ESG: Technologie, data en privacy

Ondernemingen die op grond van de Corporate Sustainability Reporting Directive (CSRD) een duurzaamheidsrapportage opstellen verzamelen doorgaans veel data. Technologie kan hierbij helpen. Voor ondernemingen is het de uitdaging om enerzijds zo volledig mogelijk te zijn, en anderzijds – met het oog op vertrouwelijkheid en privacy – niet te veel te rapporteren. Hieronder gaan we in op dit spanningsveld (o.a. in relatie tot de AVG en de AI Act) en geven we een aantal praktische tips.

1 juli 2024

Data ethiek

ESG

Duurzaamheid

Privacy

Nieuwe technologieën en data om ESG-doelen te bereiken

Nieuwe technologieën kunnen bijdragen om de ESG-doelen van een onderneming te bereiken. Technologieën kunnen bijvoorbeeld door middel van Artificial Intelligence (AI) processen sneller en efficiënter maken. Zo kunnen processen die arbeidsintensief zijn, geautomatiseerd worden. Deze nieuwe technologieën genereren over het algemeen veel data (gegevens/persoonsgegevens). Dit is een kans: ‘meten is weten’. Tegelijkertijd komt hier ook veel (nieuwe) wet- en regelgeving bij kijken. Waar dit eerst veelal de Algemene Verordening Gegevensbescherming (AVG) was, is onlangs ook de Data Act, de Data Governance Act én zeer recent de AI Act aangenomen. Op grond van het laatste worden regels gesteld voor het gebruik van AI in de Europese Unie. Dit alles zorgt voor een breed landschap aan wet- en regelgeving waar een onderneming bij het verzamelen van data in het algemeen - en dus óók in het kader van de CSRD – aan moet voldoen.

Privacy en ESG-rapportageverplichtingen

Nieuwe technologieën kunnen ook impact hebben op de persoon/personen waarover wordt gerapporteerd. Enerzijds omdat nieuwe technologie leidt tot meer data en meer verwerkingen en anderzijds omdat algoritmes, artificial intelligence en andere technologieën (ongewild) kunnen leiden tot biases (bewuste of onbewuste vooringenomenheid) en discriminerende effecten. Vaak is voor de persoon waarover gerapporteerd wordt zelf niet inzichtelijk waarom of wat hieraan ten grondslag ligt. Ondernemingen die, in het kader van de CSRD, als rapportagevereiste ESRS standaard S1 (eigen werknemers) en/of ESRS S2 (werknemers in de waardeketen) hebben, rapporteren onder meer over de verdeling van mannen en vrouwen in de top, hoe zij met minder validen omgaan, maar ook hoe persoonsgegevens van klanten en leveranciers zijn gewaarborgd. De rapportageplicht betekent niet zonder meer dat deze informatie onder de noemer CSRD/ESG gerapporteerd of doorgegeven mag worden (aan derden). Het is van belang om hier in een vroeg stadium – bijvoorbeeld tijdens de implementatiefase van de CSRD – al aandacht aan te besteden, zodat de (persoons)gegevens ook in overeenstemming met overige privacy wet- en regelgeving wordt gerapporteerd. Zie voor een overzicht van de stappen om tot CSRD-compliance te komen, de door BDO ontwikkelde duurzaamheidsreis.

AVG en vertrouwelijkheid

Bij het verwerken van informatie kan én hoeft niet alles gerapporteerd te worden. Zo is in de CSRD opgenomen dat alle data in overeenstemming met geldende privacy wet- en regelgeving gerapporteerd moet worden. Onder de AVG gelden bijvoorbeeld voor bijzondere gegevens (zoals gezondheidsgegevens) aanvullende bepalingen. Onder de hiervoor genoemde ESRS S1-standaard (eigen werknemers), zal de werkgever moeten rapporteren over het discriminatie-, ziekte en/of gezondheidsbeleid van hun werknemers. Voldoen aan de AVG betekent niet dat alles direct gerapporteerd mag worden, óf dat volstaan kan worden met minder óf geen persoonsgegevens. Hierbij blijft gelden: weeg altijd goed af of de persoonsgegevens gerapporteerd/doorgegeven mogen worden. Doe dit niet ‘blind’ met een beroep op de CSRD.

