Elhubs Personvernerklæring

Elhub mottar og innhenter opplysninger om sluttkundene i kraftmarkedet for å kunne levere tjenester slik at kraftmarkedet skal kunne fungere.

Alle skal være trygge på at personopplysningene behandles på en sikker og riktig måte, og kjenne til hvilke rettigheter som de har etter personopplysningsloven.

Denne personvernerklæringen inneholder informasjon om hvordan vi samler inn, bruker og sikrer personopplysninger.


- Ansvar og Formål
- Behandlingsansvarlig
- Hvilke personopplysninger behandler Elhub
- Hvem har tilgang til personopplysningene
- Hvordan sikrer Elhub personopplysninger
- Dine rettigheter etter personopplysningsloven
- Statistikk
- Informasjonskapsler
- Kontakt


Ansvar og formål

Elhub har ansvaret for å gjennomføre sentrale forretningsprosesser i kraftmarkedet. I hovedsak består dette av å formidle data om strømforbruk, sørge for at kunder kan bytte leverandør samt at riktig informasjon om kunden til enhver tid er tilgjengelig for markedsaktørene som har lovmessig tilgang til denne informasjonen.

Elhubs rolle og mandat er forankret i FOR 301 (“Forskrift om måling, avregning, fakturering av nettjenester og elektrisk energi, nettselskapets nøytralitet mv.”) fra Olje- og energidepartmentet samt Avregningskonsesjonen fra NVE (Norges vassdrags- og energidirektorat). Behandlingen av personopplysninger skjer innenfor rammene av dette lovverket.

Det er nødvendig for Elhub å ha tilgang til personopplysninger for å kunne yte riktige tjenester. I all hovedsak innhenter vi personopplysninger fra nettselskapene og kraftleverandørene i kraftmarkedet. I tillegg vil en begrenset mengde personopplysninger innhentes dersom sluttkunden benytter Elhubs portal som er tilgjengelig via markedsaktørene.

Opplysninger som vi henter inn skal kun brukes til det formålet de er innhentet for, med mindre vi har lovlig grunnlag til å bruke dem også til andre formål.

Personopplysningene er underlagt lovpålagt taushetsplikt og kan ikke uten videre utleveres til andre, med mindre en lovhjemmel fritar Elhub fra taushetsplikten eller hvis bruker samtykker.

De ansatte har tilgang til personopplysninger etter tjenstlig behov. Kun ansatte som skal jobbe med opplysningene skal ha tilgang til opplysningene.

Opplysningene skal ikke lagres lenger enn det som er nødvendig ut fra formålet de er blitt brukt til.

Elhub har rutiner for internkontroll for å sikre korrekt håndtering og sikring av personopplysninger etter personopplysningsloven § 14. Personopplysningene blir behandlet i flere it-systemer som alle har strenge krav til informasjonssikkerhet. All tilgang til systemene er tilgangsstyrt og trafikken blir logget.


Behandlingsansvarlig

Statnett og Elhub er ansvarlig for behandlingen av personopplysninger i etaten. Se kontaktinformasjon til Elhub.


Hvilke personopplysninger behandler Elhub

Elhub skal lagre og prosessere personopplysninger for alle privatpersoner som har avtale om netteie og kraftlevering i det norske kraftmarkedet. Dette utgjør omtrent 2.7 millioner privatpersoner.

Elhub vil lagre og prosessere følgende generelle personopplysninger:

Personopplysning Elhubs datakilde Behandlingsformål Lagringstid
For- og etternavnFra kraftleverandør og nettselskapSørge for at riktig juridisk person blir knyttet opp til strømforbruk i et målepunktSå lenge forbrukeren har en forpliktelse ovenfor kraftleverandør og nettselskap. Dersom forbrukeren har sagt opp både kraft- og nettleieavtale vil opplysningene lagres i ytterligere tre år i forhold til eventuelle feil og mulighet for å korrigere økonomiske oppgjør
Adresse for fakturaFra kraftleverandør og nettselskapSørge for at kraftleverandør og nettselskap sender faktura til riktig adresse
Fødselsnr.Fra kraftleverandør og nettselskapSikker identifisering av sluttkunde slik at data fra en kunde ikke blir forvekslet med en annens
Telefon nr.Fra kraftleverandør og nettselskapFormidle kontaktinformasjon mellom kraftleverandør og nettselskap
E-post adresseFra kraftleverandør og nettselskapFormidle kontaktinformasjon mellom kraftleverandør og nettselskap


