Hvorfor driver vi og maser om personvern i Smart Grid?

eye-blue
Smarte strømmålere vil samle svært mye informasjon om hver enkelt husstand. Det vil være mulig å se når noen er hjemme og borte, hvilke apparater som finnes i boligen, forbruksmønster, og døgnrytme.

Måledata går til nettselskapene, hvor de må lagres en viss tid.   AMS-forskriften sier at timesverdier skal lagres 3-15 mnd (for fakturering), mens måneds- og årsverdier skal lagres 3 år (pga. lastprofiler, sesongvariasjoner, og energimerking).
Dette er vel og bra, men vi sitter igjen med noen sentrale spørsmål:
  • Hvem har tilgang til opplysningene som samles inn?
  • Hva kan opplysningene rettmessig benyttes til?
  • Hva kan uvedkommende benytte opplysningene til?
  • Hvordan sikres opplysningene?

Personopplysningsloven (populært kalt POL) legger en del føringer for hva vi kan gjøre med informasjon som vi definerer som personopplysninger. Først og fremst så må all behandling av personopplysninger være saklig begrunnet – man kan ikke samle inn data fordi det er “kjekt å ha”. Begrunnelsen må også kommuniseres til de det gjelder, og det må også opplyses om hvem som vil være mottakere av opplysningene. Dernest må det være frivillig samtykke til innsamlingen (selv om dette punktet kanskje strekkes – vil det være mulig å nekte å installere en Smart måler?). Det er et krav at opplysningene som registreres skal være korrekte, noe som den enkelte skal kunne verifisere ved innsyn. Hvis det oppdages feilaktige opplysninger skal disse rettes; samt at hvis det er registrert unødvendige opplysninger som ikke dekkes av den saklige begrunnelsen, skal disse slettes.

For å forhindre at andre enn de som skal ha lov til å se eller endre informasjonen får tilgang, må informasjonssikkerheten ivaretas. Hvis opplysningene som lagres regnes som følsomme, er det enda strengere regler som gjelder. Man skal ha rett til manuell vurdering, og også rett til å være anonym i situasjoner som ikke saklig krever at man indentifiserer seg.

Datatilsynet har laget en AMS-tilpasset veiledning til personopplysningsloven (POL). Det er nettselskapet som normalt vil være dataansvarlig, og følgelig pliktig til å se til at POL etterleves. Databehandling kan outsources, men ansvaret er fortsatt hos nettselskapet. Det er kun fakturering som anses å kreve personidentifiserbare data, og nettselskapet er pålagt å slette personopplysninger når de ikke lenger behøves for fakturering. Det er videre en del generelle krav til internkontroll og sikkerhetsmekanismer. Kunden har rett på tilgang til data om seg selv, inklusive hensikten med innsamlet data, om data er gitt til andre (og i så fall til hvem), og hvordan opplysningene er sikret.

Vi mener at nettselskapene må komme på banen her, og dokumentere hvordan de løser utfordringene vi har skissert over. Det finnes ikke fasitsvar på alt, så det er all grunn til å holde tunga rett i munnen når man ruller ut smartgridløsninger i årene som kommer.