Deze Handleiding Monitoring is een richtlijn die houvast kan bieden bij de invulling van het monitoringsysteem bij Nul op de Meter woningen. Het beschrijft de wettelijke verplichtingen, maar gaat ook verder richting ‘good practice’. Deze Handleiding Monitoring is geen contractstuk.
- Op informatiebeveiliging (en veiligheid in het algemeen) concurreren we bij Nul op de Meter niet;
- Informatiebeveiliging is een continu proces en geen checklist.
- Persoonsgegevens die uit de woning komen vallen onder privacywetgeving. Daarom moet aan de huurder van tevoren, als onderdeel van de voorwaarden voor het ontvangen van een Nul op de Meter woning, worden gevraagd om toestemming voor het op afstand mogen uitlezen van gegevens die de woning komen. Bij het vragen om toestemming dient duidelijk aan te worden gegeven om welke gegevens het gaat en met welke doeleinden die gegevens verzameld worden. De toestemming van de huurder is een vereiste voor de Nul op de Meter renovatie en de juridische grond voor de gegevensverzameling.
- Informatie valt uiteen in twee soorten: a. Persoonsgegevens (gegevens die direct of indirect te herleiden zijn tot een persoon, ook via bijvoorbeeld een adres of IP-adres. Over dit soort gegevens gaat de Wet bescherming persoonsgegevens (Wbp). Bewerkers van
geautomatiseerde persoonsgegevens moeten dit bij de Autoriteit Persoonsgegevens (AP) melden. Datalekken dienen in veel gevallen publiek gemeld te worden, zowel bij de AP als bij de betrokkenen (huurders). b. Andere gegevens (gegevens die niet te herleiden zijn tot
een persoon. Bijvoorbeeld het tijdstip waarop een bepaalde meting is gedaan of (andere) technische gegevens. Let op dat deze gegevens, door ze te koppelen aan persoonsgegevens, zelf ook persoonsgegevens kunnen worden. - Als de huurder, ondanks de gesloten aanvulling op de huurovereenkomst waarin hij toestemming heeft verleend voor monitoring, toch deze monitoring tegenwerkt, kan: a. De verhuurder niet zonder meerkosten, bijvoorbeeld door iemand langs te sturen bij de bewoner, voldoen aan de EPV-eis om een jaarlijks overzicht aan de huurder te verstrekken omtrent diens energiegebruik. In het uiterste geval kan de huurder de verhuurder zelfs geen toegang geven tot de
woning, waardoor de verhuurder helemaal niet aan deze EPV-eis kan voldoen. De EPV kan in dat geval niet geïnd worden. De huurder komt in beide gevallen zijn deel van de overeenkomst niet na. De verhuurder zal kosten die veroorzaakt worden willen verrekenen met de huurder. Hiervoor zijn de geëigende paden bekend. b. De aanbieder niet goed in de gaten houden of de woning goed presteert. Zo is het mogelijk dat de woning niet conform verwachting presteert omdat er een mankement is dat bij de aanbieder onbekend is vanwege gehinderde monitoring. Volgens de huidige wetgeving vervalt of verkleint het recht op het innen van EPV op het moment dat niet aan de minimale eisen wordt voldaan, ook al is dit bij wijze van
spreken met slechts 1 kWh. Het hinderen van monitoring levert in dit geval een groot risico op. Ook hier komt de huurder zijn deel van de overeenkomst niet na. De verhuurder zal kosten die veroorzaakt worden willen verrekenen met de huurder. Als niet aan de EPV-eisen voldaan wordt doordat de huurder monitoring tegenwerkt en de afnemer hierdoor geen EPV kan innen, kan de aanbieder niet aansprakelijk worden gesteld voor de door de afnemer geleden schade. - Voor gegevensverzameling is technisch gezien geen slimme meter nodig. Weerstand onder huurders tegen monitoring kan mogelijk (deels) weggenomen worden door een monitoringsysteem te ontwikkelen dat geen gebruik maakt van de slimme meter.
