Bruk av fødselsnummer i kraftmarkedet Bakgrunn og begrunnelse Versjon 1.0 06.11.2014
Innhold 1. Innledning...1 2. Om sluttbrukermarkedet for kraft...1 3. Svakheter ved dagens metoder for identifisering av sluttbruker...1 4. Nye behov for identifisering ved introduksjon av Elhub...2 5. Personopplysninger i kraftmarkedet...3 6. Bruk av fødselsnummer...3 7. Alternativer til fødselsnummer...5 8. Sammendrag...6 Bruk av fødselsnummer i kraftmarkedet Innhold
1. Innledning Ved etablering av Elhub i det norske kraftmarkedet foreslås det innført fødselsnummer for å identifisere sluttbrukerne. Ifølge personopplysningsloven kan fødselsnummer kun brukes når det er saklig behov og når det ikke er mulig å oppnå tilfredsstillende identifikasjon ved bruk av andre metoder, som for eksempel navn, adresse, fødselsdato, medlems- eller kundenummer. Dette notatet redegjør for behovet for bruk av fødselsnummer i kraftmarkedet. 2. Om sluttbrukermarkedet for kraft Sluttbrukermarkedet er todelt i den forstand at sluttbrukeren må forholde seg til kraftleverandøren for selve kraftleveransen, mens han må forholde seg til det lokale nettselskapet når det gjelder nettjenesten. For at en kraftleverandør skal kunne utføre sine tjenester er han avhengig av kontinuerlig informasjonsutveksling med sluttbrukernes nettselskaper. Dette gjelder prosesser for bytte av kraftleverandør, flytting, måledata, generelle kundedata m.m. Elhub vil bli en funksjon mellom kraftleverandører og nettselskaper slik at disse bare får en motpart å forholde seg til i forhold til datautveksling. Skissen nedenfor illustrer dette: 3. Svakheter ved dagens metoder for identifisering av sluttbruker I dagens marked brukes en kombinasjon av navn og fødselsdato for å identifisere sluttbruker. Datateknisk er dette uegnede identifikatorer fordi det ikke er mulig å verifisere som selvstendig informasjon samt at de ikke er unike i den forstand at flere kan ha samme navn og flere har samme fødselsdato. Resultatet er at datakvaliteten blir for dårlig. Navn og fødselsdato skrives feil på mange forskjellige måter og gir ikke "match" mot tilsvarende informasjon hos nettselskapet som er nødvendig for at kraftleverandøren skal få utført sine oppgaver. Uavhengige kraftleverandører rapporterer om 20-30% feil i kundedata og måledata, noe som gjør at de må kjøre egne prosesser via Bruk av fødselsnummer i kraftmarkedet side 1
egne team og IT-funksjoner for å finne frem til riktig informasjon om kunden. Mer enn 50 % av alle søk i NUBIX returneres med "customer not found" selv om søkekriteriene har riktig format. 1 Markedet er i stor grad preget av vertikalt integrerte selskaper hvor både kraftleverandør og nettselskap ligger i det samme konsernet og hvor disse to deler data i samme IKT system. Ca. 60 % av alle sluttbrukere er kunder av sin vertikalintegrerte hjemlige kraftleverandør og har aldri vært kraftkunde hos andre kraftleverandører. Selv om disse kundedataene er konsistente mellom nett- og kraftleverandør er det langt ifra sikkert at de er korrekte. Kundene kan her ligge inne med feil navn, fødselsdato, adresser, avgiftsplikt m.m. Sågar døde, men fremdeles betalende "kunder" er signifikante forekomster. Det er grunn til å anta at datakvaliteten blant denne typen kundedata er lavere i og med at de ikke har vært gjenstand for utveksling med andre kraftleverandører. Dårlig datakvalitet rammer alle aktørene i bransjen, men konsekvensene er forskjellig alt etter hvilken type aktør det er snakk om. Kostnaden for nettselskaper videreføres til kunden og insentivene til endring er mindre så lenge problemet er likt for alle nettselskaper. Den vertikalintegrerte hjemlige kraftleverandør har en komparativ fordel av den dårlige datakvalitet gjennom en større andel kunder hvor data er konsistente. Det er således de uavhengige kraftleverandører som i størst grad rammes av dårlig kvalitet i og