Utover dette vil Elhub til enhver tid knytte disse opplysningene til kraftmarkedsspesifikke opplysninger som i seg selv ikke er personopplysninger, men som blir det gjennom kobling til den enkelte person. Koblingen er nødvendig for at Elhub skal kunne utføre sine tjenester og slik at kraftmarkedet kan fungere. Elhub vil samle inn, lagre og prosessere følgende kraftmarkedsspesifikke personopplysninger:

Kraftmarkedsspesifikk personopplysning Elhubs datakilde Behandlingsformål Lagringstid
Målepunkt IDFra nettselskapUnik og korrekt identifisering av forbruk til riktig nettselskap, sluttkunde og kraftleverandørSå lenge kunden er ansvarlig for målepunktet. Dersom kunden har sagt opp både kraft- og nettleieavtale vil opplysningene lagres i ytterligere tre år i forhold til eventuelle feil og mulighet for å korrigere økonomiske oppgjør
Måler nr.Fra nettselskapIdentifisering av måler knyttet til målepunktet slik at forbruker kan verifisere eget forbruk
Adresse (målepunkt)Fra nettselskapFormidle lokasjon av målepunkt slik at nettselskap, sluttkunde og kraftleverandør kan verifisere kundeinformasjon og gi riktig avbruddsinformasjon
GPS koordinater målepunktFra nettselskapFormidle lokasjon av målepunkt slik at nettselskap, sluttkunde og kraftleverandør kan verifisere kundeinformasjon og gi riktig avbruddsinformasjon
Manuell eller fjernavlest målerFra nettselskapFor at sluttkunden skal kunne avregnes og følges opp i henhold til riktige prosedyrer for måleravlesning, leverandørbytter og avregning
NettselskapFra nettselskapFor at Elhub kun gir ut personopplysninger til riktig nettselskap
KraftleverandørFra kraftleverandørFor at Elhub kun gir ut personopplysninger til riktig kraftleverandør
Tredjeparts leverandørFra Tredjeparts leverandørFor at Elhub kun gir ut personopplysninger til riktig Tredjeparts leverandørSå lenge Tredjeparts leverandøren er godkjent av kunden eller så lenge kunden er ansvarlig for målepunktet
Kallenavn på målepunktFra den registrerteEget navn på målepunkt for at kunden lettere skal kjenne igjen forbruksstedet (f.eks. hytta, huset til mor m.m.)Så lenge kunden er ansvarlig for målepunktet
Ansvar øvrige målepunktFra den registrerteFor at Elhub skal kunne gi ut personopplysninger til en annen enn den som formelt sett er ansvarlig på målepunktet, f.eks. en fomynderSå lenge ansvarlig av kunden eller så lenge kunden er ansvarlig for målepunktet
Egenproduksjon (plusskunde)Fra nettselskapFor at sluttkunden skal kunne selge overskuddskraft3 år med mindre kunden aktivt har bestilt lagring i 10 år
Forbruksverdier per timeFra nettselskapFor at sluttkunden skal kunne bli korrekt avregnet og fakturert
Estimert årsvolum forbrukBeregnet av ElhubFor at sluttkunden skal kunne bli korrekt avregnet og fakturert i de tilfeller kunden ikke har AMS (ikke timemålte anlegg)Så lenge kunden er ansvarlig for målepunktet
Oppløsning måleverdierFra nettselskapFor at sluttkunden skal kunne avregnes og følges opp i henhold til riktige prosedyrer for måleravlesning, leverandørbytter og avregningSå lenge kunden er ansvarlig for målepunktet
Historikk bytte av strømleverandørGenerert av ElhubFor at sluttkunden skal kunne avregnes og følges opp i henhold til riktig prosedyrer for korreksjonsoppgjør for forbruket lenger tilbake i tid enn dagens leverandørTre år
Historikk flytting mellom målepunktGenerert av ElhubFor at sluttkunden skal kunne avregnes og følges opp i henhold til riktige prosedyrer for korreksjonsoppgjør for forbruket lenger tilbake i tid enn dagens kunde har vært på målepunktetTre år


Hvem har tilgang til personopplysningene

Elhub gir kun tilgang til personopplysninger til eksterne parter som har en lovlig adgang til personopplysningene. Dette gjelder nettselskapet som er ansvarlig nettleverandør for det området kunden har sitt målepunkt. Nettselskapet har lovlig adgang gjennom FOR 301 samt konsesjons som nettoperatør fra NVE. Videre gjelder det kraftleverandører som har kraftleveringsavtale med kunden og som i tillegg har rett til opplysningene gjennom FOR 301 og konsesjon fra NVE. I tillegg kommer 3. parter som har tillatelse fra sluttkunden og som aktivt har gitt slik adgang gjennom Elhubs portal som er tilgjengelig via markedsaktørene.

