Nyt krav om rapportering om dataetik i ledelsesberetningen træder i kraft den 1. juli 2020
Et nyt lovkrav i årsregnskabsloven medfører pligt for store virksomheder, om at supplere ledelsesberetningen med en redegørelse for virksomhedens politik for dataetik. Hvis virksomheden ikke har en politik for dataetik, skal ledelsesberetningen indeholde en redegørelse for, hvorfor man ikke har en sådan politik.
I takt med den teknologiske udvikling og den stigende anvendelse af data i virksomheders forretningsmodeller, er dataetik blevet et vigtig emne.
Det nye lovkrav i årsregnskabslovens § 99 d indebærer, at store virksomheder, som har en politik for dataetik, skal supplere ledelsesberetningen med en redegørelse for virksomhedens politik for dataetik.
Redegørelsen skal indeholde oplysninger om virksomhedens arbejde med og politik for dataetiske spørgsmål.
Har virksomheden ikke en politik for dataetik, skal ledelsesberetningen indeholde en forklaring på, hvorfor man ikke har en politik.
Oplysningspligten gælder for børsnoterede virksomheder og statslige aktieselskaber. Det forventes, at der vil blive indført tilsvarende krav om dataetik for de finansielle virksomheder (dvs. kreditinstitutter og forsikringsselskaber m.v.), herunder virksomheders holdingselskaber, som ikke omfattes af årsregnskabsloven. For disse virksomheder vil oplysningspligten vedrørende dataetik blive fastsat i bekendtgørelser udstedt af Finanstilsynet.
Det nye krav om rapportering for dataetik er udformet efter et "følg- eller forklar-princip", der betyder, at virksomheden skal rapportere om sin politik for dataetik, eller begrunde, hvorfor virksomheden har fravalgt at udarbejde en politik for dataetik. På den måde, vil det være tilstrækkeligt, at virksomheden vælger at forklare baggrunden for fravalget.
Følg- eller forklar-princippet er et allerede eksisterende princip i årsregnskabsloven i forhold til større virksomheders rapportering af deres arbejde med samfundsansvar ("CSR"), jf. årsregnskabslovens § 99 a. Da dataetik bl.a. vedrører hvordan anvendelse af data og teknologi påvirker vores samfundet, er det lovgivers ønske, at kravet om redegørelse for virksomheders arbejde med samfundsansvar suppleres af et krav om en redegørelse for dataetik.
Formålet med bestemmelsen er at skabe fokus på og gennemsigtighed om arbejdet med dataetik. På den måde kan dataetik blive et vigtigt konkurrenceparameter for danske virksomheder.
Det er endvidere hensigten med den nye lovbestemmelse, at danske virksomheder bliver understøttet i at udnytte potentialet i data på en etisk ansvarlig måde. Kravet om rapportering af dataetik udspringer af anbefalinger fra Ekspertgruppen om Dataetik i deres rapport fra november 2018, hvor ekspertgruppen bl.a. anbefaler at indsætte en bestemmelse om redegørelse for dataetik i årsregnskabsloven.
Med den nye bestemmelse i årsregnskabslovens § 99 d, er Danmark formentlig det første land i verden til at indføre et lovkrav om rapportering af dataetik, da tilsvarende lovregler ikke findes i EU-retten eller internationalt.
Ifølge Dataetisk Råd skal "Dataetik forstås overordnet som den etiske dimension af forholdet mellem på den ene side teknologi og på den anden side borgernes grundlæggende rettigheder, retssikkerhed og grundlæggende samfundsmæssige værdier, som den teknologiske udvikling giver anledning til at overveje."
Begrebet dataetik dækker over brugen af alle former for data, ikke kun persondata.
Arbejdet med dataetik er således ikke et krav om at overholde persondataforordningen (GDPR) og databeskyttelsesloven, men dataetik bygger oven på de regler for virksomheders behandling af persondata, der følger af databeskyttelsesreglerne og forudsætter overholdelsen heraf.
Dataetik kan derfor siges at gå videre end data- og privatlivsbeskyttelsen i snæver forstand, da dataetik i vidt omfang handler om at "gøre det rigtige" i forhold til mennesker og samfund, også selv hvis andre handlemåder er lovlige.