med at de på selvstendig grunnlag må bygge opp kundeinformasjonen for alle sine kunder. Med Elhub vil i praksis alle kraftleverandører bli uavhengige i den forstand at de ikke kan hente kundedata fra nettselskapet slik som vertikalintegrerte selskaper gjør i dag. Ved etablering og vedlikehold av kundedata i kraftmarkedet er det derfor naturlig for Elhub å sammenligne seg med uavhengige kraftleverandører når det gjelder datakvalitet. Ved bruk av samme identifikatorer som i dag vil en mest sannsynlig oppleve samme datakvalitet på alle persondata som de uavhengige kraftleverandørene opplever i dag. Hvis vi antar som uavhengige kraftleverandører antyder, at 20 % av alle leverandørbytter og flyttinger ikke kan prosesseres automatisk, utgjør dette ca. 40-50 millioner i årlige kostnader. Dette forutsetter ca. 800.000 leverandørbytter og innflyttinger som i dag, samt at hver prosess som ikke kan håndteres manuelt krever tilsvarende 1 time arbeid for innsamling av informasjon, venting, prosessering og håndtering av eventuell leveringsplikt. Datakvaliteten kan heves gjennom skippertak, dvs. datavask, og dette gjøres også av enkelte selskaper fra tid til annen og ved overganger til nye IT systemer. Men selv om datakvaliteten vil kunne heves på denne måten, og spesielt ved innføring av Elhub, vil den synke over tid. Dette skyldes endringer på kundedataene som følge av leverandørbytter, flyttinger, nye kunder o.l. Og uten bedre identifikatorer vil Elhub måtte ta informasjonen for gitt og "arve" de samme kvalitetsproblemene. 4. Nye behov for identifisering ved introduksjon av Elhub Elhub skal håndtere oppdatering og distribusjon av måledata fra 2,8 millioner målere hver dag, samt leverandørbytter og flyttinger i gjennomsnitt hvert 30. sekund. Det sier det seg selv at kvaliteten på informasjonen som inngår må være høy. Presis identifisering av sluttbruker er da avgjørende. Elhub skal ha mulighet for sluttbrukeren til å administrere egen informasjon og hvilke aktører som har tilgang til sluttbrukerens data. Ved introduksjon av timeverdier og sentral datalagring i Elhub er 1 Bare kraftleverandører har tilgang til NUBIX. Noen kraftleverandører gjennomfører automatiserte søk slik at samme feil kan forekomme flere ganger før søkekriteriene endres. Bruk av fødselsnummer i kraftmarkedet side 2
det behov for å styrke personvernet rundt kunde- og måledata. Dette fordrer imidlertid sikker identifisering av sluttbruker for aksess til egne data. 5. Personopplysninger i kraftmarkedet Elhub vil inneholde personopplysninger som skal benyttes i en rekke sammenhenger og prosesser: 1. Elhub skal håndtere persondata ved leverandørbytter, flytting og utveksling av måledata. 2. Nettselskaper og kraftleverandører vil knytte sine kontakt- og faktureringsdata til persondata inklusiv måleverdier. 3. Sluttbrukeren har krav på innsyn i egne måleverdier og det som kan knyttet til ens egen person. Personopplysningsloven er etablert for å sikre grunnleggende personvernhensyn, herunder behovet for personlig integritet, privatlivets fred og tilstrekkelig kvalitet på personopplysninger. Dette innebærer først og fremst at bruk av personopplysninger og innsyn i disse skal begrenses så langt som mulig. En annen side ved denne definisjonen er at registre som skal ivareta personopplysninger skal gjøre dette på en måte som sikrer integritet og kvalitet av slike data, dvs. oppfyller kravet om tilstrekkelig kvalitet. Dette innebærer også å minimere sannsynligheten for feil identifisering og eksponering av data. Det synes således åpenbart at Elhub må oppfylle kravet om tilstrekkelig kvalitet på personopplysninger og har en forpliktelse til å minimere sannsynligheten for feil identifisering og eksponering av personopplysninger. 