Elhubs Personvernerklæring
Elhub mottar og innhenter opplysninger om sluttbrukere i kraftmarkedet for å kunne levere tjenester slik at kraftmarkedet skal kunne fungere.
Alle skal være trygge på at personopplysningene behandles på en sikker og riktig måte, og kjenne til hvilke rettigheter som de har etter personopplysningsloven.
Denne personvernerklæringen inneholder informasjon om hvordan vi samler inn, bruker og sikrer personopplysninger.
- Ansvar og formål
- Behandlingsansvarlig
- Hvilke personopplysninger behandler Elhub
- Hvem har tilgang til personopplysningene
- Hvordan sikrer Elhub personopplysninger
- Dine rettigheter etter personopplysningsloven
- Statistikk og analyse
- Nettleserstatistikk og informasjonskapsler
- Andre behandlinger av personopplysninger i Elhub
- Kontakt
- Tilsynsmyndighet
Ansvar og formål
Elhub har ansvaret for å gjennomføre sentrale forretningsprosesser i kraftmarkedet. I hovedsak består dette av å formidle data om strømforbruk, sørge for at kunder kan bytte leverandør samt at riktig informasjon om kunden til enhver tid er tilgjengelig for markedsaktørene som har lovmessig tilgang til denne informasjonen.
Elhubs rolle og mandat er forankret i “Forskrift om måling, avregning, fakturering av nettjenester og elektrisk energi, nettselskapets nøytralitet mv.” (FOR 301) fra Olje- og energidepartementet, samt Avregningskonsesjonen fra Norges vassdrags- og energidirektorat/ Reguleringsmyndigheten for energi (RME). Behandlingen av personopplysninger skjer innenfor rammene av dette lovverket.
Elhub utfører også oppgavene som Systemstøtte for Ediel, en funksjon bestemt av RME gjennom Avregningskonsesjonen. Systemstøtte for Ediels rolle og mandat er i likhet med Elhubs mandat forankret i “Forskrift om måling, avregning, fakturering av nettjenester og elektrisk energi, nettselskapets nøytralitet mv.” (FOR 301). Systemstøtte for Ediel skal blant annet bestemme hvordan lovpålagte meldinger utveksles mellom kraftleverandører, nettselskaper og andre markedsaktører i kraftbransjen, og godkjenne at disse partene er i stand til å utveksle meldingene riktig via Elhub. Aktørsertifisering gjøres som standard på kunstige personopplysninger, men kan i særtilfeller og da kun etter forutgående avtale med nettselskap eller kraftleverandører gjøres på reelle personopplysninger.
Det er nødvendig for Elhub å ha tilgang til personopplysninger for å kunne yte riktige tjenester. I all hovedsak innhenter vi personopplysninger fra nettselskapene og kraftleverandørene i kraftmarkedet. I tillegg vil en begrenset mengde personopplysninger innhentes dersom sluttbrukeren benytter Elhubs portal som er tilgjengelig via markedsaktørene.
Opplysninger som vi henter inn skal kun brukes til det formålet de er innhentet for, med mindre vi har lovlig grunnlag til å bruke dem også til andre formål, for eksempel statistikk og analyse.
Personopplysningene er underlagt lovpålagt taushetsplikt og kan ikke uten videre utleveres til andre, med mindre en lovhjemmel fritar Elhub fra taushetsplikten eller hvis bruker samtykker.
De ansatte har tilgang til personopplysninger etter tjenstlig behov. Kun ansatte som skal jobbe med opplysningene skal ha tilgang til opplysningene.
Opplysningene skal ikke lagres lenger enn det som er nødvendig ut fra formålet er blitt samlet inn for.
Elhub har rutiner for internkontroll for å sikre korrekt håndtering og sikring av personopplysninger etter personopplysningsloven kap. IV, avsn. 2, Artikkel 32 Sikkerhet ved behandlingen. Personopplysningene blir behandlet i flere IT-systemer som alle har strenge krav til informasjonssikkerhet. All tilgang til systemene er tilgangsstyrt og trafikken blir logget.
Behandlingsansvarlig
Statnett og Elhub er ansvarlig for behandlingen av personopplysninger i etaten. Se kontaktinformasjon til Elhub.
Hvilke personopplysninger behandler Elhub
Elhub skal lagre og prosessere personopplysninger for alle privatpersoner som har avtale om nettleie og kraftlevering i det norske kraftmarkedet. Dette utgjør omtrent 3,1 millioner privatpersoner.
Elhub skal også lagre personopplysninger om kraftleverandørers, nettselskapers og tredjeparters ansatte som skal ha adgang til å logge seg inn i Elhub aktørportal.
