Ny vejledning om lovpligtig redegørelse for dataetik

LOVKRAVET OM REDEGØRELSE FOR POLITIK FOR DATAETIK

Den 26. maj 2020 vedtog Folketinget en ændring af årsregnskabsloven, som betyder, at store virksomheder, som har en politik for dataetik, skal supplere ledelsesberetningen med en redegørelse for virksomhedens politik for dataetik. Redegørelsen skal indeholde oplysninger om virksomhedens arbejde med og politik for dataetiske spørgsmål. Har virksomheden ikke en politik for dataetik, skal ledelsesberetningen indeholde en redegørelse med forklaring af baggrunden herfor. Loven trådte i kraft den 1. juli 2020 og har virkning for regnskabsåret, der begynder den 1. januar 2021 eller senere.

Formålet med reglerne er at give offentligheden et billede af virksomhedens eventuelle politik for dataetik i forbindelse med dataanvendelse, herunder udvikling og brug af kunstig intelligens m.v. Dataetik supplerer og går videre end reglerne om databeskyttelse i databeskyttelsesforordningen og -loven.

Du kan læse mere om lovkravet i vores nyhed her.

DEN NYE VEJLEDNING FRA ERHVERVSSTYRELSEN

Vejledningen er opdelt i følgende emner:

1. Generelt om rapportering og dataetik
2. Hvem er omfattet af lovkravet?
3. Hvem er målgruppen for din rapportering?
4. Hvad skal der redegøres om?
5. Virksomheder, der ikke har en politik for dataetik
6. Hvor skal redegørelsen placeres?
7. På hvilket sprog skal der redegøres?
8. Krav til revisors udtalelse

Afsnittet om indholdet af redegørelsen for virksomhedens dataetiske politik er særligt relevant. Dataetiske politikker vedrører de etiske overvejelser, en virksomhed bør gøre sig i forbindelse med dens ansvarlige brug af data og nye teknologier. Dataetik er relevant for anvendelsen af alle former for data.

Ved politikker for dataetik forstås bredt virksomhedens interne retningslinjer, målsætninger eller andet, der beskriver, hvordan virksomheden arbejder med dataetik.

Det er ikke tilstrækkeligt at oplyse, at virksomheden har en politik for dataetik. Redegørelsen skal indeholde en beskrivelse af indholdet af politikken og en beskrivelse af virksomhedens arbejde med dataetik.

EKSEMPLER PÅ INDHOLDET AF EN DATAETISK POLITIK

Der er ikke fastsat detaljerede krav til redegørelsen, fordi den enkelte virksomhed individuelt og frivilligt beslutter, hvad politikken skal indeholde, og hvordan virksomheden arbejder hermed.

Vejledningen nævner følgende eksempler på emner, som redegørelsen for virksomhedens politik for dataetik kan omfatte:

1. Datatyper, anvendelse og tredjeparter
2. Tredjeparters datapolitik
3. Nye teknologier til bestemte formål
4. Træning af algoritmer og risiko for forudindtagethed (bias)
5. Personalisering af produkter og tjenester
6. Intern kontrol og træning af kompetencer
7. Forankring i organisationen

Læs Erhvervsstyrelsens nye vejledning her.

VORES BISTAND

Hvis I har brug for at drøfte, hvordan I bedst kommer i gang med arbejdet med at udarbejde en politik for dataetik eller selve redegørelsen, er I velkomne til at kontakte os.

Vi rådgiver om alle forhold vedrørende databeskyttelse, herunder grænsefladerne mellem de juridiske krav og dataetikken. Det gælder bl.a. udarbejdelse af datakortlægninger af datastrømme, indbygget databeskyttelse i it-løsninger og processer (privacy by design) samt reglerne for behandling af personoplysninger i forbindelse med løsninger baseret på kunstig intelligens.

Vi bistår også med udarbejdelse af interne retningslinjer, politikker og dataetiske kodekser, ligesom vi har erfaringer med at udarbejde egentlige adfærdskodekser efter databeskyttelsesforordningen, som kan bruges til at gøre de abstrakte databeskyttelsesregler praktisk anvendelige og demonstrere compliance.