Besluit inzake de verklaring omtrent gedragscode Slim Netbeheer van Vereniging Netbeheer Nederland; z2021-00382

1 Inleiding: aanleiding en aanvraag goedkeuring

  • 1 Op 22 januari 2021 heeft Vereniging Netbeheer Nederland (hierna: Netbeheer Nederland) de Autoriteit Persoonsgegevens (AP) verzocht om de gedragscode Slim Netbeheer (hierna: de Gedragscode) goed te keuren op grond van artikel 40, vijfde lid, van de Algemene Verordening Gegevensbescherming (AVG). Deze aanvraag is bij de AP bekend onder z2021-00382 onder de naam ‘Slim Netbeheer (gedragscode)’. Bij brief van 4 januari 2022 heeft Netbeheer Nederland een aangepaste versie van de Gedragscode ingediend, en deze versie is door de AP getoetst.

  • 2 Ingevolge artikel 40, vijfde lid, AVG brengt de AP advies uit over de vraag of de Gedragscode strookt met de AVG, en keurt de AP de Gedragscode goed indien zij van oordeel is dat de Gedragscode voldoende passende waarborgen biedt.

  • 3 In het navolgende concludeert de AP dat de Gedragscode strookt met de AVG en voldoende passende waarborgen biedt, en is de AP voornemens de Gedragscode goed te keuren. Aan de voorgenomen goedkeuring is de opschortende voorwaarde verbonden dat binnen twee jaar na de datum van bekendmaking van het definitieve besluit inzake de verklaring omtrent de Gedragscode in de Staatscourant: er een orgaan is dat het toezicht uitoefent op de naleving van de Gedragscode zoals bedoeld in artikel 40, vierde lid, AVG, en dat dit orgaan door de AP is geaccrediteerd zoals bedoeld in artikel 41, eerste lid, AVG.

2 Procedureverloop

  • 4 In de periode van 21 juli 2020 tot 15 januari 2021 is er informeel overleg geweest tussen Netbeheer Nederland en de AP over de gedragscode.

  • 5 Bij brief van 22 januari 2021 heeft Netbeheer Nederland de aanvraag ingediend tot goedkeuring van de gedragscode. Bij brief van 5 februari 2021 heeft de AP de ontvangst bevestigd van de aanvraag, en bij brief van 3 maart 2021 heeft de AP aan Netbeheer Nederland laten weten de aanvraag in behandeling te hebben genomen.

  • 6 Bij brief van 13 april 2021 heeft de AP aan Netbeheer Nederland gevraagd om de Gedragscode op een aantal punten nader in te vullen dan wel te verduidelijken, en heeft de AP de behandeling van de aanvraag opgeschort tot de datum waarop de gevraagde informatie is verstrekt of de daarvoor gestelde termijn ongebruikt is verstreken.

  • 7 Bij brief van 11 mei 2021 heeft Netbeheer Nederland een herziene versie van de Gedragscode toegestuurd aan de AP. In de begeleidende brief gaat Netbeheer Nederland inhoudelijk in op de brief van de AP van 13 april 2021. Bij brief van 3 juni 2021 heeft de AP de ontvangst van deze brief bevestigd, en heeft de AP bevestigd dat de opschorting van de behandeling van de aanvraag is beëindigd per 11 mei 2021.

  • 8 Naar aanleiding van de brief van Netbeheer Nederland van 11 mei 2021 heeft de AP bij brief van 23 juni 2021 aan Netbeheer Nederland gevraagd om de Gedragscode op twee punten nader in te vullen dan wel te verduidelijken. Daarbij heeft de AP de behandeling van de aanvraag opgeschort tot de datum waarop de gevraagde informatie is verstrekt of de daarvoor gestelde termijn ongebruikt is verstreken.

  • 9 Bij brief van 7 juli 2021 heeft Netbeheer Nederland opnieuw een herziene versie van de Gedragscode toegestuurd aan de AP. Bij brief van 14 juli 2021 heeft de AP de ontvangst van deze brief bevestigd, en heeft de AP bevestigd dat de opschorting van de behandeling van de aanvraag is beëindigd per 7 juli 2021.

  • 10 Na een digitaal overleg op 18 november 2021 heeft de AP u op 24 november 2021 per mail verzocht om aanpassing van de gedragscode op een aantal punten.

  • 11 Bij brief van 3 december 2021 heeft u de AP uw reactie gestuurd en aan aangepaste Gedragscode aangeleverd. De ontvangst daarvan is per mail op 6 december 2021 bevestigd.

  • 12 Op 17 december 2021 heeft de AP u opnieuw per mail verzocht om de Gedragscode op een aantal punten aan te passen of te verduidelijken.

  • 13 Bij brief van 4 januari 2022 heeft Netbeheer Nederland een herziene versie van de Gedragscode toegestuurd aan de AP. De ontvangst daarvan is bij brief van 11 januari 2022 door de AP bevestigd.