Elhub vil lagre og prosessere følgende generelle personopplysninger:
Personopplysning | Elhubs datakilde | Behandlingsformål | Lagringstid |
For- og etternavn | Fra kraftleverandør og nettselskap |
Sørge for at riktig juridisk person blir knyttet opp til strømforbruk i et målepunkt Identifisering av markedsaktørenes ansatte med adgang til å logge seg på Elhub aktørportal |
Så lenge forbrukeren har en forpliktelse overfor kraftleverandør og nettselskap. Dersom forbrukeren har sagt opp både kraft- og nettleieavtale vil opplysningene lagres i ytterligere 1136 dager (om lag 3 år og 40 dager) for eventuell feilretting og mulighet for å korrigere økonomiske oppgjør. Dersom måleverdier ønskes lagret i 10 år, vil tilhørende personopplysninger lagres tilsvarende lenge. |
Adresse for faktura | Fra kraftleverandør og nettselskap | Sørge for at kraftleverandør og nettselskap sender faktura til riktig adresse | |
Fødselsnr. | Fra kraftleverandør og nettselskap |
Sikker identifisering av sluttbrukere slik at data fra en kunde ikke blir forvekslet med en annens Sikker identifisering av markedsaktørenes ansatte med adgang til å logge seg på Elhub aktørportal |
|
Telefon nr. | Fra kraftleverandør og nettselskap |
Formidle kontaktinformasjon mellom kraftleverandør og nettselskap Identifisering av og kontaktmulighet til markedsaktørenes ansatte med adgang til å logge seg på Elhub aktørportal |
|
E-post adresse | Fra kraftleverandør og nettselskap |
Formidle kontaktinformasjon mellom kraftleverandør og nettselskap Identifisering av og kontaktmulighet til markedsaktørenes ansatte med adgang til å logge seg på Elhub aktørportal |
|
Språk | Fra kraftleverandør, nettselskap, tredjepart eller den registrerte | Presentasjon av informasjon på riktig språk til markedsaktørenes ansatte med adgang til å logge seg på Elhub aktørportal | |
Organisasjon | Fra kraftleverandør, nettselskap, tredjepart eller den registrerte | Verifisere at markedsaktørenes ansatte har adgang til kraftleverandørens eller nettselskapets kundebase registrert i Elhub, og koble den ansatte til riktig sluttbrukerinformasjon |
Utover dette vil Elhub til enhver tid knytte disse opplysningene til kraftmarkedsspesifikke opplysninger som i seg selv ikke er personopplysninger, men som blir det gjennom kobling til den enkelte person. Koblingen er nødvendig for at Elhub skal kunne utføre sine tjenester og slik at kraftmarkedet kan fungere. Elhub vil samle inn, lagre og prosessere følgende kraftmarkedsspesifikke personopplysninger:
Kraftmarkedsspesifikk personopplysning | Elhubs datakilde | Behandlingsformål | Lagringstid |
Målepunkt ID | Fra nettselskap | Unik og korrekt identifisering av forbruk til riktig nettselskap, sluttbruker og kraftleverandør | Så lenge kunden er ansvarlig for målepunktet. Dersom kunden har sagt opp både kraft- og nettleieavtale vil opplysningene lagres i ytterligere 1136 dager (om lag 3 år og 40 dager) for eventuell feilretting og mulighet for å korrigere økonomiske oppgjør |
Måler nr. | Fra nettselskap | Identifisering av måler knyttet til målepunktet slik at forbruker kan verifisere eget forbruk | |
Adresse (målepunkt) | Fra nettselskap | Formidle lokasjon av målepunkt slik at nettselskap, sluttbruker og kraftleverandør kan verifisere kundeinformasjon og gi riktig avbruddsinformasjon | |
GPS koordinater målepunkt | Fra nettselskap | Formidle lokasjon av målepunkt slik at nettselskap, sluttbruker og kraftleverandør kan verifisere kundeinformasjon og gi riktig avbruddsinformasjon | |
Manuell eller fjernavlest måler | Fra nettselskap | For at sluttbrukeren skal kunne avregnes og følges opp i henhold til riktige prosedyrer for måleravlesning, leverandørbytter og avregning | |
Nettselskap | Fra nettselskap | For at Elhub kun gir ut personopplysninger til riktig nettselskap | |
Kraftleverandør | Fra kraftleverandør | For at Elhub kun gir ut personopplysninger til riktig kraftleverandør | |
Tredjeparts leverandør | Fra Tredjeparts leverandør | For at Elhub kun gir ut personopplysninger til riktig Tredjeparts leverandør | Så lenge Tredjeparts leverandøren er godkjent av kunden eller så lenge kunden er ansvarlig for målepunktet |
