ESG: Technologie, data en privacy

Ondernemingen die op grond van de Corporate Sustainability Reporting Directive (CSRD) een duurzaamheidsrapportage opstellen verzamelen doorgaans veel data. Technologie kan hierbij helpen. Voor ondernemingen is het de uitdaging om enerzijds zo volledig mogelijk te zijn, en anderzijds – met het oog op vertrouwelijkheid en privacy – niet te veel te rapporteren. Hieronder gaan we in op dit spanningsveld (o.a. in relatie tot de AVG en de AI Act) en geven we een aantal praktische tips.

1 juli 2024

Data ethiek

ESG

Duurzaamheid

Privacy

Nieuwe technologieën en data om ESG-doelen te bereiken

Nieuwe technologieën kunnen bijdragen om de ESG-doelen van een onderneming te bereiken. Technologieën kunnen bijvoorbeeld door middel van Artificial Intelligence (AI) processen sneller en efficiënter maken. Zo kunnen processen die arbeidsintensief zijn, geautomatiseerd worden. Deze nieuwe technologieën genereren over het algemeen veel data (gegevens/persoonsgegevens). Dit is een kans: ‘meten is weten’. Tegelijkertijd komt hier ook veel (nieuwe) wet- en regelgeving bij kijken. Waar dit eerst veelal de Algemene Verordening Gegevensbescherming (AVG) was, is onlangs ook de Data Act, de Data Governance Act én zeer recent de AI Act aangenomen. Op grond van het laatste worden regels gesteld voor het gebruik van AI in de Europese Unie. Dit alles zorgt voor een breed landschap aan wet- en regelgeving waar een onderneming bij het verzamelen van data in het algemeen - en dus óók in het kader van de CSRD – aan moet voldoen.

Privacy en ESG-rapportageverplichtingen

Nieuwe technologieën kunnen ook impact hebben op de persoon/personen waarover wordt gerapporteerd. Enerzijds omdat nieuwe technologie leidt tot meer data en meer verwerkingen en anderzijds omdat algoritmes, artificial intelligence en andere technologieën (ongewild) kunnen leiden tot biases (bewuste of onbewuste vooringenomenheid) en discriminerende effecten. Vaak is voor de persoon waarover gerapporteerd wordt zelf niet inzichtelijk waarom of wat hieraan ten grondslag ligt. Ondernemingen die, in het kader van de CSRD, als rapportagevereiste ESRS standaard S1 (eigen werknemers) en/of ESRS S2 (werknemers in de waardeketen) hebben, rapporteren onder meer over de verdeling van mannen en vrouwen in de top, hoe zij met minder validen omgaan, maar ook hoe persoonsgegevens van klanten en leveranciers zijn gewaarborgd. De rapportageplicht betekent niet zonder meer dat deze informatie onder de noemer CSRD/ESG gerapporteerd of doorgegeven mag worden (aan derden). Het is van belang om hier in een vroeg stadium – bijvoorbeeld tijdens de implementatiefase van de CSRD – al aandacht aan te besteden, zodat de (persoons)gegevens ook in overeenstemming met overige privacy wet- en regelgeving wordt gerapporteerd. Zie voor een overzicht van de stappen om tot CSRD-compliance te komen, de door BDO ontwikkelde duurzaamheidsreis.

AVG en vertrouwelijkheid

Bij het verwerken van informatie kan én hoeft niet alles gerapporteerd te worden. Zo is in de CSRD opgenomen dat alle data in overeenstemming met geldende privacy wet- en regelgeving gerapporteerd moet worden. Onder de AVG gelden bijvoorbeeld voor bijzondere gegevens (zoals gezondheidsgegevens) aanvullende bepalingen. Onder de hiervoor genoemde ESRS S1-standaard (eigen werknemers), zal de werkgever moeten rapporteren over het discriminatie-, ziekte en/of gezondheidsbeleid van hun werknemers. Voldoen aan de AVG betekent niet dat alles direct gerapporteerd mag worden, óf dat volstaan kan worden met minder óf geen persoonsgegevens. Hierbij blijft gelden: weeg altijd goed af of de persoonsgegevens gerapporteerd/doorgegeven mogen worden. Doe dit niet ‘blind’ met een beroep op de CSRD.

