top of page

Nye krav til autentisering og digitalt samtykke ved leverandørskifter


Det har vært skrevet mye den siste tiden rundt de nye kravene til «digitalt samtykke» ved bytte av leverandør. Leverandørene er ifølge bransjemedia overhodet ikke klare, og RME truer med overtredelsesgebyr selv om de ikke begynner med tilsyn før sommeren. I påvente av videre avklaringer og utvikling ser vi i SVW på de nye reglene.


I juni 2024 ble det tilføyd nytt femte, sjette, syvende og åttende ledd i § 2-2 i forskrift om kraftomsetninger:


"Kraftleverandøren skal autentisere sluttbrukeren gjennom en sikker påloggingsløsning ved leverandørskifte og anleggsovertagelse.


Kraftleverandøren plikter å innhente et elektronisk dokumenterbart samtykke fra sluttbruker ved leverandørskifte og anleggsovertagelse.


For ikke-digitale kunder skal kraftleverandøren sikre autentisering og samtykke ved manuell rutine.


Reguleringsmyndigheten for energi kan stille nærmere krav til løsninger for autentisering og innhenting av samtykke."


For at endringene ikke skulle komme for brått på leverandørene ble imidlertid ikrafttredelse utsatt til 1. juni 2025.


Forskriften regulerer oppstart og opphør av kraftleveranse, for alle sluttbrukere, både privatkunder og næringskunder. Før endringen var det et krav om å innhente samtykke fra sluttbruker før det ble sendt melding om leveringsstart til Elhub, men det var ikke en forutsetning at kraftleverandøren dokumenterte samtykket gjennom melding.


Alle meldinger om leveringsstart fra kraftleverandører ville således automatisk medføre oppstart, også om de var gitt uten samtykke. Forskriften spesifiserte ikke hvordan samtykket skulle innhentes.


Den alminnelige forståelsen av forskriften var likevel at den medførte et krav om aktivt samtykke, og at den utelukket passivt samtykke. Et aktivt samtykke bygger på en aktiv handling fra kunden selv, eksempelvis at kunden foretar handlingen med å autentisere seg, gi samtykke ved å huke av i en boks, trykke på en bekreftelsesknapp eller lignende.


Den nye forskriften stiller krav til innhenting av et elektronisk dokumenterbart samtykke for å bidra til en sikrere leverandørskifte- og anleggsoverdragelsesprosess. Elektronisk dokumenterbart samtykke innebærer å stille krav til kraftleverandørene om å:


  • autentisere sluttbruker gjennom en sikker påloggingsløsning, såkalt sterk kundeautentisering, samt

  • innhente et elektronisk dokumenterbart samtykke fra sluttbruker.


Kravene gjelder ved alle leverandørskifter og anleggsoverdragelser. I høringsrunden ble det bedt om innspill om muligheten for å utvide kravet til å gjelde ved alle avtalebytter, altså også "internt" hos samme leverandør, men dette ble i denne omgang forkastet.


RME poengterte i høringsrunden at det var utfordrende at sluttbruker ikke måtte autentisere seg og gi et elektronisk dokumenterbart samtykke ved bytte. Dersom en kraftleverandør feilaktig eller bevisst gjennomførte et bytte uten at sluttbruker ønsket dette, ville kraftleverandøren gjennom Elhub urettmessig få tilgang til kundeforholdet og innsyn i måleverdier og kundeopplysninger. I tillegg kunne sluttbruker melde oppstart på andres målepunkt ved utilsiktet å oppgi feil informasjon til kraftleverandøren.


Sluttbrukerne hadde således få eller ingen muligheter til å fange opp et feil bytte, før byttet var gjennomført. Det var også en rekke eksempler på at måleverdier og kundeinformasjon var blitt gitt til utenforstående, og det oppstod da ofte uenighet om hvem som var ansvarlig for å betale kraftleverandøren for levert strøm.


Elektronisk dokumenterbart samtykke stenger effektivt for alle slike feil. I praksis kan ikke kraftleverandør lenger inngå et nytt kundeforhold uten at sluttbruker er blitt autentisert og kraftleverandøren har innhentet et elektronisk samtykke.


