Gevoelige ESG gegevens registreren – hoe gaat u daar mee om?
Gevoelige ESG gegevens registreren – hoe gaat u daar mee om?
Met het definitief worden van de European Sustainability Reporting Standards (ESRS) is duidelijkheid gekomen over de informatie die gerapporteerd dient te worden in het duurzaamheidsverslag. Dit betreft algemene zaken als bijvoorbeeld uitstoot en energieverbruik, maar ook rapportage over het sociale aspect van ESG, zoals diversiteit en inclusiviteit. Tegelijkertijd is er ook andere wet- en regelgeving ten aanzien van het verzamelen en onderhouden van (persoons)gegevens, zoals de AVG (Algemene Verordening Gegevensbescherming). Hoe rapporteert u transparant over ESG zonder andere wet- en regelgeving zoals de AVG te schaden?
Diversiteit en de AVG
Het voornaamste onderwerp van het Social domein dat voor veel organisaties onderwerp van het ESG rapport zal zijn is het rapporteren over eigen medewerkers, S1 uit de ESRS. Dit betreft een aantal algemene onderwerpen zoals de verhouding tussen mannen en vrouwen in de organisatie, maar ook specifiekere onderwerpen. Eén van de onderwerpen die in de ESRS is opgenomen onder het Social aspect betreft namelijk medewerkers ‘met een beperking’ (Rapportage-eis S1-12).
Dit wordt in de ESRS als volgt omschreven:
‘Mensen met langdurige fysieke, mentale, intellectuele of zintuiglijke beperkingen die hen, in wisselwerking met diverse drempels, kunnen beletten volledig, effectief en op voet van gelijkheid met anderen te participeren in de samenleving.’
Organisaties wordt dus gevraagd om te rapporteren over het percentage van mensen met een beperking onder haar eigen werknemers. Een beperking die zowel fysiek als mentaal kan zijn, en daarmee meer of minder waarneembaar. Daarbij ontstaat een dilemma, want mag je zomaar de beperking van een medewerker registreren? De vraag stellen is hem eigenlijk al beantwoorden. Volgens de AVG zijn medische gegevens namelijk bijzondere persoonsgegevens, die niet zomaar geregistreerd mogen worden. Hoe ga je daar als organisatie mee om?
Data registreren in overeenstemming met de AVG
Binnen de kaders van AVG is het belangrijk is om met twee principes rekening te houden: doelbinding en minimale (gegevens)verwerking.
Om met doelbinding te beginnen: gegevens mogen alleen geregistreerd worden als daar een gerechtvaardigd (en welbepaald beschreven) doel voor is. Daaronder valt ook een wettelijke verplichting. Gegevens omtrent een beperking betreffen bijzondere persoonsgegevens. Hiervoor geldt een verwerkingsverbod. Er zijn uitzonderingen voor een aantal bepalingen opgenomen, maar het rapporteren in het kader van de CSRD valt binnen de AVG niet onder deze uitzonderingen.
Het belangrijkste principe is vervolgens minimale gegevensverwerking (ook wel data-minimalisatie). Dat wil zeggen dat een organisatie uitsluitend die gegevens registreert die echt nodig zijn om het doel waarvoor de gegevens geregistreerd worden te behalen. Daarin zit de crux, want S1-12 vraagt om het percentage van mensen met een beperking. Daarmee is de daadwerkelijke beperking op persoonsniveau geen vereiste vanuit de ESRS en is daarmee ook niet in conflict met het verbod vanuit de AVG.
Het belang van nuance bij het registreren van data
Het gaat dus enkel om het rapporteren van het percentage van medewerkers met een handicap die binnen de definitie valt, en daarmee kan in de basis volstaan worden aan de rapportageverplichting. Dit is een belangrijke nuance, want vanuit het data-minimalisatie principe geldt dat de inhoud van de beperking mogelijk niet relevant is. Voor de onderneming is het dus vooral zaak om goed vast te stellen wat deze definitie van een beperking is, en of een medewerker hieronder valt. Ook zal binnen de privacy beginselen van de AVG nagedacht moeten worden hoe de verwerking voldoende wordt beschermd. Hoe voorkom je dat bij controle of iemand onder de definitie valt, deze informatie niet voor andere doeleinden wordt misbruikt? Of leidt tot discriminatie? Mag de werkgever deze controle doen of moet een bedrijfsarts dit doen? En hoe wordt deze controle vastgelegd zonder toegang voor onbevoegden? Uiteindelijk dient dus alleen vastgelegd te worden dat iemand een beperking heeft, maar niet welke.
Meer informatie
Het omgaan met de vereisten uit de ESRS kan dus behoorlijke uitdagingen met zich meebrengen voor organisaties. Het ‘zomaar’ registreren van gegevens zou ertoe kunnen leiden dat niet wordt voldaan aan andere relevante wet- en regelgeving. Heeft u vragen over het registreren van (ESG) data en wat wel en niet is toegestaan in het kader van de AVG of andere wet- en regelgeving? Neem gerust contact op met een van onze specialisten.