6. Bruk av fødselsnummer Fødselsnummer ble innført i 1964 og administreres av Skatteetaten. Fødselsnummer er kombinasjonen av fødselsdato og personnummer; i alt 11 siffer. Nummeret skiller enkeltpersoner fra hverandre, men kan ikke brukes til å autentisere at en person er den han påstår han er. De to siste siffer i fødselsnummeret er kontrollsiffer og er beregnet ut i fra de andre sifrene. Dette gjør det mulig å validere korrektheten av fødselsnummeret ut i fra nummeret selv, f.eks. direkte ved inntasting (tilsvarende som for KID-numre). Elhubs design legger stor vekt på innebygd personvern og god datakvalitet, men det vil også innebære større grad av sikkerhet i løsningsarkitekturen. I datamodelleringen er det Målepunkt-ID som er det sentrale dataelementet. Dette er en unik id som tilknyttes alle målepunkter. Målerverdier og persondata knyttes opp til Målepunkt ID, og en person kan knyttes til flere målepunkter. Videre er Målepunkt-ID og persondata isolert til kun ett sted i datamodellen med enkle relasjoner til resten av datamodellen. Figuren nedenfor illustrerer dette: Bruk av fødselsnummer i kraftmarkedet side 3
En slik modellering muliggjør følgende: Måleverdier kan innsamles, lagres og distribueres uten å være tilknyttet persondata. Dette reduserer sårbarheten ved overføring av måledata mellom aktørene i kraftmarkedet. Persondata kan isoleres i datamodellen - og til kun ett sted Kobling til persondata kan håndteres ett sted og med det sikkerhetsnivå man ønsker (kryptering, egen database, egen lokasjon, etc.) Enkelt å samle alle relasjoner/tilganger for sluttbrukeren Men denne modelleringen betinger at sluttbruker kan identifiseres med stor presisjon for: Sluttbrukerens administrasjon og tilgangskontroll til egne data; herunder måleverdier Sikre kvalitet på personopplysninger og andre grunnlagsdata (avgiftsplikt, nettområde, m.m.) Korrekte forretningsprosesser som leverandørbytter og flytting (ca. 1 million per år) For å kunne la kraftleverandøren følge kunden når kunden flytter, slik at han ikke havner på leveranseplikt (monopolpris) Figuren nedenfor illustrerer måleverdikjeden i forhold til involverte aktører: Bruk av fødselsnummer i kraftmarkedet side 4
Bruk av fødselsnummer gir ikke bare sikker identifikasjon av sluttbruker, men det gir også nye muligheter i forhold til å vedlikeholde god kvalitet på dataene. Ved å benytte elektroniske tjenester fra Folkeregisteret kan man kontinuerlig oppdatere personopplysninger med endringer fra Folkeregisteret når det gjelder navn, fødselsdato, adresser og evt. dødsdato. Sluttbrukere uten fødselsnummer vil måtte identifiseres basert på kjente begreper så som passnummer. Da disse kan endres over tid, vil risikoen for feil som beskrevet over uansett væ re tilstede for slike personer men dersom krav til lagring av kopi av pass etableres, vil det reduseres vesentlig ved at identitetsbegreper i større grad tastes inn korrekt: Navn/etternavn, nasjonalitet og fødselsdato. Uansett må slike sluttbrukere merkes spesielt for å sikre korrekt og entydig identifikasjon. 7. Alternativer til fødselsnummer Elhub vil uansett ivareta en egen intern referanse til samtlige sluttbrukere, uavhengig av hvorledes disse er identifisert. En slik referanse er således en teknisk adressering som peker til en unik person og dennes personopplysninger. Opprettelse, oppdatering og bruk av denne referansen vil måtte gjøres på basis av en forutgående korrekt identifikasjon av sluttbrukeren på en måte som sikrer mot feil identifisering, så vel som feilaktige nyopprettelser av referanser. Fødselsnummer utgjør et kjent og entydig begrep i så måte. Alternativer som navn og fødselsdato, som benyttes i markedet i dag, er ikke egnet til maskinell behandling og verifikasjon grunnet risiko for manuelle feil ved inntasting av slike data. Bruk av fødselsnummer i kraftmarkedet side 5
