AMS innebærer at alle husstander skal få en såkalt ”smart måler” som registrerer strømforbruket på timebasis og sender automatisk informasjonen om forbruket til nettselskapet. Dette gir raskere og riktigere innhenting av måleverdier og et bedre grunnlag for fakturaen.
I tillegg til i Norge, skal AMS installeres i hjem i hele EU. Med den massive informasjonsmengden AMS åpner for – den største i energisektoren noen sinne – åpner det seg både flere muligheter og farer for utnyttelse. Personvernopplysningsloven stiller krav til hvordan disse opplysningene skal brukes. Datatilsynet er opptatt av at personvernet sikres i dette systemet i forhold til hvilke data som samles inn, hvordan denne informasjonen behandles, og hvem som skal gis tilgang til den.
For privatpersoner er opplysninger om strømbruk i utgangspunktet knyttet til et målernummer på en bestemt adresse, ikke til en person. Når måleren igjen knyttes til en enkeltperson slik er tilfelle for bruk av AMS, kan opplysningene om strømbruket spores tilbake til en privatperson. Dette kan være abonnenten selv eller en annen enn person, slik som en leietaker.
Litt om AMS
 |
| Automatisk målesystem (AMS) |
Norges vassdrags- og energidirektorat (NVE) sier at AMS gjør at strømkundene får bedre informasjon om kraftforbruket sitt, mer nøyaktig avregning og mulighet for automatisk styring av forbruket. Videre forklarer NVE at AMS gir strømkundene mulighet til å ta styringen over strømforbruket, og vil kunne bidra til en bedre fordeling av strømforbruket og et mer fleksibelt kraftmarked.
Les om AMS på NVEs hjemmeside: http://www.nve.no/ams
Med et stadig økende energibehov øker også nødvendigheten for et mer avansert strømnett. Med den nåværende teknologien innen IKT er det mulig å regulere og overvåke strømnettet bedre. AMS åpner nemlig for toveiskommunikasjon mellom leverandør og kunde, og med flere målere, både i hjem og på infrastruktur kan man holde bedre øye med strømforbruket, samt avdekke linjefeil og andre problemer som måtte oppstå. Dette kalles SmartGrid.
Normalt vil informasjonen fra strømmåleren sendes gjennom strømnettet, men det kan i teorien også sendes via både en dedikert kabel eller trådløst.
The Norwegian Smartgrid Centre har laget denne videoen som forklarer både SmartGrid og AMS på en lettfattelig måte:
Video fra The Norwegian Smartgrid Centre
Advarer mot utnyttelse
Det finnes per i dag ingen klart definerte rammer for hvordan dataene AMS samler inn kan brukes. Den europeiske datatilsynsmannen, The European Data Protection Supervisor (EDPS), advarer mot hvordan denne informasjonen kan brukes om den ikke sikres skikkelig.
Les pressemeldingen fra EDPS her (.pdf)
Les hele rapporten fra EDPS her (.pdf)
Ved å analysere detaljerte data om strømbruk kan det i fremtiden være mulig å anta eller å forutsi – også basert på kunnskap om hvordan forskjellige elektroniske verktøy virker – når medlemmer av en husstand er borte på ferie eller på jobb, når de sover og er våkne, om de ser på TV eller bruker visse elektriske verktøy eller elektronisk utstyr, har gjester på fritiden, hvor ofte de vasker klær, om noen bruker spesielt medisinsk utstyr eller en ”baby call”, om en persons nyreproblemer har oppstått plutselig eller utviklet seg over tid, om noen lider av søvnløshet, eller om personer sover på samme rom.
Disse mønstrene kan være veldig nyttige for å analysere vårt strømforbruk i forhold til strømsparing. Mønstre og profiler kan imidlertid bli brukt til mange andre ting, inkludert, kanskje viktigst, markedsføring og reklame.
AMS: Høy kommersiell verdi
Informasjon om strømbruk kan faktisk ha en høy kommersiell verdi: selskaper vet ofte allerede, ved å ha sporet bestillingshistorikk i nettbutikker, eller ved sporing av kundekort, kredittkort eller bankkort, hva forbrukere handler. Ved å analysere ”smart måledata”, data innsamlet via RFID (radiofrekvensidentifikasjon), og ved å utnytte andre teknologier under utvikling kan selskaper i økende grad si hvor, når og hvordan forbrukere bruker produktene. Denne tilleggsinformasjonen kan deretter bli brukt til målrettet og personlig reklame. I tillegg kan profileringen føre til en økt informasjonsubalanse mellom forbrukere på den ene siden, og strømselskaper eller andre tredjeparter som ønsker å markedsføre varer og tjenester til forbrukere: jo mer informasjon en forbruker avslører om seg selv, jo lettere vil det være for enhver part som ønsker å selge ham/henne et produkt eller en tjeneste å bruke denne informasjonen til sin egen fordel, for eksempel for å drive med forskjellsbehandling på pris.
Videre kan politiet, skattemyndighetene, forsikringsselskaper, utleiere, arbeidsgivere og andre tredjeparter være interessert i informasjon om det personlige strømforbruket.
EDPS anbefaler at individuelle samtykker må innhentes før nettselskaper bruker informasjonen hentet fra AMS til annet enn det de trenger for å gjøre jobben som strømleverandør.
Abonnentens rettigheter
Som abonnent har du følgende rettigheter:
- Innsynsrett
Du rett til å be om innsyn i alle personopplysninger nettselskapet har lagret om deg, slik som formålet med behandlingen, om personopplysningene er utlevert til andre aktører, eventuelt til hvem og om sikkerhetstiltak. Du kan også be om innsyn i andre opplysninger om deg selv.
- Retting
Nettselskapet skal rette opp uriktige opplysninger om deg på eget initiativ eller dersom du ber om det.
