Nyt krav om redegørelse for politik for dataetik

Ved seneste ændring af årsregnskabsloven er der indsat en ny bestemmelse i § 99 d: Store virksomheder, børsnoterede virksomheder og statslige aktieselskaber skal supplere ledelsesberetningen med en redegørelse for deres politik om dataetik eller lade den fremgå af virksomhedens hjemmeside. Hvis virksomheden ikke har en politik for dataetik, skal de redegøre nærmere om baggrunden derfor. Kravet har virkning for regnskabsår, der begynder den 1. januar 2021 eller senere.

Formålet med lovkravet er at skabe gennemsigtighed og fokus på virksomheders arbejde med dataetik. Ansvarlig dataanvendelse kan utvivlsomt blive et konkurrenceparameter. Kravet gør det muligt for samarbejdspartnere, kunder og investorer at orientere sig om, hvorvidt den enkelte virksomhed har en politik for dataetik, og hvad denne indeholder.

Med kravet om redegørelse for dataetik vil virksomhedven aktivt skulle tage stilling til sit ansvar for og arbejde med dataetik. Det er ledelsens ansvar, at der offentliggøres en redegørelse for virksomhedens dataetik, hvorfor virksomhedens dataetik skal sættes på dagsordenen i topledelsen.

Virksomheden kan med fordel orientere sig i Erhvervsstyrelsens nyligt offentliggjorte Vejledning om lovpligtig redegørelse for dataetik, der i vid udstrækning er baseret på Erhvervsministeriets bemærkninger til lovforslaget, der har ført til det nye lovkrav. 

Følg-eller-forklar-princippet

Oplysningskravet er baseret på det såkaldte "følg-eller-forklar-princip", som svarer til årsregnskabslovens § 99 a, om virksomheders rapportering om samfundsansvar (CSR). Der stilles derfor ikke krav om, at de omfattede virksomheder skal have en politik for dataetik, men hvis virksomheden har en sådan politik, skal virksomhedens redegøre for den.

Hvis virksomheden ikke har en politik om dataetik, skal virksomheden supplere ledelsesberetningen med en redegørelse om baggrunden herfor. Begrundelsen kan f.eks. være, at virksomheden ikke behandler data eller anvender algoritmer til dataanalyse, eller at dette ikke er en integreret del af virksomhedens forretningsstrategi og forretningsaktiviteter. Det vil derimod ikke være tilstrækkeligt at oplyse, at fravalget skyldes virksomhedens størrelse eller branche.

Dataetikbegrebet

Dataetik er for mange virksomheder et relativt diffust og abstrakt begreb, som ikke er defineret ved lov. Det følger imidlertid af forarbejderne til ændring af årsregnskabsloven, at

"begrebet dataetik forstås overordnet som den etiske dimension af forholdet mellem på den ene side teknologi og på den anden side borgernes grundlæggende rettigheder, retssikkerhed og grundlæggende samfundsmæssige værdier, som den teknologiske udvikling giver anledning til at overveje. […]. Begrebet dataetik omfatter brugen af alle former for data og er således ikke begrænset til brugen af personoplysninger".

Dataetik vedrører således de etiske overvejelser, virksomheden må gøre sig i forbindelse med ansvarlig brug af data og nye teknologier, f.eks. som led i udvikling og brug af kunstig intelligens m.v., og bygger oven på de regler for virksomheders behandling af personoplysninger, der følger af databeskyttelsesforordningen og databeskyttelsesloven.

Undtagelser for koncerner

En modervirksomhed kan nøjes med at give oplysningerne som helhed, så der indsættes en samlet redegørelse for koncernens datapolitikker i koncernregnskabet. Dattervirksomheder er fritaget for at redegøre for politikker om dataetik, hvis modervirksomheden oplyser om dataetiske politikker for hele koncernen. Ifølge Erhvervsstyrelsens vejledning kan redegørelsen gives af den umiddelbart overliggende modervirksomhed eller af en højere liggende modervirksomhed. En dattervirksomhed, der anvender denne mulighed, skal i sin ledelsesberetning oplyse navn og CVR-nummer på den modervirksomhed, der har offentliggjort redegørelsen. Hvis modervirksomheden har offentliggjort redegørelsen for koncernens dataetiske politik på virksomhedens hjemmeside, skal dattervirksomheden henvise til den i sin egen ledelsesberetning.