  • 14 Bij brief van 3 februari 2022 heeft de AP Netbeheer Nederland het ontwerpbesluit toegestuurd inzake de verklaring omtrent de Gedragscode.

  • 15 Vanaf 14 februari 2022 heeft het ontwerpbesluit inzake de verklaring omtrent de Gedragscode met de onderliggende stukken zes weken ter inzage gelezen bij de AP, Bezuidenhoutseweg 30 in Den Haag. Binnen deze periode heeft de AP geen zienswijzen ontvangen.

3 Beoogde toepassing van de Gedragscode

  • 16 Netbeheer Nederland geeft aan dat de Gedragscode een nadere uitwerking vormt van de verplichtingen van netbeheerders op grond van artikel 6, eerste lid onder e, artikel 35 AVG en artikel 36 AVG bij het verwerken van meetgegevens uit de slimme meter voor netbeheerdoeleinden zoals die volgen uit de bepalingen in de Elektriciteitswet 1998 en de Gaswet. Verder geeft Netbeheer Nederland aan dat de Gedragscode de netbeheerders verplicht tot gezamenlijke uniforme en eenduidige informatievoorziening aan de betrokkenen, en dat de Gedragscode daarmee voor dat gedeelte nadere invulling geeft aan artikel 12 AVG. De Gedragscode is uitsluitend van toepassing op verwerkingen in Nederland.

  • 17 De Gedragscode is uitsluitend bestemd voor de leden van Netbeheer Nederland. Netbeheer Nederland is de branchevereniging van alle elektriciteit- en gasnetbeheerders van Nederland. Alle netbeheerders in Nederland zijn lid van de branchevereniging en zijn aangesloten bij de Gedragscode.

4 Wettelijk kader

4.1 Doelstellingen van gedragscodes

Overweging 98 AVG stelt: ‘Verenigingen en andere organen die categorieën van de verwerkingsverantwoordelijken of verwerkers vertegenwoordigen, dienen te worden aangemoedigd om binnen de grenzen van deze verordening gedragscodes op te stellen, teneinde de doeltreffende uitvoering van deze verordening te bevorderen, rekening houdend met het specifieke karakter van de verwerkingen in sommige sectoren en de specifieke behoeften van kleine, middelgrote en micro-ondernemingen. Deze gedragscodes zouden met name het ijkpunt kunnen zijn voor de verplichtingen van verwerkingsverantwoordelijken en verwerkers, rekening houdend met de aan de verwerking verbonden risico's voor de rechten en vrijheden van natuurlijke personen.’

Artikel 40, eerste lid, AVG bepaalt: ‘De lidstaten, de toezichthoudende autoriteiten, het Comité en de Commissie bevorderen de opstelling van gedragscodes die, met inachtneming van de specifieke kenmerken van de diverse gegevensverwerkingssectoren en de specifieke behoeften van kleine, middelgrote en micro-ondernemingen, moeten bijdragen tot de juiste toepassing van deze verordening.’

Artikel 40, tweede lid, AVG bepaalt: ‘Verenigingen en andere organen die categorieën van verwerkingsverantwoordelijken of verwerkers vertegenwoordigen, kunnen gedragscodes opstellen, of die codes wijzigen of uitbreiden, teneinde de toepassing van deze verordening nader toe te lichten, zoals met betrekking tot:

  • a) behoorlijke en transparante verwerking;

  • b) de gerechtvaardigde belangen die door verwerkingsverantwoordelijken in een specifieke context worden behartigd;

  • c) de verzameling van gegevens;

  • d) de pseudonimisering van persoonsgegevens;

  • e) de aan het publiek en betrokkenen verstrekte informatie;

  • f) de uitoefening van de rechten van betrokkenen;

  • g) de informatie verstrekt aan en de bescherming van kinderen en de wijze waarop de toestemming wordt verkregen van de personen die de ouderlijke verantwoordelijkheid voor kinderen dragen;

  • h) de maatregelen en procedures als bedoeld in de artikelen 24 en 25 en de maatregelen ter beveiliging van de verwerking als bedoeld in artikel 32;

  • i) de kennisgeving van inbreuken in verband met persoonsgegevens aan toezichthoudende autoriteiten en de mededeling van die inbreuken in verband met persoonsgegevens aan betrokkenen;

  • j) de doorgifte van persoonsgegevens aan derde landen of internationale organisaties; of

  • k) buitengerechtelijke procedures en andere procedures voor de beslechting van geschillen tussen verwerkingsverantwoordelijken en betrokkenen met betrekking tot verwerking, onverminderd de rechten van betrokkenen op grond van de artikelen 77 en 79.’

4.2 Totstandkoming van gedragscodes

Overweging 99 AVG stelt: ‘Bij de opstelling van een gedragscode, of bij wijziging of uitbreiding van een dergelijke code, moeten verenigingen en andere organen die categorieën van verwerkingsverantwoordelijken of verwerkers vertegenwoordigen, overleg plegen met de belanghebbenden ter zake, waaronder waar mogelijk met betrokkenen, en rekening houden met bijdragen en standpunten naar aanleiding van dit overleg.’

