AMS og personvern - ta høyde for reglene nå

Samtidig som AMS-systemene nå rulles ut, må norske nettselskaper forberede seg på nye personvernregler som vil tre i kraft i 2018. Det er enklere og billigere å ta høyde for disse reglene nå, enn å risikere å måtte gjøre om på systemene i etterkant.

data_protection

AMS systemene og rutinene rundt disse må sikre at personopplysninger ikke kommer på avveie, at uvedkommende ikke får tilgang til systemene, at det ikke samles inn mer informasjon enn det er grunnlag for eller at informasjonen brukes til annet enn det som er tillatt. Dette er ikke nytt, men med ny lov plikter man i tillegg å foreta egenvurderinger av hvilken risiko virksomhetens registrering og bruk av personopplysninger medfører for kundens personvern og hvilke konsekvenser dette kan få. Disse risikovurderingene må kunne dokumenteres. Samtidig vil det bli innført en plikt til å sørge for at AMS-systemene er konstruert slik at de ivaretar kundens personvern på best mulig måte («privacy by design»).

Men hvordan skal man rent praktisk gå frem for å sikre etterlevelse av disse reglene?

En ekspertgruppe hos EU-Kommisjonen har utarbeidet en mal for hvordan man kan foreta en egenvurdering av personvernet ved AMS-systemer. Den såkalte DIPA-malen («Data Protection Impact Assessment Template for Smart Grid and Smart Metering Systems») vil være til hjelp både med hensyn til å få oversikt over hvilke praktiske spørsmål innføringen av AMS reiser i forhold til kundenes personvern og for hvordan nettselskapene skal kunne ivareta personvernet slik loven krever, herunder kravene til risikoanalyse og dokumentasjon.

Ledelsen i norske nettselskaper har et særlig ansvar for at virksomheten foretar en slik risikoanalyse og for at selskapet følger opp de krav lovgivningen stiller. Med den nye personvernlovgivningen som trer i kraft i 2018, vil feil og mangler ved nettselskapenes ivaretakelse av kundenes personvern sanksjoneres mye strengere enn i dag. Det å ikke passe godt nok på kundens personvern vil ha en mye høyere regulatorisk risiko enn hva man hittil har vært vant til. Å investere tid og krefter på personvern i AMS-systemene i dag, kan derfor være en nyttig langsiktig investering.