Afgelopen weekend hebben diverse media, waaronder het Algemeen Dagblad en de Trouw naar buiten gebracht dat energiebedrijven illegaal verkregen persoonsgegevens gebruiken om nieuwe klanten te werven. Deze persoonsgegevens zijn in de meeste gevallen verkregen na een datalek bij de eerste energieleverancier waar de gegevens zijn verzameld.

Het gaat in de meeste gevallen naast naam, adres en woonplaats, om adressen, bankrekeningnummers en burgerservicenummers van mensen die al zijn ingeschreven in het Bel-me-niet-register. Het is in Nederland verboden om burgerservicenummers (BSN’s) te gebruiken zonder een wettelijke grondslag. De energieverkopers handelen per definitie in strijd met de AVG door de BSN’s van de natuurlijke personen te verwerken en onderling uit te wisselen.

Het spreekt voor zich dat deze handelswijze van de energieverkopers illegaal is. Deze handelswijze kan leiden tot forse boetes door de toezichthouder Autoriteit Persoonsgegevens (AP). Het is vooralsnog niet bekend om welke energiebedrijven het gaat. Ook is nog niets bekend over de schaal waarop dit gebeurt. Het is wel duidelijk dat er een bestand met daarin 10.000 adressen door een handelaar is vrijgegeven binnen de branche.

Impact privacy natuurlijke personen

Deze handelswijze van de energieverkopers heeft vanzelfsprekend impact op de privacy van natuurlijke personen.

Verlies van zeggenschap

Op de eerste plaats verliezen personen de zeggenschap over hun persoonsgegevens. Als een persoons klant is van bijvoorbeeld Nuon en later overstapt naar Eneco, waarbij de gegevens toegankelijk blijven voor Nuon (of een door Nuon ingeschakeld telemarketingbedrijf), is niet uit te sluiten dat deze gegevens binnen de sector worden uitgewisseld. Het is dan niet uit te sluiten dat deze data, al dan niet aangevuld of gefilterd, met derden worden uitgewisseld. Dan wordt het voor de natuurlijke persoon erg lastig om te achterhalen welke partijen inzage hebben in de persoonsgegevens van de natuurlijke persoon.

Fraude niet uit te sluiten

De combinatie van naam, adres en woonplaats, aangevuld met het bankrekeningnummer en burgerservicenummer, kan leiden tot fraude door kwaadwillenden. Zo kunnen energieverkopers zich voordoen als klant X en nieuwe contracten sluiten of een bestaand contract met de energieleverancier aanpassen. Dit klinkt erg onwaarschijnlijk, toch blijkt dit de realiteit:”Wie wil kan zonder moeite, ongemerkt een heel nieuw contract afsluiten, of alleen bellen om ‘nog even wat gegevens te verifiëren’. Een verkoper bij DNA Services, die al jaren meeloopt, was dan ook verbaasd om te zien hoeveel gegevens hier al beschikbaar waren in het belbestand.”

De toezichthouder, Autoriteit Persoonsgegevens, heeft nog geen inhoudelijke reactie op dit nieuws gegeven. Wij verwachten dat de toezichthouder handhavend zal optreden tegen partijen die illegaal persoonsgegevens handelen.