4.3 Goedkeuring van gedragscodes

4.3.1 Algemeen

Artikel 40, vijfde lid, AVG bepaalt: ‘De in lid 2 van dit artikel bedoelde verenigingen en andere organen die voornemens zijn een gedragscode op te stellen of een bestaande gedragscode te wijzigen of uit te breiden, leggen de ontwerpgedragscode, de wijziging of uitbreiding voor aan de overeenkomstig artikel 51 bevoegde toezichthoudende autoriteit. De toezichthoudende autoriteit brengt advies uit over de vraag of de ontwerpgedragscode, de wijziging of uitbreiding strookt met deze verordening, en keurt deze ontwerpgedragscode, die wijziging of uitbreiding goed indien zij van oordeel is dat de code voldoende passende waarborgen biedt.’

Artikel 58, derde lid, AVG bepaalt: ‘Elke toezichthoudende autoriteit heeft alle autorisatie- en adviesbevoegdheden om:

[…]

  • d) overeenkomstig artikel 40, lid 5, advies uit te brengen over en goedkeuring te hechten aan de ontwerpgedragscodes;

Artikel 14, tweede lid, Uitvoeringswet Algemene verordening gegevensbescherming (UAVG) bepaalt: ‘Op de voorbereiding van een besluit omtrent goedkeuring van een gedragscode, dan wel de wijziging of uitbreiding daarvan, als bedoeld in artikel 40, vijfde lid, van de verordening is afdeling 3.4 van de Algemene wet bestuursrecht van toepassing.’

4.3.2 Gedragscodes die betrekking hebben op verwerkingsactiviteiten in één lidstaat

Artikel 40, zesde lid, AVG bepaalt: ‘Wanneer de ontwerpgedragscode, de wijziging of uitbreiding wordt goedgekeurd overeenkomstig lid 5, en indien de gedragscode in kwestie geen betrekking heeft op verwerkingsactiviteiten in verschillende lidstaten, registreert de toezichthoudende autoriteit de gedragscode en maakt zij deze bekend.’

4.4 Toepassing van goedgekeurde gedragscodes

Artikel 24, derde lid, AVG bepaalt: ‘Het aansluiten bij goedgekeurde gedragscodes als bedoeld in artikel 40 […] kan worden gebruikt als element om aan te tonen dat de verplichtingen van de verwerkingsverantwoordelijke zijn nagekomen.’

Artikel 28, vijfde lid, AVG bepaalt: ‘Het aansluiten bij een goedgekeurde gedragscode als bedoeld in artikel 40 […] kan worden gebruikt als element om aan te tonen dat voldoende garanties als bedoeld in de leden 1 en 4 van dit artikel worden geboden.’

Artikel 32, derde lid, AVG bepaalt: ‘Het aansluiten bij een goedgekeurde gedragscode als bedoeld in artikel 40 […] kan worden gebruikt als element om aan te tonen dat dat de in lid 1 van dit artikel bedoelde vereisten worden nageleefd.’

Artikel 40, derde lid, AVG bepaalt: ‘Behalve door verwerkingsverantwoordelijken of verwerkers die onder deze verordening vallen, kan bij overeenkomstig lid 5 van dit artikel goedgekeurde gedragscodes die overeenkomstig lid 9 van dit artikel algemeen geldig zijn verklaard, eveneens worden aangesloten door verwerkingsverantwoordelijken of verwerkers die overeenkomstig artikel 3 niet onder deze verordening vallen, om te voorzien in passende waarborgen voor doorgifte van persoonsgegevens naar derde landen of internationale organisaties onder de voorwaarden als bedoeld in artikel 46, lid 2, punt e). Die verwerkingsverantwoordelijken of verwerkers doen, via contractuele of andere juridisch bindende instrumenten, bindende en afdwingbare toezeggingen om die passende waarborgen toe te passen, ook wat betreft de rechten van de betrokkenen.’

4.5 Mechanismen in gedragscodes t.b.v. toezicht op de naleving

Artikel 40, vierde lid, AVG bepaalt: ‘Een in lid 2 van dit artikel bedoelde gedragscode bevat mechanismen die het in artikel 41, lid 1, bedoelde orgaan in staat stellen het verplichte toezicht uit te oefenen op de naleving van de bepalingen van de code door de verwerkingsverantwoordelijken of verwerkers die zich tot toepassing ervan verbinden, onverminderd de taken en bevoegdheden van de overeenkomstig artikel 55 of 56 bevoegde toezichthoudende autoriteiten.’