Kallenavn på målepunkt | Fra den registrerte | Eget navn på målepunkt for at kunden lettere skal kjenne igjen forbruksstedet (f.eks. hytta, huset til mor m.m.) | Så lenge kunden lenge kunden har delegert ansvaret og/eller er ansvarlig for målepunktet |
Ansvar øvrige målepunkt | Fra den registrerte | For at Elhub skal kunne gi ut personopplysninger til en annen enn den som formelt sett er ansvarlig på målepunktet, f.eks. en fomynder | Så lenge ansvarlig av kunden og/ eller så lenge kunden er ansvarlig for målepunktet |
Egenproduksjon (plusskunde) | Fra nettselskap | For at sluttbrukeren skal kunne selge overskuddskraft | 1136 dager (om lag 3 år og 40 dager), med mindre kunden aktivt har bestilt lagring i 10 år |
Forbruksverdier per time | Fra nettselskap | For at sluttbrukeren skal kunne bli korrekt avregnet og fakturert | |
Estimert årsvolum forbruk | Beregnet av Elhub | For at sluttbrukeren skal kunne bli korrekt avregnet og fakturert i de tilfeller kunden ikke har AMS (ikke timemålte anlegg) | Så lenge kunden er ansvarlig for målepunktet |
Oppløsning måleverdier | Fra nettselskap | For at sluttbrukeren skal kunne avregnes og følges opp i henhold til riktige prosedyrer for måleravlesning, leverandørbytter og avregning | Så lenge kunden er ansvarlig for målepunktet |
Historikk bytte av strømleverandør | Generert av Elhub | For at sluttbrukeren skal kunne avregnes og følges opp i henhold til riktig prosedyrer for korreksjonsoppgjør for forbruket lenger tilbake i tid enn dagens leverandør | 1136 dager (om lag 3 år og 40 dager) |
Historikk flytting mellom målepunkt | Generert av Elhub | For at sluttbrukeren skal kunne avregnes og følges opp i henhold til riktige prosedyrer for korreksjonsoppgjør for forbruket lenger tilbake i tid enn dagens kunde har vært på målepunktet | 1136 dager (om lag 3 år og 40 dager) |
Hvem har tilgang til personopplysningene
Elhub gir kun tilgang til personopplysninger til eksterne parter som har en lovlig adgang til personopplysningene. Dette gjelder nettselskapet som er ansvarlig nettleverandør for det området kunden har sitt målepunkt. Nettselskapet har lovlig adgang gjennom FOR 301 samt konsesjons som nettoperatør fra NVE. Videre gjelder det kraftleverandører som har kraftleveringsavtale med kunden og som i tillegg har rett til opplysningene gjennom FOR 301 og konsesjon fra NVE. I tillegg kommer 3. parter som har tillatelse fra sluttbrukeren og som aktivt har gitt slik adgang gjennom Elhubs portal som er tilgjengelig via markedsaktørene.
Elhub har inngått avtale med alle nettselskaper, kraftleverandører og 3. parter som har tilgang til Elhub. Avtalen sikrer at alle parter følger reglene i kraftmarkedet, Elhubs krav til informasjonssikkerhet og personlovgivningen. Avtalen gir Elhub adgang til å ekskludere informasjonstilgang og sanksjonere de selskapene som ikke opptrer i henhold til regelverket for kraftmarkedet og personopplysninger.
Elhub benytter eksterne IT-leverandører for drift av IT-løsningen som behandler personopplysninger. Alle personopplysninger lagres i driftssentre i Norge og Tyskland. Personopplysningene er kryptert når de er lagret og når de sendes til og fra Elhubs servere, og Elhub følger ledende praksis for kryptering og forvaltning av krypteringsnøkler.
Elhub har databehandleravtaler med IT-leverandørene, og har også gjort nødvendige risikovurderinger av og innført relevante tiltak mot overføring av personopplysninger utenfor EU/ EØS/ godkjente tredjeland.
Hvordan sikrer Elhub personopplysninger
All utveksling av personopplysninger mellom Elhub og markedsaktører skjer gjennom standardiserte datagrensesnitt hvor tilgang er beskyttet med sikkerhetssertifikater og hvor alle opplysninger er kryptert i meldingsutvekslingen.
Elhub lagrer data i en IKT infrastruktur som har høye krav til sikkerhet og vi etterstreber å følge prinsippene om “privacy by design”. Dette innebærer blant annet frikobling av markedsprosessene internt i Elhub fra individinformasjon for å sikre at personlig identifiserbar informasjon brukes kun der det er absolutt nødvendig. Vi benytter fødselsnummer som unik identifikasjon og fødselsnummer er lagret i en kryptert database.
