Dataveiligheid speelt een essentiële rol in het waarborgen van een betrouwbaar en veerkrachtig energiesysteem. De dreiging van cyberaanvallen is reëel en groeit zowel in frequentie als in complexiteit. Deze aanvallen worden o.a. uitgevoerd door georganiseerde cybercriminelen en statelijke actoren brengen risico’s op verstoring en sabotage van kritieke infrastructuur met zich mee.
Om deze uitdagingen het hoofd te bieden, hanteren we een proactieve en integrale aanpak van databeveiliging. Deze aanpak richt zich op drie pijlers: technologie, mensen en processen. We investeren voortdurend in het versterken van onze weerbaarheid tegen cyberdreigingen, met als doel het minimaliseren van risico’s en het waarborgen van de continuïteit van onze dienstverlening. Tegelijkertijd beschermen we de vertrouwelijkheid van klant- en bedrijfsinformatie. (MDR-P-65e en MDR-M-75)
Ons dataveiligheidsbeleid is nauw verweven met de bedrijfsstrategie en voldoet aan zowel wettelijke als maatschappelijke eisen. De toenemende Europese regelgeving, zoals de NIS2-richtlijn en de bestaande Wet beveiliging netwerk- en informatiesystemen (Wbni), vraagt om verdere versterking en uitbreiding van onze beveiligingsmaatregelen. Hiermee blijven we voorbereid op toekomstige uitdagingen en dragen we bij aan een veilig en stabiel energiesysteem. (MDR-P-65d)
Integraal normenkader
Het informatiebeveiligingsbeleid van Enexis strekt zich uit over de gehele organisatie, inclusief Enexis Netbeheer en alle externe partners en leveranciers. Het beleid en de securityriskmanagementprocessen dekken alle processen, ICT-systemen, operationele techniek, gebouwen, terreinen en bedrijfsmiddelen die essentieel zijn voor de bedrijfsvoering. (MDR-P-65b)
Ons informatiebeveiligingsbeleid is uitgewerkt in een integraal normenkader dat is gebaseerd op wereldwijd erkende standaarden en best practices. Denk hierbij aan internationale normen zoals ISO 27001 en ISO 27019, aangevuld met specifieke eisen uit de NIS2-richtlijn en andere relevante wet- en regelgeving. Daarnaast zijn richtlijnen van de Nederlandse Beroepsorganisatie van Accountants geïntegreerd om een hoog volwassenheidsniveau te waarborgen. Het normenkader omvat beheersmaatregelen op gebieden zoals organisatie, personeel, fysieke beveiliging, incidentenbeheer, operationeel beheer en leveranciersrelaties. Door deze aanpak worden beveiligingsmaatregelen consistent en effectief geïmplementeerd, met een duidelijke focus op de meest kritieke risico’s voor de organisatie. Dit integrale normenkader vormt de basis voor een sterke, toekomstbestendige informatiebeveiliging, die aansluit bij de behoeften van onze organisatie en de eisen van de steeds veranderende digitale omgeving. (MDR-P-65a en MDR-P-65d)
De chief information security officer (CISO) is het centrale aanspreekpunt voor dataveiligheid en geeft leiding aan de CISO Office. Een team veiligheidsspecialisten voert hier tweedelijns werkzaamheden uit, gericht op de digitale weerbaarheid van Enexis. De CISO rapporteert hierover aan de CFO, die de portefeuillehouder security binnen de raad van bestuur is. De eerstelijns securitywerkzaamheden worden uitgevoerd binnen de organisatieonderdelen en bedrijfsvoeringsketens, onder eindverantwoordelijkheid van de business owners en directeuren. Zij krijgen hierbij ondersteuning van securityspecialisten. (MDR-P-65c)
Doelstellingen en rapportages
De effectiviteit van ons informatiebeveiligingsbeleid wordt gemeten aan de hand van een set prestatie-indicatoren. Deze indicatoren richten zich primair op risicobeheersing en meten in welke mate beheersmaatregelen zijn geïmplementeerd en voldoen aan ons beleid en relevante wet- en regelgeving, zoals de Wbni. Voor 2024 gold als doelstelling de 100%-implementatie van een vastgesteld aantal door de business owners geprioriteerde veiligheidsmaatregelen. Deze doelstelling is bereikt. (MDR-A-68a)
We hanteren een risico-gebaseerde aanpak waarbij we, uitgaande van de criticality van processen en het actuele dreigingsbeeld, de risico’s voor onze kritieke processen beoordelen en prioriteren. Op basis van deze beoordeling nemen we gerichte en passende maatregelen om deze risico’s effectief te mitigeren.