For å sikre konsistens i Elhub uten bruk av fødselsnummer må i så fall Elhubs interne referanse til sluttbrukeren eksponeres ovenfor aktørene. Men en vil da stå ovenfor samme problem som i dagens marked i forhold til å knytte en slik referanse til riktig person og at personopplysningene er korrekte. I de tilfeller der enten nåværende eller tidligere markedsaktør har tastet inn feil informasjon, og det således ikke er mulig å få tilslag på en eksisterende sluttbruker, vil denne måtte registreres på nytt. Konsekvensen er at Elhub vil operere med flere instanser av samme unike sluttbruker, og ingen koblinger vil eksistere mellom disse. Funksjoner i Elhub så som tildeling av rettigheter til samtlige av sluttbrukerens måleverdier, uthenting av rettigheter for andre å hente ut måleverdier og liknende, vil således ikke være mulig å gjennomføre på korrekt måte. Dette fordi én og samme person vil være representert av to eller flere uavhengige instanser, og hver av disse instansene vil være unike knytninger videre til både rettigheter og personopplysninger så som måleverdier. Uten bruk av fødselsnummer vil det være behov for å kunne søke relativt vidt for å kunne finne korrekt person, noe som medfører en vesentlig større eksponering av personopplysninger, med tilhørende mulighet for misbruk av disse. Denne risikoen elimineres ved bruk av fødselsnummer som unikt "identifikasjonsbegrep" med tilhørende kontroll på korrekthet. Elhub vil dermed være i stand til å unikt identifisere sluttbrukere uavhengig av markedsaktøren. Aktører vil da kun oppgi fødselsnummer, og få et entydig svar tilbake: Enten Ja kunden eksisterer, eller Nei kunden eksisterer ikke. Ingen av tilfellene eksponerer noe personopplysninger, og aktøren er tvunget til å starte en reel prosess for å kunne oppdatere eller opprette sluttbrukeren med tilhørende forpliktelser ovenfor sluttbrukeren. En entydig identifikasjon benyttet i kraftmarkedet og ovenfor Elhub må videre være både kjent av sluttbrukeren, og være mulig å fremskaffe og bruke i forbindelse med elektroniske tjenester. Dette betyr at sluttbrukeren må være i stand til oppgi en slik identifikasjon ovenfor de aktørene i kraftmarkedet som denne sluttbrukeren skal inngå kontrakter med. I tillegg må de t være mulig å utlede denne identifikasjonen fra eksisterende løsninger for elektronisk autentisering, som MinID evt. BankID og BuyPass. Førstnevnte forhold innebærer at et identitetsbegrep må være praktisk mulig for sluttbruker å forholde seg til. Uten bruk av fødselsnummer vil tilgjengeligheten for sluttbruker til å administrere egne data (tilgangskontroll) begrenses. Man må da bruke intern referanse fra Elhub som eventuelt er gjengitt på faktura. 8. Sammendrag Dersom ikke fødselsnummer skal benyttes i kraftmarkedet, må dette håndteres som i dag ved at den enkelte markedsaktøren søker å identifisere personer etter beste evne og basert på tilgjengelig informasjon. Risikoen ved bruk av en slik alternativ løsning til fødselsnummer er at en person vil kunne bli knyttet til en feil identitet, at datakvaliteten generelt vil bli vesentlig redusert, og at kvaliteten på personopplysningene i registeret ikke lenger vil være tilstrekkelig for registerets, markedets eller sluttbrukerens formål. Enhver feil må korrigeres manuelt med tilhørende kostnader. Det er således grunnlag for å konkludere med at fødselsnummer er en nødvendighet ved innføring av timeverdier og Elhub i markedet av følgende grunner: 1. Sikre entydig identifikasjon av sluttbruker 2. Sikre tilstrekkelig kvalitet på personopplysninger (ref. personopplysningsloven) 3. Sikre sluttbrukers adgang til, og tilgangskontroll for egne data Bruk av fødselsnummer i kraftmarkedet side 6
4. IKT sikkerhet rundt persondata i forhold til transaksjoner og lagring 5. Eliminere uønsket og/eller uautorisert eksponering av personopplysninger i markedet 6. Sikre kontroll på juridiske forhold og økonomiske forpliktelser i markedet 7. Redusere administrasjonskostnader Bruk av fødselsnummer i kraftmarkedet side 7