Elhub gjennomfører jevnlig tester for å avdekke eventuelle sikkerhetshull og hvert år gjennomføres en omfattende risiko- og sårbarhetsanalyse for å vurdere gjeldende risiko for tap og misbruk av opplysninger. Videre er Elhub del av overvåkning av trusselsituasjonen gjennom deltakelse i KraftCERT.
Dine rettigheter etter personopplysningsloven
Behandling av personopplysninger i Elhub reguleres av personopplysningsloven. Dine rettigheter i forbindelse med vår behandling finnes blant annet i personopplysningslovens kapittel II til IV. Her er noen sentrale rettigheter du har:
Alle har rett til generell informasjon om Elhubs behandling av opplysninger etter personopplysningslovens kap. III. Alle personer som vi har registrert personopplysninger om, har rett på innsyn i de opplysningene som er registrert om seg. Krav om innsyn skal besvares kostnadsfritt og senest innen 30 dager.
Hvis opplysningene om deg er feil, kan du kreve at opplysningene blir rettet eller slettet. etter personopplysningslovens kap. III, avsn. 3. Ettersom Elhub får personlysningene direkte fra kraftleverandørene bør du ta kontakt med din kraftleverandør for å korrigere opplysningene.
Elhub har behov for å lagre dine data så lenge du er strømkunde. Dersom du har sagt opp både kraft- og nettleieavtalen vil opplysningene lagres i ytterligere tre år i forhold til eventuelle feil og mulighet for å korrigere økonomiske oppgjør. Hvis du har bedt om at dine måleverdier skal lagres i 10 år, vil dine personopplysninger lagres like lenge.
Ved bytte av kraftleverandør overføres automatisk alle dine data til ny leverandør.
Statistikk og analyse
Elhub er i noen tilfeller pålagt ved lov å gi ut personopplysninger til statistikk og analyse, til mottakere som har rett til å kreve at Elhub leverer ut slike opplysninger. Dette gjelder per i dag Statistisk Sentralbyrå SSB (Statistikkloven), Norges Vassdrags- og elektrisitetsdirektorat NVE (Energiloven og Delegeringsvedtak) og Reguleringsmyndigheten for Energi RME (Energiloven). Ut over dette får offentlige myndigheter som for eksempel politi, skattemyndigheter, konkurransetilsynet, direktorater og departement utlevert personopplysninger de trenger og har rett til i det enkelte tilfellet, for å utføre sine oppgaver.
Anonymiserte opplysninger som ikke kan brukes til å identifisere enkeltpersoner, deles for statistikk og analyse etter behov.
Nettleserstatistikk og informasjonskapsler
Når strømforbrukeren besøker Elhubs web portal etterlater brukeren elektroniske spor. Nettleseren sender automatisk opplysninger til Elhubs systemer hver gang du ber om å få vist en side. For hver side du åpner lagres disse opplysningene:
- Hvilken side du ser på
- Dato og tid
- Hvilken nettleser du bruker og versjon
- Din maskins internettadresse (ip-adresse)
Opplysningene blir ikke brukt til å identifisere deg som person. Vi bruker opplysningene til å lage statistikk som viser for eksempel hvilke sider som er mest lest samt forsøk på datainnbrudd. Slik kan vi forbedre sikkerhet og tjenestene til Elhub.
De innloggede tjenestene på Elhub bruker informasjonskapsler (“cookies”).
Informasjonskapsler er små filer med informasjon som blir liggende igjen på datamaskinen din for at tjenesten skal virke best mulig. Det medfører ingen sikkerhetsrisiko for deg som bruker.
Les mer om informasjonskapsler her:
https://nettvett.no/slik-administrer-du-informasjonskapsler/
Andre behandlinger av personopplysninger i Elhub
Jobbsøkere
Gjennom ansettelsesprosessen behandler vi de opplysningene vi mottar fra deg som jobbsøker i dokumentasjonen du sender oss, blant annet søknad, CV, vitnemål og attester. I tillegg til eventuelle intervju vil Elhub kunne gjennomføre egne undersøkelser i form av f.eks. samtaler med oppgitte referanser. Resultater fra eventuelle tester av egnethet som del av ansettelsesprosessen vil også behandles som personopplysninger.
Elhub benytter dedikerte rekrutteringssystem som oppgitt i den enkelte stillingsannonse. Rekrutteringssystemene forvaltes av Elhubs morselskap Statnett SF, til å administrere søknader på ledige stillinger, og en egen personvernerklæring finnes i systemene.