Naast deze metingen voeren we interne audits uit. De resultaten hiervan worden gedeeld met de stuurgroep security en relevante risicocommissies. Door duidelijke doelstellingen en regelmatige rapportages blijven we in control over onze informatiebeveiliging. Dit stelt ons in staat om tijdig bij te sturen waar nodig, waardoor we niet alleen voldoen aan wettelijke eisen, maar ook het vertrouwen van klanten, partners en de maatschappij in de veiligheid en betrouwbaarheid van onze energiediensten behouden. (MDR-T-80a, b, c)
Privacy
De bescherming van persoonsgegevens van klanten, medewerkers en andere betrokkenen heeft voortdurend onze aandacht. Het streven bij privacy is om steeds te groeien naar een hoger volwassenheidsniveau. Daarbij werken we volgens een gedragen risicogebaseerde aanpak. Alle processen ondergaan een Data Protection Impact Assessment (DPIA). Hiermee brengen we de privacyrisico’s van onze gegevensverwerkingen in kaart. Dat houdt onder meer in dat processen en systemen waarin we gevoelige of grote hoeveelheden persoonsgegevens verwerken, de hoogste prioriteit hebben. Die beoordelen we en zo nodig nemen we extra beveiligingsmaatregelen. Daarna worden de overige processen beheerd en gemonitord.
Governance en privacy
We zijn verantwoordelijk voor de bescherming van systemen tegen hackers en informatiebeveiligingsincidenten en voor het beheer van persoonsgegevens van klanten, medewerkers, en leveranciers. Een team van privacyspecialisten draagt hieraan bij. Privacy officers en contactpersonen zijn actief in specifieke domeinen en de afdeling Corporate Affairs heeft een bedrijfsjurist privacy en een functionaris gegevensbescherming (toezichthouder op naleving van de Algemene verordening gegevensbescherming (AVG)). Deze specialisten behandelen complexe privacyvraagstukken, datalekken, beleidsvorming en bewustwordingsactiviteiten. Ook adviseren ze de business, die verantwoordelijk is voor de uitvoering. De raad van bestuur is eindverantwoordelijk.
Vanuit het algemene behoorlijkheidsbeginsel, en vooral het integriteits- en vertrouwelijkheidsbeginsel (artikel 5 AVG), is het essentieel dat we passende technische en organisatorische maatregelen nemen om persoonsgegevens te beveiligen. Hiervoor zijn diverse afdelingen ingericht en is centraal een informatiebeveiligingsbeleid vastgesteld (zie paragraaf 'Integraal normenkader' onder 'Dataveiligheid'). (MDR-P-65)
De verantwoordelijkheden voor de uitvoering van het dataveiligheid beleid staan beschreven onder de paragraaf 'Integraal normenkader' onder 'dataveiligheid'). Recent hebben we onze privacy-organisatie aangepast, waarbij de rol van de privacy officer in de reguliere organisatorische structuur is geplaatst met als doel betere zichtbaarheid in de organisatie en eerdere betrokkenheid bij privacyvraagstukken.
Aanpak rondom risicogebaseerd werken
Er zijn steeds meer datagedreven initiatieven in de energietransitie. Denk aan het gebruik van slimme meters, data-uitwisseling bij energiehubs en het gebruik van data om windmolens en zonnepanelen efficiënter te maken. Deze data bevat ook persoonsgegevens. Dit vraagt om samenwerkingsverbanden waarbij op steeds grotere schaal data wordt uitgewisseld en de nieuwe Energiewet verplicht om op grotere schaal persoonsgegevens van klanten te verwerken. Het maatschappelijke belang van de energietransitie en de snelheid waarmee ontwikkelingen plaatsvinden, vraagt om een doelmatige en risicogebaseerde privacy-organisatie. Belangrijke uitgangspunten daarbij zijn – waar mogelijk – integratie van privacy in processen en beheersmaatregelen, prioritering op basis van hoog-risicoprocessen en een ingebed risicoacceptatieproces. Daarbij is ook gedragenheid vanuit de diverse domeinen noodzakelijk.