4.6 Toezicht op naleving van gedragscodes door een toezichthoudend orgaan

Artikel 41, eerste lid, AVG bepaalt: ‘Onverminderd de taken en bevoegdheden van de bevoegde toezichthoudende autoriteit uit hoofde van de artikelen 57 en 58, kan het op grond van artikel 40 uitgevoerde toezicht op de naleving van een gedragscode worden uitgeoefend door een orgaan dat over de passende deskundigheid met betrekking tot het onderwerp van de gedragscode beschikt en daartoe door de bevoegde toezichthoudende autoriteit is geaccrediteerd.’

Artikel 41, tweede lid, AVG bepaalt: ‘Een orgaan als bedoeld in lid 1 kan daartoe worden geaccrediteerd om toezicht te houden op de naleving van een gedragscode indien het:

  • a) ten genoegen van de bevoegde toezichthoudende autoriteit zijn onafhankelijkheid en deskundigheid met betrekking tot het onderwerp van de gedragscode heeft aangetoond;

  • b) procedures heeft vastgesteld op grond waarvan het kan beoordelen of de betrokken verwerkingsverantwoordelijken en verwerkers in aanmerking komen om de gedragscode toe te passen, toezicht kan houden op de naleving van de bepalingen van de gedragscode door deze laatsten en het de werking van de gedragscode op gezette tijden kan toetsen;

  • c) procedures en structuren heeft vastgesteld om klachten te behandelen over inbreuken op de gedragscode of over de wijze waarop daaraan uitvoering is of wordt gegeven door een verwerkingsverantwoordelijke of verwerker, en om die procedures en structuren voor betrokkenen en het publiek transparant te maken; en

  • d) ten genoegen van de bevoegde toezichthoudende autoriteit aantoont dat zijn taken en bevoegdheden niet tot een belangenconflict leiden.’

Artikel 41, zesde lid, AVG bepaalt: ‘Dit artikel geldt niet voor de verwerking door overheidsinstanties en -organen.’

5 Beoordeling van de Gedragscode

  • 18 Op grond van artikel 58, derde lid onder d, AVG wordt de Gedragscode beoordeeld. De beoordeling is gebaseerd op de aanvraag tot goedkeuring, de gevoerde correspondentie1 en de Gedragscode2.

  • 19 Het Comité heeft richtsnoeren uitgebracht voor gedragscodes en toezichthoudende organen onder de AVG (de richtsnoeren).3 De beoordeling vindt mede plaats aan de hand van deze richtsnoeren.

  • 20 De beoordeling wordt als volgt vorm gegeven: allereerst wordt ingegaan op de ontvankelijkheid van het verzoek tot goedkeuring van de Gedragscode (paragraaf 5.1). Vervolgens wordt de Gedragscode inhoudelijk beoordeeld (paragraaf 5.2). Tot slot wordt de conclusie op grond van de inhoudelijke beoordeling weergegeven (paragraaf 5.3).

5.1 Ontvankelijkheid van het verzoek

5.1.1 Representativiteit van de indiener van de gedragscode Paragraaf 5.2 van de richtsnoeren.

  • 21 Netbeheer Nederland is de branchevereniging van alle elektriciteit- en gasnetbeheerders van Nederland. Alle netbeheerders in Nederland zijn lid van deze branchevereniging. Netbeheer Nederland geeft aan dat ze als branchevereniging de samenwerking tussen netbeheerders bevordert en binnen Nederland en Europa overlegt met overheden, marktpartijen en maatschappelijke partners over de bijdragen van netbeheerders aan de ontwikkeling van de gas- en elektriciteitsmarkt en de transitie naar een duurzame energie.

  • 22 De AP is van oordeel dat Netbeheer Nederland kan worden aangemerkt als voldoende representatief voor de sector.

5.1.2 Overleg met belanghebbenden bij het opstellen van de gedragscode Paragraaf 5.8 van de richtsnoeren.

  • 23 Netbeheer Nederland geeft aan dat overleg heeft plaatsgevonden met Vereniging Eigen Huis en de Consumentenbond als vertegenwoordigers van de betrokkenen. In de gesprekken heeft Netbeheer Nederland geconstateerd dat de rol van de netbeheerders voor de betrokkenen nog niet helder is, en dat het voor de betrokkenen van belang is dat netbeheerders meer en duidelijker uitleg geven waarom het gebruik van data en persoonsgegevens essentieel is voor het netbeheer. Dit heeft geleid tot het uitwerken van de voor netbeheerders geldende informatieverplichtingen in de Gedragscode. Verder geeft Netbeheer Nederland aan dat er overleg is geweest met het Ministerie van Economische Zaken en Klimaat (EZK) om te borgen dat de Gedragscode consistent is met de nieuwe energiewetgeving. Ook is er overleg gevoerd met de Autoriteit Consument en Markt (ACM) over eventuele raakvlakken van de Gedragscode met het toezicht door ACM. Het overleg met EZK en ACM heeft niet geleid tot aanpassingen in de Gedragscode.

  • 24 De AP is van oordeel dat Netbeheer Nederland bij het opstellen van de Gedragscode voldoende heeft overlegd met belanghebbenden, en acht het aannemelijk dat Netbeheer Nederland voldoende rekening heeft gehouden met de bijdragen en standpunten naar aanleiding van dit overleg.

