Invloed van de Europese Data Act op de CSRD

Europese Data Act – een korte introductie  

Om tot een duurzaamheidsrapportage te komen, is onder meer data nodig vanuit de waardeketen van de onderneming. De Europese Data Act is een initiatief om – kortgezegd – obstakels voor het delen van gegevens weg te nemen, eerlijke toegang en gebruikersfaciliteiten te faciliteren én tegelijkertijd de bescherming van persoonsgegevens te waarborgen. Voor gebruikers van “connected” apparaten en daaraan gerelateerde diensten, wordt het eenvoudiger om gegevens op te vragen. De Data Act kan op deze manier CSRD-plichtige ondernemingen helpen bij hun rapportageplicht. 

Doel Data Act

De Europese Data Act is al op 11 januari 2024 in werking getreden, maar zal pas vanaf september 2025 van toepassing worden. Dit betekent overigens niet dat vooruitlopend hierop niet al een beroep kan worden gedaan op de inhoud van de Data Act. De Data Act is, samen met de Europese Data Governance Act, onderdeel van een breder pakket aan wet- en regelgeving. Waar de Data Governance Act met name ziet op het opzetten van processen en systemen om het uitwisselen van gegevens te vergemakkelijken (met name voor overheidsinstanties), zal de Data Act verduidelijken wie waarde kan halen uit die data en onder welke omstandigheden. 

Kortgezegd: de Data Act heeft als doel voor de hele Europese Unie regels vast te stellen, zodat eerlijke toegang en gebruik van gegevens mogelijk is. De achterliggende gedachte is dat op dit moment veel data enkel beschikbaar is voor de ontwikkelaar van de dienst of het product. Door invoering van deze wet hoopt de Europese Unie dat deze data niet onbenut blijft, maar door gebruikers van de dienst of het product en ook door andere sectoren gebruikt zal worden. 

Het gaat met name om data gegenereerd door diensten of zogenoemde ‘Internet of Things’-producten.  Dit zijn producten die verband houden met het draadloos verbonden kunnen zijn met een internetwerk, zoals smartphones en sensoren bij gebouwbeheer. Huidige juridische obstakels (“mag delen wel?”) en economische obstakels (“wat kost deze data?”) moeten worden weggenomen. Deze obstakels kunnen ook in de weg staan in het kader van het verzamelen van data onder de CSRD (en ESG in het algemeen). 

CSRD en mogelijke impact Data Act

Het eenvoudiger delen van data draagt bij aan een efficiënter proces om tot een CSRD-rapportage te komen. Hierbij is het van belang om op te merken dat de Data Act slechts geldt voor een aantal onderdelen. In het kader van de CSRD-rapportage kan onder andere gedacht worden aan de navolgende onderdelen: 
  • gegevens van “Internet of Things”/connected device;  
  • oneerlijke contractuele bedingen;
  • de beschikbaarstelling aan overheids- en Europese instanties en het invoeren van waarborgen tegen ongeoorloofde toegang van derden; 
  • het waarborgen van ongeoorloofde toegang tot dat van derden. 
Ten aanzien van “Internet of Things”/connected devices (eerste bullit) merken wij op dat dit niet geldt voor “offline” producten en diensten. De gegevens moeten beschikbaar gesteld worden door de gegevensontvangers: dit kunnen zowel ondernemingen als eindgebruikers zijn (bijv. de gebruikers van een Smartwatch). 

Tot slot merken wij ook op dat overige privacywetgeving, waaronder de AVG, in acht moet worden genomen bij het verzamelen van data in het kader van de CSRD en overige ESG-rapportageverplichtingen (zoals de verplichte CO₂-registratieplicht die vanaf 1 juli 2024 gaat gelden). Over dit verband verschijnt er binnenkort een nieuw artikel.

Conclusie

De nieuwe Data Act kan voor bepaalde data een handvat bieden om gegevens op te vragen. Wij kunnen u ondersteunen om te bepalen of de benodigde (CSRD-)data onder de verplichting van de Data Act valt. Ook kunnen wij helpen bij audits van de datacollectie én bij contractuele vastlegging van rechten en plichten t.a.v. het delen van gegevens. Neem daarom gerust contact op met Femke Schemkes, Marinka van Falier of via onderstaand contactformulier.

NEEM CONTACT OP