We hebben voor 2024-2025 een plan van aanpak opgesteld om te komen tot een gedragen risicogebaseerde privacy-organisatie. We werken aan:
identificatie van de privacy-risico’s binnen processen en applicaties;
monitoring van relevante ontwikkelingen in de sector en potentiële dreigingen;
een Enexis Normenkader Privacy, met daarin de vertaling van wettelijke verplichtingen naar privacy-beheersmaatregelen en vervolgens het vaststellen van de meest materiële privacy-beheersmaatregelen;
bepaling van de risicobereidheid van de raad van bestuur wat betreft privacy en het inrichten van een proces voor risico-acceptatie.
Het Privacy Normenkader gebruiken we ook om de naleving te monitoren. Hiermee geven we invulling aan de verantwoordingsplicht op grond van artikel 5(2) AVG. Bij het opstellen van het normenkader hebben we het Privacy Control Framework van NOREA en ons integraal normenkader voor informatiebeveiliging als referentie gebruikt. Waar mogelijk sluiten we aan op bestaande processen en controles. Het normenkader voor privacy bestaat uit 81 beheersmaatregelen. Daarvan krijgen er 18 voorrang bij de invoering en monitoring. Deze selectie is tot stand gekomen op basis van geïdentificeerde risico’s, de organisatiebehoefte, impact op de organisatie wat betreft implementatie en de focus van toezichthouders. De andere maatregelen pakken we vanaf 2026 op. (MDR-A-68)
Beleid en andere acties om privacy te waarborgen
In ons privacybeleid schetsen we het kader voor inrichting, implementatie, uitvoering, beheer, monitoring en continue verbetering van privacy.
We hebben privacydoelstellingen opgesteld, waaronder het voldoen aan transparantieverplichtingen. In dat kader hebben we privacyverklaringen voor medewerkers en externen. Voor de overige doelstellingen zijn procesbeschrijvingen gemaakt, zoals een proces rondom het tijdig oppakken van incidenten en het opstellen van een (D)PIA.
We integreren privacy zoveel mogelijk vanaf het begin in de ontwikkeling van producten en diensten (Privacy by Design). (MDR-P-65a)
In een geautomatiseerd systeem registreren we de verwerkingen en datalekken. Voor de gezamenlijke systemen en processen van netbeheerders, houden we centraal incidentmeldingen bij.
Conform artikel 33, lid 1 van de AVG melden we datalekken aan de Autoriteit Persoonsgegevens.
We werken aan een privacy-roadmap waarin we korte-, middellange- en langetermijnactiviteiten opnemen en monitoren op basis van onder andere de hoog-risicoprocessen en -applicaties, het dreigingsbeeld, de materiele privacy- beheersmaatregelen en de domeinspecifieke onderwerpen.
|
Aantal incidentmeldingen datalekken |
2024 |
2023 |
|
Incidentmeldingen in datalekregister Enexis |
47 |
54 |
|
Waarvan gemeld aan de toezichthouder (Autoriteit Persoonsgegevens) |
2 |
6 |
|
Incidentmeldingen m.b.t. tot gedeelde systemen en processen van de netbeheerders |
3 |
5 |
Gedragscode Slim Netbeheer
Enexis houdt zich aan de Gedragscode Slim Netbeheer van Netbeheer Nederland. In deze code – die goedgekeurd is door de Autoriteit Persoonsgegevens – staat dat we bij het verzamelen en gebruiken van gegevens rekening moeten houden met de privacy van consumenten. Ook moeten we consumenten duidelijk informeren over welke gegevens we verzamelen en waarom. Het toezichthoudende orgaan op deze gedragscode is in juli 2023 door de Autoriteit Persoonsgegevens geaccrediteerd. Hiermee is de code als officiële AVG-gedragscode van kracht geworden. In totaal hebben de gezamenlijke netbeheerders 12 use cases in 2024 behandeld en toepasbaar verklaard. Een use case beschrijft wat de situatie is waarvoor data uit de slimme meter nodig is en hoe de data wordt gebruikt. Onafhankelijke privacy experts toetsen of de use case voldoet aan de AVG wetgeving. Dit doen ze door te toetsen op deze drie zaken: (MDR-M-77)
Noodzakelijkheid: is de data echt nodig voor het netbeheer?
Subsidiariteit: kan het ook opgelost worden zonder gebruik van de data uit de slimme meter?
Proportionaliteit: wordt alleen die data verzameld en verwerkt die ook echt nodig is?
Pas na goedkeuring van de use case mogen netbeheerders de data gebruiken.