5.1.3 Nationale wetgeving Paragraaf 5.9 van de richtsnoeren.

  • 25 Netbeheer Nederland geeft aan dat met de Gedragscode een nadere uitwerking wordt gegeven aan de verplichtingen die voor de netbeheerders gelden op grond van de AVG in ogenschouw nemende de overige taken en verplichtingen die vanuit andere sectorspecifieke wetgeving op hen rusten. De Gedragscode ziet op het gebruik van meetgegevens voor netbeheerdoeleinden zoals gedefinieerd in de Elektriciteitswet 1998 en de Gaswet. De overheid werkt aan een wetsvoorstel voor de Nieuwe Energiewet waarmee wordt beoogd de huidige Elektriciteitswet 1998 en de Gaswet te vervangen. De nieuwe Energiewet zou meer duidelijkheid moeten verstrekken over de wettelijke verplichtingen die voor netbeheerders gelden ten aanzien van het gebruik van persoonsgegevens, aldus Netbeheer Nederland. Netbeheer Nederland heeft toegelicht dat hetgeen bepaald is in de Gedragscode mogelijk in de toekomst door de nieuwe Energiewet en daaruit voortvloeiende regelgeving anders kan worden.

  • 26 De AP is van oordeel dat Netbeheer Nederland bij het opstellen van de Gedragscode voldoende rekening heeft gehouden met de relevante sectorspecifieke nationale wet- en regelgeving.

5.1.4 Materieel toepassingsgebied van de gedragscode Paragraaf 5.3 van de richtsnoeren.

  • 27 In de Gedragscode geeft Netbeheer Nederland aan dat de code ziet op de verwerking van persoonsgegevens door netbeheerders bij de verwerking van meetgegevens betreffende afnemers voor netbeheerdoeleinden. Deze netbeheerdoeleinden zijn uitgewerkt in het als bijlage van de Gedragscode opgenomen data protectie beleid.

  • 28 De Gedragscode voorziet in een nadere uitwerking van de verplichtingen voor netbeheerders op grond van artikel 6, eerste lid onder e, artikel 35 en artikel 36 AVG. Dit blijkt ook uit de inhoud van de Gedragscode. Verder verplicht de Gedragscode de netbeheerders tot gezamenlijke uniforme en eenduidige informatievoorziening aan de betrokkenen, en geeft daarmee voor dat gedeelte nadere invulling aan artikel 12 AVG.

  • 29 De AP is van oordeel dat Netbeheer Nederland daarmee het materieel toepassingsgebied van de Gedragscode voldoende heeft bepaald.

5.1.5 Territoriaal toepassingsgebied van de gedragscode Paragraaf 5.4 van de richtsnoeren.

  • 30 De Gedragscode bepaalt dat deze uitsluitend van toepassing is op verwerkingen in Nederland. De Gedragscode heeft geen betrekking op verwerkingsactiviteiten in verschillende lidstaten.

  • 31 De AP is van oordeel dat Netbeheer Nederland daarmee het territoriaal toepassingsgebied van de Gedragscode voldoende heeft bepaald.

5.1.6 Aanwijzing van een orgaan dat toezicht houdt op de naleving Paragraaf 5.7 van de richtsnoeren.

  • 32 Artikel 41, eerste lid, AVG bepaalt dat het toezicht op de naleving van een gedragscode kan worden uitgeoefend door een orgaan dat over passende deskundigheid met betrekking tot het onderwerp van de gedragscode beschikt en daartoe door de bevoegde toezichthoudende autoriteit is geaccrediteerd. De richtsnoeren van de EDPB geven aan dat een gedragscode uitsluitend kan worden goedgekeurd als in de gedragscode een toezichthoudend orgaan wordt genoemd, en als dat toezichthoudend orgaan is geaccrediteerd door de bevoegde toezichthoudende autoriteit.4

  • 33 In de Gedragscode is opgenomen dat een onafhankelijke toezichthouder zorg draagt voor het toezicht inzake de Gedragscode. Netbeheer Nederland licht toe dat de inrichting van deze onafhankelijke toezichthouder nog dient te worden vormgegeven. De goedkeuring van de Gedragscode wordt door Netbeheer Nederland aangevraagd onder voorbehoud van de oprichting en aanwijzing van het toezichthoudend orgaan.

  • 34 De AP is van oordeel dat Netbeheer Nederland nog niet volledig heeft voldaan aan de voorwaarden voor goedkeuring van de Gedragscode aangezien de oprichting en de accreditatie van het toezichthoudend orgaan op grond van artikel 41, eerste lid, AVG nog plaats moeten vinden. Om die reden is de AP voornemens om een opschortende voorwaarde te verbinden aan de goedkeuring van de Gedragscode.