Daarnaast is het voor de rapporterende onderneming van belang om scherp te zijn dat bedrijfsgeheimen niet onbedoeld worden prijsgegeven. Denk ook aan zaken die bijvoorbeeld onder vertrouwelijkheidsbedingen vallen, zoals meldingen onder de klokkenluidersregeling. Voor ondernemingen in de waardeketen (zoals leveranciers) aan wie informatie wordt gevraagd door CSRD-plichtige ondernemingen, geldt dat er geen verplichting om álle opgevraagde informatie zonder meer te verstrekken. Zo bevat de CSRD een bepaling waarin is opgenomen dat informatie met betrekking tot bepaalde door de EU aangemerkte bedrijfsgeheimen niet verschaft hoeft te worden. De onderneming dient elke keer af te wegen wat er onder de CSRD wordt gevraagd en welke informatie daartoe benodigd is, zodat er niet onbedoeld bedrijfsgeheimen, persoonsgegevens of andere vertrouwelijke informatie wordt blootgegeven.

3 praktische tips:

Bij het inzetten van technologieën onder de rapportageverplichtingen komen ook nieuwe risico’s kijken, zoals issues rondom compliance met recente/nieuwe wet- en regelgeving, zoals de AI Act. Stel uzelf op de hoogte van deze nieuwe ontwikkelingen;
Bij het rapporteren onder de CSRD moet telkens worden afgewogen of verstrekking van de beschikbare informatie in lijn is met de AVG en/of andere vertrouwelijkheidsverplichtingen.
Rapporteer niet “blind” en houdt de privacybelangen van onder meer werknemers, klanten en leveranciers in acht en beoordeel wat wel en niet mag worden verstrekt onder de AVG/overige privacywetgeving.

Over de auteurs

Marinka van Falier

Senior Jurist BDO Tax & Legal

Gerelateerd nieuws

AI-tools op de werkvloer: wat doet dat met ons welzijn?

11 februari 2026

AI-tools worden op het werk om verschillende redenen ingezet: efficiëntie, kostenbesparing, werkdrukverlichting of een beter product voor de klant. Allemaal legitieme redenen. Maar we moeten het ook hebben over de manier waarop mensen het werk ervaren met AI-tools. In deze gastblog duikt Marcel Becker, Universitair Hoofddocent Ethiek en Sociaal Politieke Wijsbegeerte en lid van de wetenschappelijke stuurgroep van het Expertisecentrum Digitalisering en Welzijn, hier dieper in.

Corruption Perceptions Index 2025: Gebrek aan leiderschap verdiept crisis

10 februari 2026

Corruptie blijft wereldwijd toenemen en ook Nederland heeft in het afgelopen jaar geen verbetering laten zien. Dat blijkt uit de jaarlijkse Corruption Perceptions Index (CPI) van Transparency International, wereldwijd de meest gebruikte ranglijst die corruptie in de publieke sector in kaart brengt. Nederland behoudt een plek in de top 10 (dit jaar op nummer 8), maar doet dit met dezelfde historisch lage score als vorig jaar.

‘Starter gezocht’: leeftijd steeds vaker reden voor discriminatie

9 februari 2026

Een zoektocht naar jong talent of juist iemand met ervaring? Leeftijd lijkt steeds vaker een reden voor ongelijke behandeling. Uit de Monitor Discriminatiezaken van het College blijkt dat het aantal meldingen en verzoeken om een oordeel over leeftijdsdiscriminatie het afgelopen jaar is toegenomen. De oordelen gingen met name over leeftijdsdiscriminatie bij werving en selectie van werknemers.

Ongewenst gedrag op het werk: geen reden voor ontslag

6 februari 2026

Een ontslag op staande voet is het zwaarste middel dat een werkgever kan inzetten. Om die reden gelden hier strenge wettelijke eisen voor. Dat de lat hoog ligt, blijkt maar weer eens uit een recente uitspraak van het gerechtshof Arnhem-Leeuwarden.

Meer nieuws