Door Geert de Graaf | Januari 2026
TL;DR
Enexis stuurt me twee brieven over een "communicatiestoring" in mijn slimme meter. Ze waarschuwen voor een "beveiligingsrisico" waarbij mijn "privacy niet meer zeker" is. Wanneer ik doorvraag, antwoordt de klantenservice dat er "geen sprake is van inbreuk op vertrouwelijkheid of integriteit." Wacht even... wat?
De brief die alles begon
Het is november 2025. Ik ontvang een brief van Enexis Netbeheer. Mijn slimme meter heeft een "communicatiestoring". Tot zover geen paniek - techniek faalt soms. Maar dan lees ik de lijst met gevolgen:
- Geen maandelijkse overzichten meer van de energieleverancier
- Energie-app of verbruiksmanager werkt niet meer
- Handmatig meterstanden doorgeven
- Minder precieze jaarafrekening
- Problemen met tijdsinstelling bij dubbeltarief of dynamisch contract
- "Er is een beveiligingsrisico. Uw privacy is dan niet meer zeker."
Die laatste bullet point. Die trok mijn aandacht.
Een beveiligingsrisico? Bij een meter die geen verbinding heeft? Dat klinkt... contra-intuïtief.
Twee weken later komt brief nummer twee. Dezelfde boodschap, nu met een dreigement erbij:
"Als we geen toegang krijgen, kunnen de eerdergenoemde problemen ontstaan. Houd er rekening mee dat eventuele schade of kosten dan uw eigen verantwoordelijkheid zijn."
Tijd om door te vragen.
Mijn reactie: 5 kritische punten
In plaats van braaf een afspraak te maken, besloot ik eerst om opheldering te vragen. Mijn brief bevatte de volgende punten:
1. "Stroom en gas"? Ik heb geen gas.
De brief stelt dat Enexis "stroom en gas" naar mijn huis vervoert. Dat klopt niet:
- Ik heb uitsluitend een elektriciteitsaansluiting
- Ik heb geen gasaansluiting
- Sterker nog: ik lever via mijn zonnepanelen elektriciteit terug aan het net
Een detail? Zeker. Maar illustratief voor de copy-paste aanpak.
2. Welk beveiligingsrisico precies?
Hier stelde ik de kernvragen:
- Welk concreet privacy- of veiligheidsrisico ontstaat bij een meter zonder verbinding?
- Welke gegevens of functies zijn kwetsbaar?
- Waarom is privacy minder zeker bij een offline meter, terwijl een meter met verbinding juist aan digitale risico's kan worden blootgesteld?
- Welke risicoanalyse ligt aan deze bewering ten grondslag?
En: is dit gemeld bij de Autoriteit Persoonsgegevens? Als er echt een privacyrisico is, geldt er immers een meldplicht.
3. De klok loopt achter
Via mijn P1-poort had ik vastgesteld dat de interne klok van de meter ongeveer 15 seconden afwijkt. Is dat binnen de norm?
4. Hoe voorkomen jullie dit in de toekomst?
Welke structurele maatregelen neemt Enexis om dit type storing te voorkomen?
5. Ik heb geen vrije dagen meer
Ik vroeg naar avond- of weekendopties voor een eventuele afspraak.
Het antwoord van Enexis
De klantenservice reageerde. Laten we de antwoorden eens langslopen:
Over de standaardtekst: "De introductietekst is een standaardtekst; wij benoemen geen persoonlijke situaties omdat de meeste klanten gas én elektriciteit gebruiken."
Oké, begrijpelijk. Efficiency boven nauwkeurigheid.
Over het privacyrisico: "Het genoemde privacy risico ontstaat doordat de meter niet bereikbaar is en geen software-updates ontvangt. Hierdoor kan deze kwetsbaar worden voor cyberdreigingen. Er is echter geen sprake van inbreuk op vertrouwelijkheid of integriteit."
Wacht. Lees dat nog eens.
"Privacy niet meer zeker" + "geen inbreuk op vertrouwelijkheid" = ???
Over de meldplicht: "Volgens EDPB-richtlijnen is er geen hoog risico en dus geen meldingsplicht."
Dus... geen hoog risico. Maar wel een "beveiligingsrisico" waarschuwen in de brief?
Over de tijdsafwijking: "Een afwijking van 15 seconden valt binnen de toegestane marge van 60 seconden."
Prima, helder antwoord.
Over preventie: "Communicatiestoringen proberen wij altijd eerst op afstand te verhelpen; lukt dat niet, dan komen wij langs."
Dit beschrijft hoe storingen worden opgelost, niet hoe ze worden voorkomen. Vraag niet beantwoord.
Over avond/weekend: "Het plannen van afspraken in de avond of het weekend is niet mogelijk."
Jammer. Werkende mensen bestaan niet, kennelijk.
De tegenstrijdigheid ontleed
Laat me de twee kernuitspraken naast elkaar zetten:
| Bron | Uitspraak |
|---|---|
| Brief aan klant | "Privacy is niet meer zeker" |
| Antwoord klantenservice | "Geen inbreuk op vertrouwelijkheid of integriteit" |
Dit kan niet allebei waar zijn.
Óf de privacy is in gevaar - en dan is er wél sprake van een potentiële inbreuk op vertrouwelijkheid. Óf er is geen inbreuk - en dan is de formulering in de brief misleidend.
Het technische argument omgedraaid
Enexis stelt dat een offline meter kwetsbaar wordt voor "cyberdreigingen" omdat deze geen updates ontvangt. Dit argument verdient nuancering:
1. Kleinere attack surface
Een apparaat zonder netwerkverbinding kan niet op afstand worden aangevallen. Je kunt niet hacken wat je niet kunt bereiken.
2. Updates zijn primair relevant voor verbonden apparaten
Security patches beschermen tegen remote exploits - aanvallen via het netwerk. Bij een offline meter is deze aanvalsvector per definitie afwezig.
3. Fysieke toegang is altijd nodig
Een aanvaller zou fysiek bij de meter moeten komen, ongeacht de softwareversie. En als iemand fysiek toegang heeft tot je meterkast, heb je grotere problemen dan een gemiste firmware update.
Het dreigingsmodel dat een niet-verbonden meter gevaarlijker maakt dan een verbonden meter is, technisch gezien, twijfelachtig.
Niet-beantwoorde vragen
Twee van mijn vragen bleven onbeantwoord:
-
Structurele preventieve maatregelen - Het antwoord beschrijft alleen hoe storingen worden opgelost, niet hoe ze worden voorkomen.
-
De onderliggende risicoanalyse - Ik vroeg expliciet naar de analyse achter de beveiligingsclaim. Deze werd niet verstrekt.
Technische achtergrond
Wat is een P1-telegram?
De slimme meter heeft een P1-poort waarmee je als consument je eigen verbruiksdata kunt uitlezen. Via deze poort ontvang je periodiek een "telegram" met actuele meterstanden, vermogen, en andere gegevens - inclusief de interne tijd van de meter.
Hoe werkt de communicatie?
Nederlandse slimme meters communiceren doorgaans via GPRS (mobiel netwerk) met de centrale systemen van de netbeheerder. Deze verbinding wordt gebruikt voor:
- Automatisch doorgeven van meterstanden
- Ontvangen van software-updates
- Tariefschakelingen (dag/nacht)
- Op afstand uitlezen en configureren
Juridische context
EDPB-richtlijnen
Enexis verwijst naar EDPB-richtlijnen (European Data Protection Board) om te onderbouwen waarom geen melding bij de Autoriteit Persoonsgegevens nodig is. De redenering: bij afwezigheid van "hoog risico" vervalt de meldplicht.
De paradox
Als Enexis zelf concludeert dat er geen hoog risico is, waarom dan in de brief aan consumenten spreken van een "beveiligingsrisico" waarbij "privacy niet meer zeker" is?
Dit lijkt op angstcommunicatie: sterke bewoordingen om actie te stimuleren, zonder dat de feitelijke risico's dit rechtvaardigen.
Lessen voor andere consumenten
1. Stel kritische vragen
Je hebt recht op duidelijke, onderbouwde informatie. Accepteer geen vage claims over "beveiligingsrisico's" zonder concrete onderbouwing.
2. Check de feiten
Een "beveiligingsrisico" klinkt alarmerend, maar vraag door naar de concrete risico's. Soms is de bark erger dan de bite.
3. Ken je rechten
Je kunt de netbeheerder vragen om de risicoanalyse achter hun claims.
4. Documenteer alles
Bewaar correspondentie voor eventuele vervolgstappen.
5. Lees je P1-poort uit
Met een P1-kabel en wat software kun je zelf je meterdata bekijken en afwijkingen constateren.
Tijdlijn
| Datum | Gebeurtenis |
|---|---|
| 19 november 2025 | Eerste brief van Enexis over communicatiestoring |
| 3 december 2025 | Tweede brief (herinnering) met aanvullende waarschuwing |
| Begin december 2025 | Mijn reactiebrief met 5 kritische vragen |
| Half december 2025 | Antwoord klantenservice Enexis |
Conclusie
Enexis communiceert intern tegenstrijdig over het beveiligingsrisico. De brief wekt angst, het antwoord relativeert. De stelling dat een offline meter een groter beveiligingsrisico vormt dan een online meter is technisch aanvechtbaar. En structurele vragen over preventie en de onderliggende risicoanalyse blijven onbeantwoord.
Heb je vergelijkbare ervaringen met je netbeheerder? Ik hoor het graag.
Laatst bijgewerkt: Januari 2026