- Sletting
Du kan kreve at opplysninger som er sterkt belastende for deg skal sperres eller slettes dersom dette ikke strider mot annen lov eller er forsvarlig ut fra en samlet vurdering av blant annet andres behov for dokumentasjon.
Nettselskapet er behandlingsansvarlig
Nettselskapet ved øverste ledelse, er behandlingsansvarlig for behandling av personopplysninger (se personopplysningslovens § 2 nr 4). Det betyr at nettselskapet må behandle personopplysninger i forbindelse med AMS slik loven sier.
Dersom nettselskapet bruker underleverandører som behandler personopplysninger på vegne av selskapet, er underleverandøren en databehandler. Nettselskapet har fremdeles ansvar for behandlingen, og må inngå en skriftlig avtale, en databehandleravtale med underleverandøren. Databehandleravtalen regulerer behandlingen av personopplysninger.
Formålet må være klart
Norges vassdrags- og energidirektorat sier at opplysninger om strømforbruk fra AMS kan behandles for ulike formål. Disse kan være fakturering, innhenting av styringsdata med mer.
Datatilsynet kan ikke se at det er nødvendig å behandle identifiserbare personopplysninger for andre formål enn fakturering.
Andre eller nye formål som for eksempel tilleggstjenester, må vurderes konkret av nettselskapet. Det er bare behandling av opplysninger i forbindelse med fakturering for strømforbruk som omtales her.
Hvilke opplysninger kan nettselskapet behandle?
Nettselskapet kan behandle opplysninger om strømforbruk og bare opplysninger som er nødvendige og relevante for å fastsette riktig pris på strømleveransen.
Det er av betydning hvilken prisavtale den enkelte abonnement har inngått med sitt nettselskap. Dersom det foreligger en avtale om fast pris, er det vanskelig for nettselskapet å hevde at de må behandle store mengder opplysninger om det abonnentens løpende strømforbruk for faktureringsformål. Nettselskapet må derfor tilpasse avlesningshyppigheten til avtalen.
Abonenten har også rett på informasjon om målehyppigheten og begrunnelse slik som beskrevet over.
Nettselskapet plikter
Rettslig grunnlag
Nettselskapet må ha rettslig grunnlag for å behandle personopplysninger. Dette kan for eksempel være samtykke fra den registrerte (den som en personopplysning kan knyttes til).
Informasjonsplikt
Den registrerte må få informasjon om behandlingen av personopplysningene slik at han forstår hva personvernkonsekvensene av å inngå avtalen er. Nettselskapet må gi informasjon om:
- hvilke opplysninger som behandles
- hvilke formål opplysningene behandles for
- om opplysningene vil bli utlevert til andre og hvem som i så fall er mottaker
Informasjonssikkerhet
Nettselskapet og eventuelle databehandlere skal gjennom planlagte og systematiske tiltak sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet ved behandling av personopplysninger.
Nettselskapet skal sikre personopplysningene mot misbruk internt og eksternt, basert på en gjennomført risikovurdering. Det er den behandlingsansvarlige, ved å definere sikkerhetsmål og strategi, som gjennom sin utøvelse av internkontroll skal avgjøre hva som er et akseptabelt sikkerhetsnivå.
Den behandlingsansvarlige skal gjennom risikovurderingen sannsynliggjøre at tiltakene er tilstrekkelige. Sikkerhetsbestemmelsene i personopplysningsforskriften skal være oppfylt og dokumentert før behandling av personopplysninger igangsettes.
- Behandlingsansvarliges medarbeidere skal pålegges taushet for personopplysninger og annen informasjon med betydning for informasjonssikkerheten. Ansvars- og myndighetsforhold skal avklares.
- Medarbeidere hos behandlingsansvarlig skal bare bruke informasjonssystem og personopplysninger til pålagte oppgaver i henhold til registrert autorisasjon. Avvik herfra skal registreres og sikkerhetstiltak dokumenteres.
- Det skal foretas jevnlig sikkerhetsrevisjon. Denne skal dokumenteres, og avvik skal rapporteres og resultatet dokumenteres.
Les mer om informasjonssikkerhet
Internkontroll
Nettselskapet skal etablere og vedlikeholde planlagte og systematiske tiltak som er nødvendige for å oppfylle kravene personopplysningsloven ved å sikre personopplysningenes kvalitet. Tiltakene skal dokumenteres.
Dersom nettselskapet benytter underleverandører i sin behandling av personopplysninger, plikter nettselskapet å inngå en databehandleravtale
Les mer om internkontroll
Meldeplikt
Nettselskapet må melde fra om behandling av personopplysninger dersom behandlingen gjøres ved bruk av elektroniske hjelpemidler. Meldingen skal gis senest 30 dager før behandlingen tar til.
Nettselskapet trenger ikke melde fra til Datatilsynet dersom behandling av personopplysningene bare benyttes som ledd i administrasjon og gjennomføring av kontraktsforpliktelser.
Sletteplikt
Nettselskapet skal slette personopplysningene når det ikke lenger er nødvendig for fakturering. Det er forbudt å lagre unødvendige opplysninger.
Nettselskapet trenger ikke slette opplysningene dersom:
- opplysningene skal behandles for andre formål og den nye behandlingen har rettslig grunnlag
- det foreligger lovbestemt plikt til å oppbevare opplysningene, etter for eksempel regnskapslovgivningen
- videre behandling skjer i henhold til en avtale med abonnenten, og bare benyttes i tråd med denne avtalen
Dersom opplysningene ikke skal slettes, skal de oppbevares på en slik måte et de bare er tilgjengelig for skatteetaten eller andre kontrollmyndigheter. Informasjonen skal ikke benyttes til egne formål, med unntak for anonym statistikk.