Elhubs grunnlag for å behandle personopplysninger i ansettelsesprosessen er personvernforordningens artikkel 6 nr. 1 bokstav b. Her kan Elhub behandle personopplysninger når det er nødvendig for å gjennomføre tiltak på jobbsøkerens anmodning før en avtale inngås. Ved å søke på stillingen og laste opp dokumenter anser vi at du som jobbsøker ber Elhub vurdere innsendt dokumentasjon, gjennomføre intervjuer og ringe referanser med sikte på å inngå en arbeidsavtale.
Eventuelle egne undersøkelser ut over ovenstående har behandlingsgrunnlag i personvernforordningens artikkel 6 nr. 1 bokstav f. Den berettigede interessen er her å finne riktig person til stillingen.
Stillingssøknader oppbevares i rekrutteringssystemet. Tilgang til søknader med CV, vitnemål, attester og ID-kopi fjernes for Elhub innen 12 måneder dersom søker ikke fikk jobben. Intervjunotater, notater fra referansesamtaler, tester/personprofil, bakgrunns- og kredittsjekk slettes tilsvarende innen 3 måneder. Som jobbsøker i Elhub vil du alltid kunne be om at dine opplysninger slettes også tidligere enn dette.
Deltakere på webinar, bransjemøter og tilsvarende
Elhub arrangerer som en del av sitt lovhjemlede oppdrag webinarer, bransjemøter (Elhub Bransjeråd og Elhub Brukerforum) og tilsvarende arrangementer. Som deltaker på disse arrangementene vil du registreres med navn, firmaet du representerer, mobilnummer og epostadresse. Din deltakelse vil også framgå i møtereferater, med ditt navn og firma du representerte i møtet. Møtereferatene er offentlig tilgjengelige som en del av Elhubs forvaltning av Systemstøtte for Ediel og Elhub Edielstandard, samt strategisk utvikling av Elhub, og opplysningene deles gjennom møtereferatets distribusjon til møtedeltakerne og publisering på Elhub.no. Møtereferat med deltakerlister lagres inntil 10 år.
Ved eventuelle opptak av digitale møter vil dette opplyses ved møtestart, og fortsatt deltakelse anses som samtykke til opptak og lagring av dette. Møteopptak fra åpne statusmøter med markedsaktører («onsdagsmøter») lagres inntil 1 år.
Elhubs behandlingsgrunnlag for denne aktiviteten finnes i personvernforordningens artikkel 6 nr. 1 bokstav c, hvor behandlingen er nødvendig for å etterleve en rettslig forpliktelse ihht. tildelt Avregningskonsesjon fra Reguleringsmyndigheten for Energi RME, samt Forskrift 301 («Avregningsforskriften»).
Behandling i sosiale medier
Når du «liker» eller «følger» Elhubs Facebook-side eller våre sider i andre sosiale medier, vil dette deles med den aktuelle plattformen. Det samme gjelder for annen aktivitet på våre sider på sosiale medier, som for eksempel innhold du poster og innlegg du liker. Den relevante plattformen vil være ansvarlig for personopplysningene den samler inn og behandler. Mer informasjon om denne behandlingen og dine rettigheter følger av den enkeltes plattformens personvernerklæring.
Besøk til Elhubs kontorlokaler
Alle besøkende registreres i kontorbyggets resepsjon med navn, mobilnummer, firmatilhørighet, besøksmottaker og firma man besøker. Denne registreringen slettes etter 24 timer.
Behandlingsgrunnlaget for denne behandlingen er personvernforordningens artikkel 6 nr. 1 bokstav f, som tillater selskapet å behandle opplysninger som er nødvendig for å ivareta en berettiget interesse som veier tyngre enn hensynet til den enkeltes interesser eller grunnleggende rettigheter og friheter. Den berettigede interessen er å sikre tilgangen til Elhubs lokaler, og til å orientere besøksmottaker om at den besøkende har ankommet.
Kontakt
Har du flere spørsmål om hvordan Elhub håndterer personvern og innsyn, kan du kontakte oss på:
- Tel: +47 23 90 30 40
- E-post: post@elhub.no
Elhubs personvernombud er Silje Vegarud.
Tilsynsmyndighet
Datatilsynet er gjeldende tilsynsmyndighet for personopplysningssikkerhet. Dersom du opplever noe du mener er et brudd på regelverket, skal du først kontakte Elhub. Hvis du mener at Elhubs tilbakemelding er utilstrekkelig, kan du sende inn en skriftlig henvendelse til Datatilsynets postadresse: Datatilsynet, Postboks 458 Sentrum, 0105 OSLO. Datatilsynet vil så vurdere om de skal følge saken videre.