Data Privacy en Data Protection: integraal onderdeel van het ESG framework
De Algemene Verordening Gegevensbescherming (AVG) is voor veel ondernemingen een thema geworden in de ESG-duurzaamheidsrapportages. Het wordt steeds vaker een integraal onderdeel van de bedrijfsvoering waaraan werknemers, sollicitanten en aandeelhouders steeds meer waarde hechten. Wat gebeurt er met de persoonsgebonden data en hoe verhoudt zich dat tot de transparantie waar bedrijven op worden getoetst?
Toenemende digitalisering biedt kansen en risico’s
De verwerking van onze persoonsgegevens door bedrijven neemt in rap tempo toe door de toenemende digitalisering en de mogelijkheden van data-analyse. Deze verwerkingen bieden veel bedrijven (commerciële) kansen en inzichten. Dit gebeurt vaak door gebruik te maken van data-analyses, profilering en algoritmes waarbij verschillende persoonskenmerken gecombineerd en verrijkt worden. Daarnaast kunnen bedrijven bijvoorbeeld ook fraudeurs of witwassers opsporen, risico’s inschatten of gerichte commerciële aanbiedingen doen aan de hand van de verzamelde en verrijkte persoonsgegevens en data.
Bedrijven zitten vaak op een schat aan (gevoelige) persoonsgegevens en hebben een plicht hier zorgvuldig mee om te gaan en deze te beschermen. Zij moeten hierover transparant zijn en er verantwoording over kunnen afleggen. Risico’s van een onzorgvuldige – of niet veilige bescherming van de persoonsgegevens – zijn voorkomende datalekken, phishing en ransomware, dat steeds vaker in het nieuws komt. Dit kan een onmiddellijke weerslag hebben op de reputatie van een bedrijf en zelfs het voortbestaan hiervan bedreigen. Ook individuele privacy inbreuken en boetes van de externe toezichthouders liggen op de loer.
De AVG reguleert een zorgvuldige verwerking en bescherming van onze persoonsgegevens
Vanuit Europa is er wetgeving van kracht die dit alles reguleert en invulling aan de zorgplicht geeft. De bekendste wet is de AVG, die diep ingrijpt bij bedrijven waar persoonsgegevens van klanten, medewerkers of andere betrokkenen worden verwerkt. Naar mate het bedrijf meer bijzondere of gevoelige persoonsgegevens verwerkt, zullen er meer maatregelen moeten worden getroffen om aan de verwachte zorgvuldigheid invulling te kunnen geven.
Privacy en data protection passen in het ESG framework
Bovenstaande is een reden om dit onderwerp serieus te nemen en toe te voegen aan het ESG framework van het bedrijf. De AVG als stuk wetgeving is hier op zichzelf al een goede reden voor. Maar de maatschappij verwacht ook dat bedrijven vanuit hun integriteit hun sociale voelsprieten uit hebben staan over wat voor soort verwerkingen acceptabel worden geacht en welke niet. Dit betekent dus niet dat als iets van de wet wel mag, dit ook automatisch door klanten of de maatschappij zal worden geaccepteerd. Bovendien is privacy één van de grondrechten uit de Grondwet en moet daarom worden nageleefd.
Een bedrijf dient vanuit haar governance structuur ook een goede Privacy & Data Protection policy te formuleren, waarin duidelijk is gemaakt hoe met persoonsgegevens wordt omgegaan en hoe persoonsgegevens worden verwerkt. De meeste bedrijven zullen privacy- en informatiebeveiliging als een compliance riskmanagementonderwerp benaderen. Binnen het bestaande riskmanagementprogramma worden de privacy – en data protection risico’s inzichtelijk, vindt monitoring plaats en worden beheersmaatregelen genomen. Tegelijkertijd is bijvangst van privacy en data protection wetgeving, dat gegevens niet langer bewaard mogen worden bewaard dan strikt noodzakelijk en daarna vernietigd moeten worden. Hierdoor draagt dit ook bij aan doelstelling van een bedrijf om ‘electronic waste’ te beperken.
De Functionaris Gegevensbescherming is onderdeel van de governance
Een belangrijke rol binnen de governance is weggelegd voor de binnen veel bedrijven wettelijk verplichte Functionaris Gegevensbescherming (FG), in het Engels de Data Protection Officer (DPO). Dit is een soort Compliance Officer die advies geeft en toezicht houdt op de verwerkingen van persoonsgegevens binnen het bedrijf. Dit kan zowel een interne als een externe FG zijn.
Heeft u vragen over de AVG, Privacy of Data Protection of de Functionaris Gegevensbescherming? Lumen Group kan u daarbij helpen. Neem contact op via info@lumengroup.nl of 030- 88965 75.