Reglen om rapportering af dataetik tvinger således bestyrelser og direktioner til aktivt at tage stilling til disse spørgsmål. Da dataetik og generel iagttagelse af de databeskyttelsesretlige regler hænger tæt sammen, er det forventningen, at kravet også vil medføre et øget fokus på organisationens overholdelse af de almindelige databeskyttelsesretlige regler.
Forventningen er også, at dataetik i fremtiden vil blive en almindelig overvejelse i forbindelse med anvendelsen af teknologi og udvikling af virksomheders forretningsmodeller og strategier.
Herudover blev det foreslået at udvikle en dataetisk mærkningsordning. Med en donation på 18 mio. fra Industriens Fond, er et nyt mærke for IT-sikkerhed og ansvarlig dataanvendelse allerede på vej.
Derudover har regeringen i maj 2019 nedsat Dataetisk Råd, der bl.a. skal give input til den offentlige debat om dataetik, og hjælpe til at erhvervslivet og den offentlige sektor anvender data ansvarligt.
Det nye lovkrav i årsregnskabslovens § 99 d indebærer, at store virksomheder, som har en politik for dataetik, skal supplere ledelsesberetningen med en redegørelse for virksomhedens politik for dataetik.
Redegørelsen skal indeholde oplysninger om virksomhedens arbejde med og politik for dataetiske spørgsmål.
Har virksomheden ikke en politik for dataetik, skal ledelsesberetningen indeholde en forklaring på, hvorfor man ikke har en politik.
Oplysningspligten gælder for børsnoterede virksomheder og statslige aktieselskaber. Det forventes, at der vil blive indført tilsvarende krav om dataetik for de finansielle virksomheder (dvs. kreditinstitutter og forsikringsselskaber m.v.), herunder virksomheders holdingselskaber, som ikke omfattes af årsregnskabsloven. For disse virksomheder vil oplysningspligten vedrørende dataetik blive fastsat i bekendtgørelser udstedt af Finanstilsynet.
Det nye krav om rapportering for dataetik er udformet efter et "følg- eller forklar-princip", der betyder, at virksomheden skal rapportere om sin politik for dataetik, eller begrunde, hvorfor virksomheden har fravalgt at udarbejde en politik for dataetik. På den måde, vil det være tilstrækkeligt, at virksomheden vælger at forklare baggrunden for fravalget.
Følg- eller forklar-princippet er et allerede eksisterende princip i årsregnskabsloven i forhold til større virksomheders rapportering af deres arbejde med samfundsansvar ("CSR"), jf. årsregnskabslovens § 99 a. Da dataetik bl.a. vedrører hvordan anvendelse af data og teknologi påvirker vores samfundet, er det lovgivers ønske, at kravet om redegørelse for virksomheders arbejde med samfundsansvar suppleres af et krav om en redegørelse for dataetik.
Formålet med bestemmelsen er at skabe fokus på og gennemsigtighed om arbejdet med dataetik. På den måde kan dataetik blive et vigtigt konkurrenceparameter for danske virksomheder.
Det er endvidere hensigten med den nye lovbestemmelse, at danske virksomheder bliver understøttet i at udnytte potentialet i data på en etisk ansvarlig måde. Kravet om rapportering af dataetik udspringer af anbefalinger fra Ekspertgruppen om Dataetik i deres rapport fra november 2018, hvor ekspertgruppen bl.a. anbefaler at indsætte en bestemmelse om redegørelse for dataetik i årsregnskabsloven.
Med den nye bestemmelse i årsregnskabslovens § 99 d, er Danmark formentlig det første land i verden til at indføre et lovkrav om rapportering af dataetik, da tilsvarende lovregler ikke findes i EU-retten eller internationalt.
Hvad er dataetik?
Dataetik er et nyt begreb i dansk ret, og det er stadig uklart, hvad begrebet nærmere dækker over.Ifølge Dataetisk Råd skal "Dataetik forstås overordnet som den etiske dimension af forholdet mellem på den ene side teknologi og på den anden side borgernes grundlæggende rettigheder, retssikkerhed og grundlæggende samfundsmæssige værdier, som den teknologiske udvikling giver anledning til at overveje."
Begrebet dataetik dækker over brugen af alle former for data, ikke kun persondata.