5.1.7 Evaluatie en bijstelling van de gedragscode Paragraaf 12.7 van de richtsnoeren.

  • 35 In de Gedragscode is opgenomen dat deze tenminste eens per vijf jaar wordt geëvalueerd door Netbeheer Nederland en dat ledenraad van Netbeheer Nederland de wijzigingen vaststelt. In de Gedragscode is opgenomen dat bevindingen van belanghebbenden in de evaluatie van de gedragscode worden meegenomen. Verder is hier opgenomen dat de wijzigingen door Netbeheer Nederland opnieuw aan de AP zullen worden voorgelegd ter goedkeuring.

  • 36 De AP is van oordeel dat Netbeheer Nederland hiermee voldoende aannemelijk heeft gemaakt dat de Gedragscode regelmatig zal worden geëvalueerd en zal worden bijgesteld indien de omstandigheden dat vereisen.

5.2 Inhoudelijke beoordeling van de gedragscode

5.2.1 Nut en noodzaak van de gedragscode Paragraaf 6.1 van de richtsnoeren.

  • 37 Netbeheer Nederland geeft aan dat de energietransitie met zich meebrengt dat de netten waarvoor de netbeheerders verantwoordelijk zijn meer en anders worden belast. Netbeheer Nederland stelt dat het daarom noodzakelijk is dat netbeheerders hun netten slimmer beheren om te borgen dat iedereen stroom kan blijven ontvangen, en dat het gebruik van meetgegevens daarvoor noodzakelijk is. Het ontbreken van eenduidigheid in de benadering van vraagstukken rondom de verwerking van deze meetgegevens door netbeheerders zorgt voor onzekerheid voor zowel de netbeheerders als betrokkenen, aldus Netbeheer Nederland. Met de Gedragscode wordt een uniforme standaard gecreëerd voor netbeheerders om deze meetgegevens te verwerken voor netbeheerdoeleinden. De Gedragscode voorziet daartoe in een toetsingsmodel dat netbeheerders toe moeten passen bij de verwerking van meetgegevens voor netbeheerdoeleinden. Daarnaast beoogt Netbeheer Nederland met de Gedragscode meer zekerheid te creëren voor betrokkenen en belanghebbenden door de netbeheerders te verplichten tot gezamenlijke uniforme en eenduidige informatievoorziening.

  • 38 Gezien het vorenstaande acht de AP het voldoende aannemelijk dat de Gedragscode voorziet in een behoefte binnen de sector waarvoor deze is bestemd.

5.2.2 Bevordering van doeltreffende uitvoering van de AVG Paragraaf 6.2 van de richtsnoeren.

  • 39 De Gedragscode biedt een sectorspecifieke invulling van de AVG. In het data protectie beleid, dat als bijlage is opgenomen in de Gedragscode, wordt onder meer nader uitgewerkt wat binnen de context van het netbeheer wordt verstaan onder een behoorlijke en minimale gegevensverwerking. Ook bevat dit beleid een aantal sectorspecifieke kaders en handreikingen voor het beperken van de risico’s van verwerkingen voor de betrokkenen. Verder is in de Gedragscode een lijst met definities opgenomen waarin de begrippen uit de AVG worden toegelicht binnen de context van het netbeheer.

  • 40 Gezien het vorenstaande is de AP van oordeel dat de Gedragscode de doeltreffende uitvoering van de AVG bevordert.

5.2.3 Nadere toelichting van de AVG Paragraaf 6.3 van de richtsnoeren.

  • 41 Met de Gedragscode wil Netbeheer Nederland concrete gedragsregels geven voor netbeheerders bij het verwerken van meetgegevens voor netbeheerdoeleinden. Ten eerste gaat de Gedragscode in op het formuleren van use cases voor nieuwe verwerkingen. Verder bevat de Gedragscode een beoordelingssystematiek waarin noodzakelijkheidsafwegingen en risicobeoordelingen nader zijn uitgewerkt in een zogenoemd Task Necessity Assessment (TNA) en een Data Protection Impact Assessment (DPIA). In de bijlage bij de Gedragscode is opgenomen welke informatie een use case minimaal moeten bevatten. In het in de bijlage van de Gedragscode opgenomen DPIA model zijn tevens afspraken uitgewerkt voor het indienen van een voorafgaande raadpleging bij de AP wanneer uit de beoordeling van een voorgenomen verwerking blijkt dat er sprake is van een hoog rest risico voor de rechten en vrijheden van natuurlijke personen.

  • 42 De Gedragscode geeft gedeeltelijk invulling aan de informatieplicht van de netbeheerders door deze te verplichten tot gezamenlijke uniforme en eenduidige informatievoorziening aan betrokkenen. Daartoe legt de code enkele verplichte onderdelen op die in de informatievoorziening dienen te worden opgenomen.

