Europese cyberrichtlijn geen blokkade voor duurzaamheidsrichtlijn
De Europese privacyregelgeving zoals de AVG (GDPR) en de verschillende duurzaamheidsrichtlijnen zoals CSDDD, CSRD en de ontbossingsverordening staan volgens experts niet direct op gespannen voet met elkaar, maar er zijn wel enkele spanningsvelden en uitdagingen bij de implementatie. Zo moeten risk managers dataverzameling en transparantie ten behoeve van duurzaamheidsrichtlijnen controleren op compliancy. Duurzaamheidsrichtlijnen vereisen namelijk uitgebreide dataverzameling en rapportage, terwijl de AVG juist gegevensminimalisatie voorschrijft.
CSDDD en ontbossingsrichtlijn
Juristen adviseren dan ook zorgvuldig afweging welke gegevens echt noodzakelijk zijn voor duurzaamheidsrapportage en deze waar mogelijk te anonimiseren. Met name de CSDDD –in de volksmond ‘meekijkrichtlijn’ genoemd– en de ontbossingsverordening vereisen due diligence in de hele waardeketen –dus bij andere bedrijven dan de eigen organisatie, wat kan botsen met privacyrechten van individuen, aldus BSR. De richtlijn brengt ook met zich mee dat bedrijven transparant zijn over gegevensverzameling bij leveranciers en partners, en dienen dus te zorgen voor adequate bescherming van gegevens.
CSRD
CSRD daarentegen stimuleert engagement met stakeholders, wat privacyrisico’s kan opleveren. Ook hiervoor geldt de noodzaak voor een zorgvuldige afweging tussen transparantie en privacybescherming bij het betrekken van stakeholders.
Beveiliging duurzaamheidsdata
Verder dienen bedrijven systemen en procedures te implementeren die adequate beveiligingsmaatregelen van duurzaamheidsdata borgen. Het integreren van deze verschillende regelgevingen vergt coherente bedrijfsprocessen. Voor de meeste bedrijven in de EU gelden hoofdzakelijk 5 cyberrichtlijnen.
1. Algemene Verordening Gegevensbescherming (AVG)
De AVG is de hoeksteen van gegevensbescherming in de Europese Unie. Zo omschrijft AVG support de noodzaak tot het . Belangrijke aspecten voor financiële managers zijn:
– Toestemming: Expliciete toestemming verkrijgen voor gegevensverwerking
– Gegevensminimalisatie: Alleen noodzakelijke gegevens verzamelen
– Recht op vergetelheid: Individuen kunnen verzoeken om gegevensverwijdering
– Gegevensoverdraagbaarheid: Gegevens in machineleesbaar formaat beschikbaar stellen
– Meldplicht datalekken: Datalekken binnen 72 uur melden
Financiële instellingen moeten strikt voldoen aan de AVG om hoge boetes te voorkomen. [Artikel gaat verder na de volgende alinea]
2. ePrivacyrichtlijn
Deze richtlijn richt zich op elektronische communicatie en is relevant voor online financiële diensten. Kernpunten zijn:
– Cookietoestemming: Toestemming vereist voor niet-essentiële cookies
– Vertrouwelijkheid van communicatie: Bescherming van privacy in elektronische communicatie
– Ongewenste communicatie: Regulering van marketing via e-mail en sms
3. Netwerk- en Informatiebeveiliging (NIB) Richtlijn
De NIB-richtlijn is gericht op het verbeteren van cyberveiligheid in de EU. Voor financiële managers zijn de volgende aspecten van belang:
– Risicobeheer: Implementeren van passende beveiligingsmaatregelen
– Incidentmelding: Melden van significante cyberbeveiligingsincidenten
– Samenwerking: Delen van informatie over dreigingen en best practices [Artikel gaat verder na de volgende alinea]
4. Herziene Richtlijn Betaaldiensten (PSD2)
PSD2 heeft belangrijke implicaties voor gegevensbescherming en beveiliging in de financiële sector:
– Sterke klantauthenticatie: Implementeren van meerfactorauthenticatie
– Open banking: Veilig delen van klantgegevens met derde partijen
– Transactiemonitoring: Detecteren en voorkomen van frauduleuze activiteiten
5. Richtlijn betreffende markten voor financiële instrumenten (MiFID II)
MiFID II bevat bepalingen die relevant zijn voor gegevensbescherming en cyberveiligheid:
– Gegevensbewaring: Bijhouden van gedetailleerde transactie- en communicatiegegevens
– Gegevensrapportage: Indienen van transactierapporten bij toezichthouders
– Algoritmische handel: Implementeren van controles en waarborgen voor geautomatiseerde handelssystemen
Door deze vijf belangrijke richtlijnen te begrijpen en te implementeren, kunnen volgens de EU financiële managers hun instellingen helpen navigeren in het complexe landschap van Europese regelgeving op het gebied van privacy, gegevensbescherming en cyberveiligheid.