is niet alleen voor de energiesector relevant, maar voor alle partijen die in samenwerkingsverbanden persoonsgegevens uitwisselen.
Auteur artikelMark Jansen
Gepubliceerd14 februari 2020
Laatst gewijzigd14 februari 2020
Leestijd 

Het College voor Beroep voor het bedrijfsleven (CBB) heeft op 14 januari 2020 geoordeeld dat de ACM energiebedrijven niet kan verplichten om persoonsgegevens te verwerken. Een verwerking kan alleen verplicht zijn als de wet daar uitdrukkelijk in voorziet. De uitspraak is niet alleen voor de energiesector relevant, maar voor alle partijen die in samenwerkingsverbanden persoonsgegevens uitwisselen.

Netbeheerders versus toezichthouder

De uitspraak betreft een geschil tussen de Vereniging Netbeheer Nederland (Netbeheer) en de Vereniging Nederlandse EnergieData Uitwisseling (NEDU) enerzijds en de Autoriteit Consument en Markt (ACM) anderzijds.

De ACM heeft op verzoek van Netbeheer en NEDU een wijziging vastgesteld in de Informatiecode (daarover hierna meer). Hoewel de wijziging conform het verzoek van Netbeheer en NEDU is doorgevoerd, zijn ze het niet eens met de motivering die de ACM bij het nemen van het besluit heeft gegeven.

Uitwisseling gegevens in energiesector

Om de uitspraak goed te kunnen begrijpen is het van belang een klein beetje achtergrondinformatie te geven. Op de achtergrond speelt namelijk een vrij complex vraagstuk over gegevensuitwisseling in de energiesector.

Sinds de privatisering van de energiesector eind 20e eeuw is er een splitsing gekomen in (a) het beheer van het netwerk en (b) de levering van de stroom over dat netwerk. Daarbij geldt dat de netbeheerder aan een regio gebonden is, terwijl de aanbieders van stroom in het hele land actief kunnen zijn. Consumenten kunnen bij wijze van spreken iedere dag van stroomaanbieder wisselen. Alleen daarom al moet goed worden bijgehouden wat het verbruik per dag is. Ook kunnen consumenten dankzij bijvoorbeeld zonnepanelen stroom terug leveren. En steeds meer mensen hebben een slimme meter die zelf data genereert.

Dit alles leidt tot allerlei gegevens die op verschillende plekken ontstaan. Die gegevens moeten vervolgens met andere partijen in de energiesector worden gedeeld. In de Informatiecode elektriciteit en gas is vastgelegd welke gegevens in welke situatie door welke partijen (mogen) worden uitgewisseld.

Door netbeheerders zelf gevraagde wijziging

De netbeheerders hadden bij de ACM gevraagd om de Informatiecode aan te vullen met enkele bepalingen. Die aanvullingen waren nodig om de diensten ‘Aanbod op Maat’ en ‘toets contract einde datum bij leveranciersswitches’ te kunnen verlenen. Op grond van de aanvullingen zouden de netbeheerders verplicht zijn bepaalde gegevens aan stroomleveranciers te verstrekken.

Autoriteit Persoonsgegevens adviseert negatief

Aangezien de wijziging leidt tot het verwerken van persoonsgegevens, heeft de ACM aan de Autoriteit Persoonsgegevens (AP) advies gevraagd over de wijziging.

De AP adviseert daarover negatief. De AP wijst er namelijk op dat heel duidelijk uit de Elektriciteitswet volgt dat de ACM helemaal niet bevoegd is om verplichtingen tot het verwerken van persoonsgegevens op te leggen. De AP stelt dat een verwerking alleen verplicht kan zijn indien die verplichting duidelijk uit een wet zelf volgt.

ACM voert de wijziging toch door

De ACM voert de wijziging ondanks het negatieve advies van de AP toch door.

In de toelichting bij de wijziging stelt de ACM: “dat de Informatiecode op zichzelf geen grondslag ex artikel 6, eerste lid, onderdeel c, van de AVG kan bieden voor de verwerking van persoonsgegevens door de netbeheerders. De ACM treedt niet in (…) welke andere grondslag uit de AVG de netbeheerders kunnen gebruiken. (…) De ACM heeft (…) geen reden om te veronderstellen dat het codevoorstel niet uitvoerbaar is. Het is een verantwoordelijkheid van de netbeheerders om de juiste grondslag te vinden, waarmee ze het codebesluit kunnen uitvoeren.”.

Netbeheerders komen nu op tegen de door hen verzochte wijziging

Vervolgens ontstaat een wonderlijke situatie.