  • 43 De AP is van oordeel dat de Gedragscode voor de sector waarvoor deze is bestemd de verplichtingen voor netbeheerders bij het verwerken van meetgegevens voor netbeheerdoeleinden op grond van artikel 6, eerste lid onder e, artikel 35 en artikel 36 AVG voldoende toelicht. Verder is de AP van oordeel dat de Gedragscode de verplichting voor netbeheerders tot gezamenlijke uniforme en eenduidige informatievoorziening aan de betrokkenen op grond van artikel 12 AVG voldoende toelicht.

5.2.4 Waarborgen voor de betrokkenen Paragraaf 6.4 van de richtsnoeren.

  • 44 De Gedragscode bevordert een uniforme werkwijze m.b.t. de naleving van de AVG door de netbeheerders. Netbeheer Nederland geeft aan dat het werken volgens de Gedragscode in zal houden dat de netbeheerders gezamenlijke use cases zullen hanteren, waarover netbeheerders worden geadviseerd door de Functionarissen Gegevensbescherming. Verder verplicht de Gedragscode de netbeheerders om gezamenlijk en eenduidig een zelfde benadering te hanteren voor de TNA en de DPIA, en bepaalt de Gedragscode dat uitgevoerde toetsingen regelmatig worden herhaald en dat er een gezamenlijk register is van uitgevoerde beoordelingen.

  • 45 De AP is van oordeel dat de Gedragscode voldoende waarborgen bevat voor de betrokkenen.

5.2.5 Mechanismen voor het uitoefenen van toezicht op de naleving Paragraaf 6.5 van de richtsnoeren.

  • 46 In de Gedragscode geeft Netbeheer Nederland aan dat de netbeheerders een gezamenlijk register bijhouden van vastgestelde DPIA's voor netbeheerdoeleinden. Daarbij geeft Netbeheer Nederland aan dat de netbeheerders gezamenlijk een uniforme samenvatting opstellen van de uitgevoerde DPIA's in begrijpelijke taal die gepubliceerd kunnen worden en ter beschikking kunnen worden gesteld bij een verzoek om inzage door een afnemer of andere belanghebbenden.

  • 47 In de Gedragscode geeft Netbeheer Nederland aan dat de netbeheerders jaarlijks verantwoording afleggen dat zij voldoen aan de Gedragscode door middel van een uniforme toelichting op hun jaarrekening, waarin tenminste wordt geïnformeerd over de netbeheerdoeleinden, de informatievoorziening aan de afnemers, de uitgevoerde beoordelingen en de vastgestelde DPIA's en de behandelde klachten van betrokkenen. De Gedragscode verplicht de netbeheerders deze verantwoording op hun publieke websites te publiceren.

  • 48 In de Gedragscode geeft Netbeheer Nederland aan dat het nog op te richten toezichthoudend orgaan toezicht houdt op de naleving van de Gedragscode. De Gedragscode verplicht de aangesloten netbeheerders om de toezichthoudende rol van het toezichthoudend orgaan te erkennen en om het nog vast te stellen Reglement Governance en Toezicht te volgen.

  • 49 In de Gedragscode geeft Netbeheer Nederland aan dat door het toezichthoudend orgaan het volgende wordt getoetst: de informatievoorziening aan de betrokkenen; het proces ten aanzien van de beoordeling van de risico’s voor de betrokkenen; de controle en verantwoording van DPIA’s; de klachtenprocedure en de naleving van de Gedragscode door de netbeheerders. In de Gedragscode geeft Netbeheer Nederland verder aan dat het toezichthoudend orgaan bij niet-naleving van de Gedragscode jegens een netbeheerder de bevoegdheden heeft die haar krachtens de statuten van Netbeheer Nederland toekomen, waaronder schorsing en opzegging of ontzetting van het lidmaatschap, alsmede de overige en nadere berispende maatregelen die zullen worden opgenomen in het nog vast te stellen Reglement Governance en Toezicht. Netbeheer Nederland heeft toegelicht dat het toezichthoudend orgaan zal werken als een (gebruikelijk) verenigingsrechtelijk tuchtorgaan. Daarmee zijn de ultieme maatregelen die verenigingsrechtelijk kunnen worden opgelegd door advies van het toezichthoudend orgaan de schorsing en de beëindiging van het lidmaatschap.

  • 50 De AP is van oordeel dat de mechanismen die in de Gedragscode zijn opgenomen voor het uitoefenen van toezicht op de naleving toereikend zijn.

  • 51 Zoals hiervoor uiteen is gezet, is het toezichthoudend orgaan op dit moment nog niet opgericht en geaccrediteerd. Om die reden is de AP voornemens om een opschortende voorwaarde te verbinden aan de goedkeuring van de Gedragscode.