Daarnaast is het voor de rapporterende onderneming van belang om scherp te zijn dat bedrijfsgeheimen niet onbedoeld worden prijsgegeven. Denk ook aan zaken die bijvoorbeeld onder vertrouwelijkheidsbedingen vallen, zoals meldingen onder de klokkenluidersregeling. Voor ondernemingen in de waardeketen (zoals leveranciers) aan wie informatie wordt gevraagd door CSRD-plichtige ondernemingen, geldt dat er geen verplichting om álle opgevraagde informatie zonder meer te verstrekken. Zo bevat de CSRD een bepaling waarin is opgenomen dat informatie met betrekking tot bepaalde door de EU aangemerkte bedrijfsgeheimen niet verschaft hoeft te worden. De onderneming dient elke keer af te wegen wat er onder de CSRD wordt gevraagd en welke informatie daartoe benodigd is, zodat er niet onbedoeld bedrijfsgeheimen, persoonsgegevens of andere vertrouwelijke informatie wordt blootgegeven.

3 praktische tips:

Bij het inzetten van technologieën onder de rapportageverplichtingen komen ook nieuwe risico’s kijken, zoals issues rondom compliance met recente/nieuwe wet- en regelgeving, zoals de AI Act. Stel uzelf op de hoogte van deze nieuwe ontwikkelingen;
Bij het rapporteren onder de CSRD moet telkens worden afgewogen of verstrekking van de beschikbare informatie in lijn is met de AVG en/of andere vertrouwelijkheidsverplichtingen.
Rapporteer niet “blind” en houdt de privacybelangen van onder meer werknemers, klanten en leveranciers in acht en beoordeel wat wel en niet mag worden verstrekt onder de AVG/overige privacywetgeving.

Over de auteurs

Marinka van Falier

Senior Jurist BDO Tax & Legal

Gerelateerd nieuws

Vrouwelijke klokkenluiders lopen groter risico op benadeling na melden

24 november 2025

In Ierland blijkt dat vrouwelijke klokkenluiders als gevolg van het melden van misstanden een groter risico lopen op benadeling dan mannen. Dat blijkt uit het Speak Up Report 2025 van Transparency International Ireland. Werknemers die misstanden aankaarten lopen nog altijd een aanzienlijk risico op nadelige gevolgen, maar voor vrouwen is dit duidelijk hoger. Bij Transparency International Nederland maken wij ons zorgen over de maatschappelijke gevolgen van deze trend.

Remedies tegen niet tijdig beslissen

20 november 2025

Met enige regelmaat krijgen wij de vraag wat een burger of een bedrijf kan doen als een bestuursorgaan niet binnen de wettelijke beslistermijn een besluit neemt. Zo kan het voorkomen dat een bestuursorgaan niet tijdig beslist op een vergunningaanvraag voor een bepaald project, zoals de bouw van woningen, een zonnepark of een datacenter. Ook komt het geregeld voor dat een bestuursorgaan niet tijdig beslist op een bezwaar dat tegen een vergunning is gemaakt. Als gevolg van dit alles kan een project aanzienlijke vertraging oplopen.

Omgeving

SER: ‘Stabiele koers en samenwerking essentieel voor toekomst Nederland’

20 november 2025

Stabiel beleid en brede samenwerking zijn onmisbaar om Nederland door de grote transities van deze tijd te loodsen. Dit vormt de kern van de brief van de Sociaal-Economische Raad aan de informateur en het nieuw te vormen kabinet. Ook bij een volgend kabinet staat de SER graag klaar om als bondgenoot van de politiek samen een brede welvaarteconomie op te bouwen die toekomstbestendig is en waar iedereen in Nederland van profiteert.

Weerbaarheid als randvoorwaarde voor Nederlandse samenleving

18 november 2025

Berenschot houdt zich dagelijks bezig met maatschappelijke vraagstukken en is hierover in gesprek met alle betrokken bestuurslagen en maatschappelijke partijen. In zeven verhandelingen geven zij op basis van deze kennis en expertise adviezen mee aan het nieuwe kabinet, om in de komende regeringsperiode écht tot doorbraken te komen. Dit keer: weerbaarheid als noodzakelijke randvoorwaarde voor de continuïteit van de Nederlandse samenleving.

Meer nieuws