Finansielle virksomheder

Finansielle virksomheder er ikke omfattet af rapporteringsreglerne i årsregnskabsloven, men i stedet af de særlige rapporteringsregler der følger af lov om finansiel virksomhed. For finansielle virksomheder følger kravet om at supplere ledelsesberetningen med en redegørelse for politik om dataetik af to bekendtgørelser om finansielle rapporter:

1. Bekendtgørelse om finansielle rapporter for kreditinstitutter og fondsmæglerselskaber m.fl.
2. Bekendtgørelse om finansielle rapporter for forsikringsselskaber og tværgående pensionskasser.

Selve redegørelseskravet i de to bekendtgørelser svarer til kravet i årsregnskabslovens § 99 d. Redegørelseskravet gælder dog kun for finansielle virksomheder med et gennemsnitligt antal heltidsbeskæftigede på 500 på koncernniveau eller derover, børsnoterede finansielle virksomheder, eller virksomheder der driver livsforsikringsvirksomhed.

Læs mere om bekendtgørelserne.

Redegørelsens indhold

Hvis virksomheden har en politik om dataetik, skal redegørelsen indeholde en beskrivelse af indholdet af politikken og en beskrivelse af virksomhedens arbejde med dataetik. Det er således ikke tilstrækkeligt blot at oplyse, at virksomheden har en politik om dataetik.

Ved politikker om dataetik forstås bredt virksomhedens interne retningslinjer, målsætninger eller andet, der beskriver, hvordan virksomheden arbejder med dataetik. Det nye redegørelseskrav i årsregnskabslovens § 99 d fastsætter ingen krav til selve politikken. Det står således virksomheden frit for, hvad der skal stå i selve politikken. Af samme grund har Erhvervsstyrelsen ikke fastsat detaljerede indholdsmæssige krav til redegørelsen for politikken.  

En redegørelse for virksomhedens politik for dataetik kan f.eks. indeholde oplysninger om:

1. hvilke typer af data, som virksomheden anvender
2. hvordan de pågældende data tilvejebringes
3. hvorvidt virksomheden anvender data fra tredjeparter, såsom sociale medier
4. hvorvidt virksomheden køber andre virksomheders data eller køber data fra tredjeparter
5. hvorvidt underleverandører, der anvendes til dataanalyse, har en politik for dataetik
6. de dataetiske rammer for salg af kundedata eller anden data til tredjeparter
7. hvorvidt virksomheden anvender nye teknologier, såsom kunstig intelligens og maskinlæring, i produktudviklingen, til brug for prissætning, afgørelser, beslutninger og lignende
8. hvorvidt virksomheden træner sine algoritmer på et datagrundlag, der er repræsentativt for den gruppe mennesker, der serviceres eller udbydes tjenester til
9. hvorvidt virksomheden har processer for at undgå forudindtagethed (bias)
10. hvordan og i hvilket omfang medarbejderne bliver trænet, testet og evalueret i dataetik
11. hvordan og på hvilket ledelsesmæssigt niveau beslutninger om dataanvendelse og ny teknologi er forankret.

Virksomheden kan med fordel tage udgangspunkt i tildelingskriteriernei den kommende datamærkningsordning eller inddrage branchespecifikke principper for dataetik, hvis sådanne måtte være udformet. Eksempelvis har Forsikring & Pension udviklet dataetiske principper, der sætter rammerne for forsikrings- og pensionsbranchens brug af data.

Endelig kan virksomheden skele til virksomhedsguidens temaside om dataetik. 

Vores rådgivning

Vores specialister rådgiver om alle juridiske aspekter af databeskyttelsesretten og har mange års erfaring med at rådgive om grænsefladerne mellem juridiske krav og dataetik. Vi rådgiver blandt andet om analyse af datastrømme, implementering af databeskyttelse i IT-løsninger og processer (privacy by design) samt databeskyttelse i forbindelse med løsninger baseret på kunstig intelligens.

Hvis du er i tvivl om, hvorvidt og hvordan din virksomhed berøres af det nye lovkrav, kan Kromann Reumert bistå med en nærmere vurdering. Vi bistår også gerne med udarbejdelsen af selve redegørelsen samt udarbejdelsen af en politik for dataetik.