De energiedata van twee miljoen Nederlandse huishouders zijn door een medewerker van een energiemaatschappij gestolen uit een centraal register.

Dat maken brancheorganisaties Netbeheer Nederland en Energie Nederland dinsdag bekend. Het is onduidelijk bij welke leverancier de dief werkte, maar inmiddels zou de medewerker niet meer bij het bedrijf actief zijn.

De getroffen database wordt normaal gesproken gebruikt om gegevens van huishoudens uit te wisselen als zij bijvoorbeeld van energieleverancier overstappen. Het is onduidelijk hoe het mogelijk was om hier op zeer grote schaal gegevens uit op te vragen.

Onder de gestolen data bevinden zich onder meer het energieverbruik en de einddatum van de contracten, gekoppeld aan namen en adressen. Telefoonnummers, e-mailadressen en wachtwoorden zitten niet in de database, zegt woordvoerder Martijn Boelhouwer van Netbeheer Nederland tegen NU.nl.

Alle Nederlandse huishoudens met een gas- of energieaansluiting zijn in de database vertegenwoordigd, maar zij zijn niet allemaal door het lek getroffen.

Waarschuwing

Netbeheer Nederland heeft melding van het lek gegaan bij de Autoriteit Persoonsgegevens (AP). "We hadden al een tijdje zorgen over de beveiliging van deze gegevens", zegt woordvoerder Merel Eilander van de toezichthouder.

De AP heeft daarom eerder ook al een waarschuwing gestuurd aan de netbeheerders, en hen gesommeerd om de database beter te beveiligen. Pas na de waarschuwing is de diefstal aan het licht gekomen, maar het is onduidelijk of ook de diefstal zelf pas plaatsvond nadat de AP zijn zorgen had bekendgemaakt.

Als organisaties nalatig zijn in het beschermen van persoonsgegevens kan de toezichthouder na onderzoek een boete opleggen. Volgens Eilander is het nog te vroeg om daarover te spreken en wordt het lek eerst nog uitgebreid onderzocht.

Reclame

De gestolen gegevens zouden kunnen worden misbruikt om huishoudens te benaderen voor een nieuw energiecontract, zegt Boelhouwer, maar volgens hem lijken de gegevens verder moeilijk te kunnen worden misbruikt. Daarom wordt ook nog overwogen of het nodig is om gedupeerde klanten persoonlijk op de hoogte te stellen van het lek.

Netbeheer Nederland zegt in overleg met de Autoriteit Persoonsgegevens te zullen kijken hoe een toekomstige diefstal kan worden voorkomen. De betrokken energieleverancier zou inmiddels al niet meer bij data kunnen "waar ze geen recht toe heeft". Het is onduidelijk of de gestolen gegevens zijn misbruikt.

Mogelijk gaat Netbeheer Nederland een kort geding aanspannen om vernietiging van de data te eisen. Het is echter ook goed mogelijk dat de betrokken energieleverancier zelf zo'n zaak start, zegt Boelhouwer.