Overslaan en naar de inhoud gaan

Data Protection Day: Privacy als fundamenteel aspect van ESG

Deze pagina delen

De ESG-vereisten inzake milieu, maatschappij en goed bestuur (Environmental, Social & Governance) staan voor veel ondernemingen alsmaar hoger op de agenda aangezien deze vandaag een belangrijk criterium vormen voor beleggers, klanten, leveranciers en werknemers om al dan niet in zee te gaan met een bedrijf. 

Traditioneel wordt bij de term “ESG” gedacht aan ‘klassieke’ negatieve effecten op mens en milieu als dwangarbeid, kinderarbeid of uitstoot van broeikasgassen. In dit e-zine wordt aangetoond dat privacy en gegevensbescherming even fundamentele aspecten uitmaken van maatschappelijk verantwoord en duurzaam ondernemerschap, en dat een verantwoord ESG-beleid verder gaat dan de loutere naleving van toepasselijke privacywetgeving.

Een verantwoord privacybeleid veronderstelt dat een onderneming de drie ESG-criteria respecteert in de manier waarop zij met gegevens omgaat.

Onder het Governance-aspect dienen ondernemingen de fundamentele rechten op privacy en gegevensbescherming van natuurlijke personen te waarborgen bij de verwerking van persoonsgegevens. In dit verband geeft de Algemene Verordening Gegevensbescherming (AVG of GDPR) natuurlijke personen meer controle over hun persoonsgegevens, dwingt ze ondernemingen om deze op rechtmatige en transparante wijze te verwerken en zorgt ze voor effectieve handhaving door serieuze sancties. 

Ondernemingen worden ook reeds onder de AVG in grote mate verantwoordelijk gehouden voor het gedrag van (interne of externe) partijen die persoonsgegevens verwerken. Zo dient een onderneming met elke verwerker een verwerkersovereenkomst af te sluiten en dient een doorgifte van persoonsgegevens naar verwerkers buiten de Europese Unie passende waarborgen te bieden voor de bescherming van de rechten van natuurlijke personen. Dit kan onder meer door bindende bedrijfsvoorschriften aan te nemen op groepsniveau.  

Het belang van een degelijk privacybeleid ten aanzien van handelspartners wordt verder benadrukt in recent gelanceerde ESG-specifieke wetgeving. Vanuit de vaststelling dat de bestaande EU-wetgeving niet altijd van toepassing is op de waardeketens van bedrijven buiten de Europese Unie, zet het voorstel voor een Richtlijn inzake passende zorgvuldigheid in het bedrijfsleven op het gebied van duurzaamheid (beter bekend als de Corporate Sustainability Due Diligence Directive of “CSDD-Richtlijn”) ondernemingen ertoe aan om schendingen van de mensenrechten inzake privacy en gegevensbescherming in de volledige, wereldwijde waardeketen te beoordelen en te beheren via passende zorgvuldigheidsmaatregelen, in navolging van de OESO-richtsnoeren over passende zorgvuldigheid en verantwoord ondernemingen. Datatoeleveringsketens (data supply chains) vormen hierop geen uitzondering, aangezien zij vaak een bron vormen van gegevenslekken of andere onrechtmatige verwerkingen van persoonsgegevens.

Veel ondernemingen doen voor hun ESG-rapportage overigens vandaag een beroep op vrijwillige standaarden zoals de Global Reporting Initiative (GRI) Standards. Onder GRI Standaard 418 verbinden ondernemingen zich ertoe om informatie te verstrekken over hun effecten op de privacy van klanten, meer bepaald in verband met klachten over gegevenslekken en verlies van klantgegevens.   

De link tussen privacy en ESG gaat echter verder dan de naleving van privacywetgeving of -standaarden. Gezien het ingrijpend karakter van data-gedreven technologieën als artificiële intelligentie en Big Data mining, dienen ondernemingen zich meer dan ooit bewust te zijn van de ethische implicaties van bepaalde verwerkingen (het Social-aspect). Dit geldt nog meer wanneer bijzondere categorieën van gegevens worden verwerkt als gezondheidsgegevens, genetische gegevens of gegevens over etnische afkomst. Ondernemingen dragen immers een sociale verantwoordelijkheid om persoonsgegevens te beschermen. Bestuurders zullen de afweging moeten maken tussen hun reputatie op lange termijn en winst door ongebreidelde gegevensverwerking op korte termijn, aangezien aandeelhouders meer en meer oog zullen hebben voor de ethische groei van hun onderneming. 

Bovendien is er ook een niet te onderschatten Environmental-aspect verbonden aan privacy en gegevensbescherming. Een privacybeleid dat maximaal inzet op de principes van minimale gegevensverwerking en opslagbeperking, fysieke datacenters zo veel als mogelijk inwisselt voor cloudopslag en doelbewust gebruik maakt van energiezuinige technologieën leidt tot een duurzamere omgeving voor mens en planeet. 

Kortom, privacy en gegevensbescherming zijn niet los te denken van ESG en gaan verder dan de naleving van de AVG. Een verantwoord gegevensbeheer (zowel intern als ten aanzien van de globale datatoeleveringsketen) is essentieel om het nodige vertrouwen van klanten, werknemers, zakenpartners en investeerders te behouden. 

Auteurs