Elhub har inngått avtale med alle nettselskaper, kraftleverandører og 3. parter som har tilgang til Elhub. Avtalen sikrer at alle parter følger reglene i kraftmarkedet, Elhubs krav til informasjonssikkerhet og personlovgivningen. Avtalen gir Elhub adgang til å ekskludere informasjonstilgang og sanksjonere de selskapene som ikke opptrer i henhold til regelverket for kraftmarkedet og personopplysninger.

Elhub benytter ekstern IT leverandør for drift av IT løsningen som lagrer og behandler personopplysninger. Alle personopplysninger lagres i et driftssenter med spesifikk lokasjon i Norge og på servere som utelukkende brukes av Elhub. Personopplysningene lagres og behandles således ikke i “skyen” eller i ved hjelp av andre former for delte tjenester.

IT leverandøren utfører drift, support og vedlikehold fra India og operatørene har tilgang til personopplysninger for å kunne utføre sine oppgaver. Elhub har databehandleravtale med IT leverandøren og øvrige avtaler som sikrer personvern i forhold til tjenester levert fra Indisk lokasjon (såkalt Model Clause avtale).


Hvordan sikrer Elhub personopplysninger

All utveksling av personopplysninger mellom Elhub og markedsaktører skjer gjennom standardiserte datagrensesnitt hvor tilgang er beskyttet med sikkerhetssertifikater og hvor alle opplysninger er kryptert i meldingsutvekslingen.

Elhub lagrer data i en IKT infrastruktur som har høye krav til sikkerhet og vi etterstreber å følge prinsippene om “privacy by design”. Dette innebærer blant annet frikobling av markedsprosessene internt i Elhub fra individinformasjon for å sikre at personlig identifiserbar informasjon brukes kun der det er absolutt nødvendig. Vi benytter fødselsnummer som unik identifikasjon og fødselsnummer er lagret i en kryptert database.

Elhub gjennomfører jevnlig tester for å avdekke eventuelle sikkerhetshull og hvert år gjennomføres en omfattende risiko- og sårbarhetsanalyse for å vurdere gjeldende risiko for tap og misbruk av opplysninger. Videre er Elhub del av overvåkning av trusselsituasjonen gjennom deltakelse i KraftCERT.


Dine rettigheter etter personopplysningsloven

Alle har rett til generell informasjon om Elhubs behandling av opplysninger etter personopplysningsloven § 18. Alle personer som vi har registrert personopplysninger om, har rett på innsyn i de opplysningene som er registrert om seg.

Hvis opplysningene om deg er feil, kan du kreve at opplysningene blir rettet eller slettet etter personopplysningsloven §27 og §28. Slike krav skal besvares kostnadsfritt og senest innen 30 dager.


Statistikk

Når strømforbrukeren besøker Elhubs web portal etterlater brukeren elektroniske spor. Nettleseren sender automatisk opplysninger til Elhubs systemer hver gang du ber om å få vist en side. For hver side du åpner lagres disse opplysningene:

  • Hvilken side du ser på
  • Dato og tid
  • Hvilken nettleser du bruker og versjon
  • Din maskins internettadresse (ip-adresse)

Opplysningene blir ikke brukt til å identifisere deg som person. Vi bruker opplysningene til å lage statistikk som viser for eksempel hvilke sider som er mest lest samt forsøk på datainnbrudd. Slik kan vi forbedre sikkerhet og tjenestene til Elhub.


Informasjonskapsler

De innloggede tjenestene på Elhub bruker informasjonskapsler (“cookies”).

Informasjonskapsler er små filer med informasjon som blir liggende igjen på datamaskinen din for at tjenesten skal virke best mulig. Det medfører ingen sikkerhetsrisiko for deg som bruker.

Les mer om informasjonskapsler her:
https://nettvett.no/slik-administrer-du-informasjonskapsler/


Kontakt

Har du flere spørsmål om hvordan Elhub håndterer personvern og innsyn, kan du kontakte oss på: