Ondernemingen die op grond van de Corporate Sustainability Reporting Directive (CSRD) een duurzaamheidsrapportage opstellen verzamelen doorgaans veel data. Technologie kan hierbij helpen. Voor ondernemingen is het de uitdaging om enerzijds zo volledig mogelijk te zijn, en anderzijds – met het oog op vertrouwelijkheid en privacy – niet te veel te rapporteren. Hieronder gaan we in op dit spanningsveld (o.a. in relatie tot de AVG en de AI Act) en geven we een aantal praktische tips.
Nieuwe technologieën kunnen bijdragen om de ESG-doelen van een onderneming te bereiken. Technologieën kunnen bijvoorbeeld door middel van Artificial Intelligence (AI) processen sneller en efficiënter maken. Zo kunnen processen die arbeidsintensief zijn, geautomatiseerd worden. Deze nieuwe technologieën genereren over het algemeen veel data (gegevens/persoonsgegevens). Dit is een kans: ‘meten is weten’. Tegelijkertijd komt hier ook veel (nieuwe) wet- en regelgeving bij kijken. Waar dit eerst veelal de Algemene Verordening Gegevensbescherming (AVG) was, is onlangs ook de Data Act, de Data Governance Act én zeer recent de AI Act aangenomen. Op grond van het laatste worden regels gesteld voor het gebruik van AI in de Europese Unie. Dit alles zorgt voor een breed landschap aan wet- en regelgeving waar een onderneming bij het verzamelen van data in het algemeen - en dus óók in het kader van de CSRD – aan moet voldoen.
Nieuwe technologieën kunnen ook impact hebben op de persoon/personen waarover wordt gerapporteerd. Enerzijds omdat nieuwe technologie leidt tot meer data en meer verwerkingen en anderzijds omdat algoritmes, artificial intelligence en andere technologieën (ongewild) kunnen leiden tot biases (bewuste of onbewuste vooringenomenheid) en discriminerende effecten. Vaak is voor de persoon waarover gerapporteerd wordt zelf niet inzichtelijk waarom of wat hieraan ten grondslag ligt. Ondernemingen die, in het kader van de CSRD, als rapportagevereiste ESRS standaard S1 (eigen werknemers) en/of ESRS S2 (werknemers in de waardeketen) hebben, rapporteren onder meer over de verdeling van mannen en vrouwen in de top, hoe zij met minder validen omgaan, maar ook hoe persoonsgegevens van klanten en leveranciers zijn gewaarborgd. De rapportageplicht betekent niet zonder meer dat deze informatie onder de noemer CSRD/ESG gerapporteerd of doorgegeven mag worden (aan derden). Het is van belang om hier in een vroeg stadium – bijvoorbeeld tijdens de implementatiefase van de CSRD – al aandacht aan te besteden, zodat de (persoons)gegevens ook in overeenstemming met overige privacy wet- en regelgeving wordt gerapporteerd. Zie voor een overzicht van de stappen om tot CSRD-compliance te komen, de door BDO ontwikkelde duurzaamheidsreis.
Bij het verwerken van informatie kan én hoeft niet alles gerapporteerd te worden. Zo is in de CSRD opgenomen dat alle data in overeenstemming met geldende privacy wet- en regelgeving gerapporteerd moet worden. Onder de AVG gelden bijvoorbeeld voor bijzondere gegevens (zoals gezondheidsgegevens) aanvullende bepalingen. Onder de hiervoor genoemde ESRS S1-standaard (eigen werknemers), zal de werkgever moeten rapporteren over het discriminatie-, ziekte en/of gezondheidsbeleid van hun werknemers. Voldoen aan de AVG betekent niet dat alles direct gerapporteerd mag worden, óf dat volstaan kan worden met minder óf geen persoonsgegevens. Hierbij blijft gelden: weeg altijd goed af of de persoonsgegevens gerapporteerd/doorgegeven mogen worden. Doe dit niet ‘blind’ met een beroep op de CSRD.
Daarnaast is het voor de rapporterende onderneming van belang om scherp te zijn dat bedrijfsgeheimen niet onbedoeld worden prijsgegeven. Denk ook aan zaken die bijvoorbeeld onder vertrouwelijkheidsbedingen vallen, zoals meldingen onder de klokkenluidersregeling. Voor ondernemingen in de waardeketen (zoals leveranciers) aan wie informatie wordt gevraagd door CSRD-plichtige ondernemingen, geldt dat er geen verplichting om álle opgevraagde informatie zonder meer te verstrekken. Zo bevat de CSRD een bepaling waarin is opgenomen dat informatie met betrekking tot bepaalde door de EU aangemerkte bedrijfsgeheimen niet verschaft hoeft te worden. De onderneming dient elke keer af te wegen wat er onder de CSRD wordt gevraagd en welke informatie daartoe benodigd is, zodat er niet onbedoeld bedrijfsgeheimen, persoonsgegevens of andere vertrouwelijke informatie wordt blootgegeven.
Bij het inzetten van technologieën onder de rapportageverplichtingen komen ook nieuwe risico’s kijken, zoals issues rondom compliance met recente/nieuwe wet- en regelgeving, zoals de AI Act. Stel uzelf op de hoogte van deze nieuwe ontwikkelingen;
Bij het rapporteren onder de CSRD moet telkens worden afgewogen of verstrekking van de beschikbare informatie in lijn is met de AVG en/of andere vertrouwelijkheidsverplichtingen.
Rapporteer niet “blind” en houdt de privacybelangen van onder meer werknemers, klanten en leveranciers in acht en beoordeel wat wel en niet mag worden verstrekt onder de AVG/overige privacywetgeving.