5.3 Conclusie op grond van de inhoudelijke beoordeling van de Gedragscode

  • 52 Op grond van de inhoudelijke beoordeling van de Gedragscode concludeert de AP als volgt:

    De AP concludeert, op grond van de inhoud van de Gedragscode en de toelichting die Netbeheer Nederland daarbij heeft verstrekt: dat de Gedragscode strookt met de AVG en voldoende passende waarborgen biedt zoals bedoeld in artikel 40, vijfde lid, AVG onder de opschortende voorwaarde dat binnen twee jaar na de datum van bekendmaking van het definitieve besluit inzake de verklaring omtrent de gedragscode Slim Netbeheer van Netbeheer Nederland in de Staatscourant: er een orgaan is dat het toezicht uitoefent op de naleving van de Gedragscode zoals bedoeld in artikel 40, vierde lid, AVG, en dat dit orgaan door de AP is geaccrediteerd zoals bedoeld in artikel 41, eerste lid, AVG.

6 Zienswijzen

  • 53 De AP heeft vorenstaande op 24 januari 2022 vastgelegd in een ontwerpbesluit. Op dit ontwerpbesluit is de uniforme openbare voorbereidingsprocodure uit Afdeling 3.4 van de Algemene wet bestuursrecht (Awb) van toepassing. De uniforme openbare voorbereidingsprocedure geeft belanghebbenden de mogelijkheid om binnen zes weken nadat het ontwerpbesluit ter inzage is gelegd hun zienswijze hierover naar voren te brengen.

  • 54 Binnen deze periode heeft de AP geen zienswijzen ontvangen.

7 Conclusie

  • 55 Gezien het vorenstaande besluit de AP als volgt:

    De Autoriteit Persoonsgegevens,

    gelet op artikel 40 en 41 van de AVG,

    gezien het schriftelijk verzoek van 22 januari 2021 van Netbeheer Nederland tot het goedkeuren van de gedragscode Slim Netbeheer (de Gedragscode),

    verklaart, op grond van de inhoud van de Gedragscode en de toelichting die Netbeheer Nederland daarbij heeft verstrekt: dat de Gedragscode strookt met de AVG en voldoende passende waarborgen biedt zoals bedoeld in artikel 40, vijfde lid, AVG,

    onder de opschortende voorwaarde dat binnen twee jaar na de datum van bekendmaking van het definitieve besluit inzake de verklaring omtrent de gedragscode Slim Netbeheer van Netbeheer Nederland in de Staatscourant: er een orgaan is dat het toezicht uitoefent op de naleving van de Gedragscode zoals bedoeld in artikel 40, vierde lid, AVG, en dat dit orgaan door de Autoriteit Persoonsgegevens is geaccrediteerd zoals bedoeld in artikel 41, eerste lid, AVG.

8 Terinzagelegging van de stukken

Op het besluit is op grond van artikel 14, tweede lid, van de Uitvoeringswet AVG, de ‘uniforme openbare voorbereidingsprocedure’ van afdeling 3.4 van de Algemene wet bestuursrecht (Awb) van toepassing. De zakelijke inhoud van het besluit wordt in de Staatscourant gepubliceerd. Het besluit en de daarop betrekking hebbende stukken zullen – ingevolge artikel 3:44 juncto artikel 3:11 Awb – gedurende zes weken van maandag tot en met vrijdag, tussen 10:00 en 16:00, ter inzage liggen bij de AP, Bezuidenhoutseweg 30 te Den Haag. Het inzien van de stukken kan alleen op afspraak.

9 Afsluiting en rechtsmiddel

Een belanghebbende kan op grond van de Awb tegen dit besluit beroep instellen bij de rechtbank (sector bestuursrecht) in het arrondissement, waarbinnen zijn woonplaats valt. Een afschrift van dit besluit moet worden bijgevoegd. De termijn voor het indienen van beroep bedraagt zes weken en vangt aan met ingang van de dag na die waarop het besluit overeenkomstig artikel 3:44 eerste lid Awb ter inzage is gelegd. Bij het indienen van beroep is voorts nog van belang dat artikel 6:13 Awb bepaalt dat geen beroep kan worden ingesteld bij de rechter door een belanghebbende aan wie redelijkerwijs kan worden verweten dat hij geen zienswijze (als bedoeld in artikel 3:15 Awb) naar voren heeft gebracht.

Den Haag, 19 april 2022

Autoriteit Persoonsgegevens, Overeenkomstig het door de Autoriteit Persoonsgegevens genomen besluit, C.M. Schut Directeur Systeemtoezicht, Beveiliging en Technologie

X Noot
1

Zie voor contactmomenten paragraaf 2 ‘Procedureverloop’.

X Noot
2

Bij brief van 4 januari 2022 heeft Netbeheer Nederland een aangepaste versie van de gedragscode Slim Netbeheer ingediend, en deze versie is door de AP getoetst.

X Noot
3

European Data Protection Board, Guidelines 1/2019 on Codes of Conduct and Monitoring Bodies under Regulation 2016/679, Version 2.0, 4 June 2019.

X Noot
4

Hoofdstuk 11 van de richtsnoeren: ‘60. In order for a code (national or transnational) to be approved, a monitoring body (or bodies), must be identified as part of the code and accredited by the CompSA as being capable of effectively monitoring the code.’

Naar boven