- Indien een project wordt uitgevoerd met minder dan 100% akkoord van bewoners, levert dat een rare juridische situatie op: doorgang van het project kan worden afgedwongen, maar het is niet zeker of akkoord op monitoring ook afgedwongen kan worden (los van het feit of dit wenselijk wordt geacht). Ultimo zal een rechter oordelen of de huurder een “redelijk aanbod” is gedaan en of het ‘offer’ wat van de huurder wordt gevraagd kleiner of groter is dan de schade die de verhuurder lijdt door het niet door kunnen gaan van het project. Het is dus in ieders belang dat zo zorgvuldig mogelijk wordt omgegaan
met monitoring om zodoende weerstand te voorkomen en indien nodig weg te nemen bij huurders en een mogelijke gang naar de rechter met goed gevolg af te kunnen leggen. - De verhuurder is de Verantwoordelijke voor het op juiste wijze omgaan met de van de huurder verkregen informatie, omdat de verhuurder de overeenkomst over de Nul op de Meter- woning
aangaat met de huurder waarin ook toestemming wordt gevraagd voor monitoring. Desalniettemin kan de verhuurder (een deel van) het werk dat gepaard gaat met monitoring uitbesteden aan een derde partij, een Bewerker. - Een bewerkersovereenkomst regelt juridisch wie welke verantwoordelijkheid heeft in geval van het overdragen van bewerkersactiviteiten van persoonsgegevens. Een dergelijke bewerkersovereenkomst tussen verantwoordelijke en bewerker is verplicht volgens artikel 14 van het Wbp.
- Een Bewerkersovereenkomst Nul op de Meter is als voorbeeld opgesteld. Verhuurders sluiten een Bewerkersovereenkomst af met elke aanbieder die gegevens uit de woningen haalt. Aanbieders
sluiten ook zo’n Bewerkersovereenkomst af met eventuele derde onderaannemers die persoonsgegevens bewerken. - Alle partijen die Nul op de Meter gerelateerde persoonsgegevens bewerken moeten hun systeem aanmelden bij de Autoriteit Persoonsgegevens.
- Het risico op ernstige schade bij een eventueel datalek blijft relatief klein als: a. persoonsgegevens en andere gegevens gescheiden van elkaar worden opgeslagen (en slechts met elkaar worden verbonden op momenten dat het nodig is); b. gegevens versleuteld worden opgeslagen en van A naar B worden verzonden; c. data niet onnodig worden gekoppeld of verrijkt met andere data; d. monitoringsystemen alleen gegevens kunnen uitlezen, en niet ook systemen kunnen aansturen; e. de persoonsgegevens voortkomend uit monitoring in beginsel binnen Europa blijven zodat de Wbp (of de Europese regelgeving waar de Wbp van afgeleid is) van toepassing is.
- Het gebruikmaken van de internetverbinding van huurders leidt tot minder betrouwbare en beschikbare dataverbindingen. Huurders kunnen bijvoorbeeld inbreken op het signaal of bij gebruik van pulsmetingen kan de betrouwbaarheid van de metingen in het gedrang komen.
- Na oplevering van de Handleiding Monitoring is het werk niet ‘klaar’, maar begint het juist. Elke deelnemende organisatie dient intern iets met de resultaten te doen.
- Een gedragscode is een middel om transparant en precies te zijn over hoe we met persoonsgegevens om wensen te gaan. Het geeft daarom een goede basis voor zelfregulering en kennisoverdracht en wekt vertrouwen in de markt.
- Een Gedragscode Nul op de Meter is in ontwikkeling en wordt naar verwachting onderdeel van NOM Keur 2.0. De Gedragscode geldt dan voor zowel afnemers (verhuurders) als aanbieders van NOM Keur producten. Onderdeel hiervan is: a. dat elke organisatie een verantwoordelijke voor informatiebeveiliging aanwijst; b. dat elke organisatie een ‘level of access’ beleid formuleert; c. dat elke organisatie een incidenten- en geschillenbeleid formuleert.
Lees meer over het invullen van het monitoringsysteem bij Nul op de Meter woningen in ons themablad Handleiding Monitoring.