De Netbeheerders zijn het namelijk niet eens met dit standpunt van de ACM. Zij stellen dat de ACM niet had mogen toelichten dat de gewijzigde artikelen geen wettelijke grondslag vormen in de zin van de AVG. Daarmee komen de Netbeheerders nu op tegen de door henzelf verzochte aanpassing van de Informatiecode, althans (vermoedelijk vooral) tegen de toelichting daarop.

Oordeel CBB over de kwestie

Het College voor Beroep voor het bedrijfsleven (CBB) is verrassend kort over de kwestie:

  1. Het betoog van de ACM dat de beide verenigingen geen belanghebbende zijn wordt verworpen. De verenigingen hebben nota bene zelf om de wijziging van de Informatiecode verzocht.
  2. De beide verenigingen hebben ook procesbelang, anders dan de ACM stelt. Zij vorderen nu immers partiële vernietiging van de Informatiecode. Dat de code conform hun eigen verzoek is vastgesteld doet daar niet aan af.
  3. De ACM heeft zelf terecht – en conform advies van de AP – vastgesteld dat de bestaande artikelen in de Elektriciteitswet geen grondslag bieden om een verplichting tot het verwerken van persoonsgegevens te introduceren.
  4. Dat er toch een verplichte verwerking in de gewijzigde Informatiecode staat is dus logischerwijs in strijd met de wet.

Het CBB vernietigt dan ook de nieuw geïntroduceerde artikelen in de Informatiecode.

Potentiële gevolgen

Nu duidelijk is dat de artikelen uit de Informatiecode vernietigd zijn (en dus juridisch nooit hebben bestaan), zou het kunnen dat consumenten wier gegevens zijn uitgewisseld juridische stappen ondernemen. Ook de Autoriteit Persoonsgegevens zou handhavend kunnen optreden. Het is zeker niet gezegd dat die juridische acties nu ook per definitie succes opleveren, een verwerking kan immers ook altijd nog op een andere grondslag dan de 'wettelijke verplichting' zijn gebaseerd. Vermoedelijk wordt dan bij verweer het 'gerechtvaardigd belang' ingeroepen. In individuele gevallen zou die grondslag best soelaas kunnen bieden, het gerechtvaardigd belang gebruiken als grondslag voor het gehele onderliggende stelsel is echter wat wankel (omdat je dan altijd rekening moet houden met het inroepen van het recht van verzet). Het is ook de vraag wat consumenten of de AP met handhaving hopen te bereiken, nu de informatie-uitwisseling op basis van de Informatiecode juist al tot het minimale was beperkt. 

Het oordeel van het CBB heeft verder potentieel gevolgen voor meer artikelen uit de Informatiecode. Het is immers in bredere zin de vraag of de Elektriciteitswet wel (voldoende) grondslag biedt voor de in de Informatiecode beschreven uitwisseling van persoonsgegevens. Mocht dat zo zijn, dan lijkt mij dat de enige oplossing reparatiewetgeving is. Een andere grondslag voor de gegevensuitwisseling lijkt me gekunsteld (toestemming zal niet vrij zijn en bij gerechtvaardigd belang is op stelselniveau als gezegd wankel). Het alternatief is dat de gegevensuitwisseling wordt gestaakt, terwijl die nu juist randvoorwaardelijk is voor het functioneren van de geprivatiseerde energiemarkt.

Dit alles nog even los van de vraag of deze uitspraak niet eveneens betekent dat netbeheerders hun wettelijk afgebakende takenpakket te buiten zouden gaan (en de daarbij horende geheimhouding zouden schenden) indien ze door zouden gaan met gegevensverstrekking op basis van mogelijk eveneens onverbindende bepalingen. Die energierechtelijke vraag laat ik in de blog even voor wat deze is. 

Voor de privacypuristen is de zaak ook in meer generieke zin interessant. Het CBB toetst namelijk heel strikt of een verwerking daadwerkelijk wettelijk verplicht is. Een verplichting is niet eenvoudig te ‘construeren’. Dat betekent eens te meer dat partijen die samen met andere partijen persoonsgegevens uitwisselen, zeer kritisch zullen moeten toetsen of zij voor die uitwisseling wel een afdoende grondslag hebben. Mocht dat niet zo zijn, dan kunnen schadeclaims van betrokkenen en/of handhaving door de Autoriteit Persoonsgegevens volgen.

Vragen? Advies nodig?

Heeft u vragen over deze kwestie of over privacyrecht in bredere zin? Neem gerust contact op. Ons kantoor beschikt over een multidisciplinair privacyteam met advocaten met diverse achtergronden. Zodoende kunnen we u altijd goed adviseren.