Hoe privacy bijdraagt aan uw ESG-ambities

Net als de meeste organisaties besteedt u steeds meer aandacht aan de bescherming van gegevens en aan een serieus privacybeleid. Met de komst van de ESG-thema’s (environmental, social & governance) is een op naleving en risico gebaseerde aanpak voor de bescherming van persoonsgegevens niet langer voldoende. Als het gaat om de ethische en duurzame keuzes die een bedrijf maakt, is privacy voor belanghebbenden steeds meer een topprioriteit.

Het belang van ethische gegevensverwerking

Hoewel de ESG-richtlijnen aanvankelijk vrij ongrijpbaar waren, worden ze steeds concreter. Dat komt mede door de toename van nieuwe wet- en regelgeving, zoals de CSRD. Ondertussen bepaalt de Algemene verordening gegevensbescherming (AVG) al vijf jaar wereldwijd de gouden standaard voor de bescherming van persoonsgegevens. 

Daarnaast vormen rechterlijke uitspraken zoals Schrems II het debat over grensoverschrijdende doorgifte van persoonsgegevens en de impact op organisaties. Verder verhogen nieuwe Europese wetten zoals de Artificial Intelligence Act en de Data Governance Act het belang van ethische gegevensverwerking.

Beoordeling van de duurzaamheid van een organisatie

Een gevolg van dit alles is dat de nadruk verschoven is van de op naleving en risico gebaseerde vraag 'wat staat de wet toe?', naar meer ethische vragen als 'wat moet u doen?' en ‘wat verwachten stakeholders als mijn klanten en medewerkers?’ Privacy en gegevensbescherming zijn wellicht niet de eerste thema’s waaraan u denkt als het om ESG gaat. Bij de beoordeling van de algehele duurzaamheid van een organisatie zijn ze inmiddels een belangrijke component geworden voor niet alleen investeerdersmaar ook voor andere stakeholders.

Bescherming van persoonsgegevens is een mensenrecht

De bescherming van persoonsgegevens is immers een mensenrecht, gebaseerd op de Verklaring van de Verenigde Naties en het Europees Verdrag voor de Rechten van de Mens. Terwijl bedrijven hun commerciële doelstellingen willen bereiken, verzamelen ze allerlei soorten persoonlijke gegevens. Het mag duidelijk zijn dat ze daarbij een sociale verantwoordelijkheid hebben en dat de rechten en vrijheden van consumenten zijn beschermd. Zeker nu technologieën als kunstmatige intelligentie in opmars zijn, is het belangrijk dat zorgvuldig met de grote hoeveelheden verzamelde (persoons)gegevens wordt omgegaan. Het is daarom belangrijk dat er binnen een bedrijf gedetailleerde beleidslijnen en procedures zijn en een toegewijde verantwoordelijke voor privacy is aangesteld.

Bedenk dat een datalek naast mogelijke financiële en reputatieschade een negatieve invloed kan hebben op de ESG-rating van uw organisatie. Als de inbreuk ernstig genoeg is, kan dit jarenlang van invloed zijn op de scores. 

De kans op datalekken verminderen

Maar effectief incidentbeheer en transparantie kunnen helpen. ESG-analisten willen vooral gegevens zien over de frequentie en impact van inbreuken, over de procedures waarmee u een inbreuk snel en zorgvuldig afhandelt en de manier waarop u klanten, regelgevers en andere belanghebbenden adequaat informeert. Daarnaast zijn ze ook geïnteresseerd in de maatregelen die u neemt om de kans op datalekken te verminderen.

Voor organisaties zou het efficiënt zijn als er een manier bestaat waarmee zowel hun privacystructuur als de ESG-rapportage in één keer wordt verbeterd. Dat begint volgens ons met accurate en betrouwbare data. Vervolgens is de opzet van uw privacystructuur een belangrijke factor om aan te tonen hoe u de zogenoemde ‘datasoevereiniteit’  beschermt. Hoe maakt uw organisatie het mogelijk voor betrokkenen om hun rechten uit te oefenen? En hoe handelt u datalekken af?

Maatregelen om zowel ESG-aspecten als privacy te versterken

Om te zorgen dat u zowel het sociale en het governance-aspect van ESG als uw privacystructuur verstrekt, moet u in elk geval de volgende maatregelen nemen:

• Zet een passende governancestructuur voor privacy op.
• Zet een goed functionerend proces voor het uitoefenen van privacyrechten op, zoals toegang tot en correctie van persoonsgegevens.
• Maak een begrijpelijke privacyverklaring en een volledig register van verwerkingsactiviteiten. Op die manier waarborgt u de transparantie en emancipatie van betrokkenen bij het uitoefenen van hun rechten. 
• Bescherm persoonsgegevens met behulp van effectieve technische en organisatorische, zoals pseudonimisering.
• Zorg voor voldoende datamapping om internationale doorgifte te identificeren, gezien het wereldwijde karakter van gegevensverwerking. 
• Stel een duidelijke procedure die bij datalekken of andere incidenten in werking moet treden.
• Maak een routekaart voor datamanagement als input voor uw rapportage/dashboards. 
• Gebruik raamwerken om te beslissen over ethisch gebruik van persoonsgegevens en algoritmen.
• Zorg dat u transparant bent over het aantal datalekken binnen uw organisatie en de impact daarvan.
• Zorg voor de juiste systemen die een effectieve en efficiënte rapportage ondersteunen.

Besef u wel dat er geen 'one-size-fits-all'-benadering bestaat als het gaat om het opnemen van privacy en gegevensbescherming in uw ESG-programma. Het vereist een holistische aanpak, waarbij u rekening moet houden met de verschillende rapportagevereisten, sectorspecifieke vereisten en natuurlijk met de bestaande rapportagestandaarden binnen uw organisatie.