Arbejdet med dataetik er således ikke et krav om at overholde persondataforordningen (GDPR) og databeskyttelsesloven, men dataetik bygger oven på de regler for virksomheders behandling af persondata, der følger af databeskyttelsesreglerne og forudsætter overholdelsen heraf.
Dataetik kan derfor siges at gå videre end data- og privatlivsbeskyttelsen i snæver forstand, da dataetik i vidt omfang handler om at "gøre det rigtige" i forhold til mennesker og samfund, også selv hvis andre handlemåder er lovlige.
Dataetik kommer på dagsorden i topledelsen
Med det nye lovkrav efter følg-eller-forklar-princippet sættes dataetik på listen over emner, som topledelsen skal forholde sig til.Reglen om rapportering af dataetik tvinger således bestyrelser og direktioner til aktivt at tage stilling til disse spørgsmål. Da dataetik og generel iagttagelse af de databeskyttelsesretlige regler hænger tæt sammen, er det forventningen, at kravet også vil medføre et øget fokus på organisationens overholdelse af de almindelige databeskyttelsesretlige regler.
Forventningen er også, at dataetik i fremtiden vil blive en almindelig overvejelse i forbindelse med anvendelsen af teknologi og udvikling af virksomheders forretningsmodeller og strategier.
En politik for dataetik
Ved politik forstås ifølge lovforslaget virksomhedens interne retningslinjer, målsætninger eller andre dokumenter, der beskriver, hvordan virksomheden arbejder med dataetik. Begrebet politik skal således ikke forstås snævert, og enhver form for nogenlunde formaliserede principper og retningslinjer for dataetik vil forstås som en politik, som virksomheden vil skulle redegøre for i ledelsesberetningen.
En politik for dataetik kan f.eks. omfatte:
- Hvilke typer data, virksomheden anvender
- Beskrivelse af, hvordan og til hvilke formål virksomheden anvender nye teknologier, f.eks. kunstig intelligens eller machine learning i udviklingen og udbuddet af produkter og tjenester
- Beskrivelse af anvendte algoritmer, herunder kriterier og parametre
- Hvordan data tilvejebringes
- Beskrivelse af privacy by design principper
- Anvendelse af individuel datakontrol, herunder on-device processing
- Oplysninger om datalagring og anvendelse af systemer, f.eks. open source software
- Køb og salg af data, og til hvem
- Beskrivelse af kryptering, f.eks. anvendelse af end-to-end-kryptering eller zero-knowledge som design- og behandlingsprincip
- Hvordan virksomheden sikrer mod diskrimination i dataanvendelsen
- Organisatorisk forankring af beslutningsprocesser for håndtering af data
- Retningslinjer for hvordan medarbejdere trænes og evalueres i forhold til dataanvendelse
Flere initiativer om dataetik på vej
Ekspertgruppen om dataetik anbefalede i november 2018, at der blevet taget forskellige initiativer, der skal biddrage til at sikre en ansvarlig anvendelse af data blandt danske virksomheder. En af anbefalingerne var den nye bestemmelse i § 99 d, i årsregnskabsloven.Herudover blev det foreslået at udvikle en dataetisk mærkningsordning. Med en donation på 18 mio. fra Industriens Fond, er et nyt mærke for IT-sikkerhed og ansvarlig dataanvendelse allerede på vej.
Derudover har regeringen i maj 2019 nedsat Dataetisk Råd, der bl.a. skal give input til den offentlige debat om dataetik, og hjælpe til at erhvervslivet og den offentlige sektor anvender data ansvarligt.
Konsekvenser for virksomheder
- Med det nye lovkrav tvinges ledelsen i alle store virksomheder til aktivt at tage stilling til dataetiske spørgsmål og arbejdet med dataetik
- Børsnoterede virksomheder og statslige aktieselskaber bør nøje overveje, om man skal implementere en politik for dataetik i organisationen
- Åbenhed om virksomhedens arbejde med dataetik kan bevare tilliden hos samarbejdspartnere, kunder og investorer og kan derved blive en konkurrencefordel
- Hvis organisationen fravælger en politik for dataetik, skal man give en konkret og fyldestgørende begrundelse for, hvorfor organisationen ikke har en politik for dataetik
Yderligere information om lovkravet kan findes her