Autentisering av sluttbrukere gjennom en sikker påloggingsløsning gir en større etterprøvbarhet og dokumenterbarhet i bytteprosessene. De nye kravene vil også motvirke at kraftleverandører utnytter bytteprosessene for å tilegne seg nye kunder og få innsyn i andre forbrukers måleverdier og kundeopplysninger urettmessig.


Elektronisk dokumenterbart samtykke tydeliggjør hvordan kraftleverandøren innhenter et aktivt samtykke fra sluttbruker før byttet kan tre i kraft. Tydeligere krav til når kraftleverandøren har innhentet samtykke fra sluttbruker gjør det også enklere for alle parter å vite når samtykke blir gitt, styrke sluttbrukernes vern og forenkle myndighetenes tilsyn. Det er også sannsynlig at antall klager for Elklagenemnda vil bli redusert, ettersom en rekke av disse i sin kjerne omhandler hva som kan dokumenteres.


RME fremhevet Altinns samtykkeløsning som et eksempel på en løsning for autentisering og dokumentasjon av elektroniske samtykker, som kan være aktuell for å dekke behovet til elektronisk dokumenterbart samtykke i sluttbrukermarkedet. Løsningen benytter den felles innloggingsmetoden ID-porten, der kunden må autentisere seg gjennom en elektronisk ID (BankID, MinID ol.). Kunden gir deretter sitt samtykke til aktøren i løsningen, og samtykket blir elektronisk dokumentert. Departementet fulgte opp dette med et ønske om at det ble utviklet en felles standardisert løsning.


Videre varslet departementet at det på sikt kan det bli aktuelt å stille krav om at kraftleverandørene legger til rette for en mer digital og automatisk kontroll av at kraftleverandøren har fått forbrukers samtykke. Det kan også blir aktuelt å stille krav om at et slikt samtykke må godkjennes som et steg i prosessen med å gjennomføre et leverandørbytte, en anleggsoverdragelse eller et avtalebytte.


Det er inntatt en egen regel i § 2-2 som sikrer at elektronisk dokumenterbart samtykke ikke blir en barriere for ikke-digitale sluttbrukere. Kraftleverandøren må sikre autentisering ved manuelle rutiner, for eksempel ved at kunder bes å legitimere seg. På dette punktet er det således oppstilt en unntaksregel, men både legitimasjon og samtykke må likevel kunne konverteres til et elektronisk format og legges frem som dokumentasjon.


Forskriften gir for øvrig RME rett til å utarbeide nærmere krav til løsninger for autentisering og innhenting av samtykke. I den forbindelsen forventes Elhub å komme med en eller flere felles løsninger i løpet av 2025. Kraftleverandørene må imidlertid følge kravene i forskriften fra 1. juni 2025. I den forbindelse har RME uttalt følgende:


"Løsninger som innebærer at kraftleverandøren autentiserer sluttbrukeren med en sikker påloggingsløsning, og på et senere tidspunkt i kundereisen krever at det samtykkes til vilkår ved å huke av i en avmerkingsboks, er innenfor forskriftskravet."


Dette vil selvsagt komme på spissen snarlig ettersom Elhub har varslet krav om elektronisk signatur. Elhub publiserte i den forbindelse følgende opplysninger om samtykkekontroll som kommer i fjerde kvartal:


Linken inneholder også kildekoden for Elhubs API.


Leverandørskifter som gjennomføres etter 1. juni 2025 og hvor kravene til digitalt aktivt samtykke ikke er fulgt vil ikke være gyldig ifølge RME. Vi i SVW stiller oss litt spørrende til denne vurderingen, ettersom forskriftens ordlyd ikke synes å ta høyde for privatrettslige konsekvenser av brudd. I tillegg kan kraftleverandøren forvente dagmulkt og overtredelsesgebyr.


Vi anbefaler kraftleverandører som ikke har en forskriftsmessig digital samtykkeordning om å avvente inngåelse av nye kundeforhold og overtagelse av nye anlegg inntil løsningen er på plass. Isolert sett foreligger det etter vår vurdering først et brudd på forskriften dersom det gjennomføres slike leverandørskifter uten aktivt digitalt samtykke.

 

 
 
bottom of page