2 jun. 2020
Nyt lovkrav om redegørelse for politik for dataetik er vedtaget

Nyt lovkrav om redegørelse for politik for dataetik er vedtaget

Af

EY Danmark

EY er en af verdens førende organisationer inden for revision, skat, transaktioner og rådgivning.

2 jun. 2020
Relaterede emner Assurance Cybersecurity

Folketinget har den 26. maj 2020 vedtaget en lovændring til årsregnskabsloven, der indeholder krav om en ny ESG-redegørelse1 i årsrapporten.

I henhold til ændringsloven skal store C- og D-virksomheder, for regnskabsår, der begynder 1. januar 2021 eller senere, redegøre for deres politikker for dataetik i ledelsesberetningen. Kravet er ikke, som de fleste andre krav om ESG-redegørelser i årsregnskabsloven, opstået som følge af et EU-direktiv, men er et rent nationalt krav.

Læs ændringsforslaget i sin helhed.

Formål med redegørelse for politik for dataetik

Formålet med kravet er at skabe fokus på og gennemsigtighed om virksomhedernes arbejde med dataetik, så mulige samarbejdspartnere, kunder og investorer kan danne sig et overblik over, hvorvidt den enkelte virksomhed har politikker for dataetik og indholdet af en sådan politik.

Ved at skabe gennemsigtighed vurderer lovgiver, at ansvarlig dataanvendelse kan blive en konkurrenceparameter for danske virksomheder både nationalt og internationalt.

Kravet om en ESG-redegørelse for dataetik forventes af lovgiver at sætte dataetik på dagsordenen i topledelsen i de store danske virksomheder og dermed at fremme virksomhedernes udvikling af dataansvarlig adfærd.

Kravet er lovmæssigt formuleret efter det såkaldte "følg eller forklar-princip", som også gælder for politikkerne om virksomhedens samfundsansvar. Det betyder, at virksomheden skal redegøre for sine dataetiske politikker, herunder virksomhedens arbejde med og politik for dataetiske spørgsmål.

Hvis virksomheden ikke har implementeret politikker på et givent område, skal ledelsesberetningen indeholde en forklaring om baggrunden herfor.

Hvad er politikker for dataetik?

Begrebet dataetik skal forstås overordnet som forholdet mellem på den ene side teknologi og på den anden side borgernes grundlæggende rettigheder, retssikkerhed og grundlæggende samfundsmæssige værdier, som den teknologiske udvikling giver anledning til at overveje. Det vedrører de etiske overvejelser, som en virksomhed må gøre sig i forbindelse med anvendelse af nye teknologier og den øgede mængde data. Begrebet dataetik omfatter anvendelsen af alle former for data i virksomheden og er ikke begrænset til følsomme personoplysninger (GDPR).

Ved politikker forstås i denne sammenhæng virksomhedens interne retningslinjer og målsætninger, der beskriver, hvordan virksomheden arbejder med dataetik.

Hvad skal redegørelsen indeholde?

Virksomheden skal redegøre for indholdet af politikker for dataetik. Det er ikke tilstrækkeligt at oplyse, at virksomheden har en politik for dataetik.

Ændringsloven tager ikke specifik stilling til, hvad en redegørelse for politik for dataetik skal indeholde, men redegørelsen kunne bl.a. tage stilling til nogle af nedenstående spørgsmål, som fremgår af rapporten "Data i menneskets tjeneste – Anbefalinger fra Ekspertgruppen om dataetik" fra november 2018.

  • Hvordan kan man arbejde med privacy-by-design og dataminimering, når nye produkter udvikles?
  • Hvordan sikrer vi, for at vores anvendelse af data ikke er diskriminerende eller biased over for fx køn, etnicitet eller befolkningsgrupper?
  • Hvordan arbejdes med data på en transparent og åben måde?
  • Hvordan sikrer vi, at data ikke anvendes på en måde, som vildleder brugerne eller skaber afhængighed?
  • Hvordan arbejder vi for, at brugerne får mest mulig værdi ud af de data, vi indsamler?
  • Hvem drager fordele af de beslutninger, vi træffer, for hvem er de en ulempe, og hvem kan utilsigtet udnytte dem?
  • Er der den fornødne diversitet i sammensætningen af vores datafaglige medarbejdere (bl.a. kompetencer, miljø og faglig baggrund)?
  • Hvordan sikrer vi, at vi har de nødvendige kompetencer og er opdateret på relevante dataetiske dilemmaer?
  • Hvordan håndterer tredjeparter de data, som de behandler for os?

Hvor skal redegørelsen gives?

Redegørelsen skal som udgangspunkt præsenteres i virksomhedens ledelsesberetning, jf. en ny bestemmelse i ÅRL § 99 d.

Erhvervsstyrelsen kan dog fastsætte regler om, at der i ledelsesberetningen alene refereres til en redegørelse, der offentliggøres på virksomhedens hjemmeside, som det også gælder fx for samfundsansvar og andre ESG-redegørelser.

Tilsvarende regler for redegørelse for politik for dataetik forventes efterfølgende indarbejdet i redegørelsesbekendtgørelsen til ÅRL.

Udarbejder virksomheden koncernregnskab, skal der ligeledes udarbejdes en koncernredegørelse for dataetik, jf. ÅRL § 128.

Hvis en dattervirksomhed indgår i et koncernregnskab, er det tilstrækkeligt, at redegørelsen om dataetiske forhold gives for koncernen som helhed med henvisning hertil i ledelsesberetningen. Hvis denne mulighed anvendes, skal der angives navn og CVR-nr. på den modervirksomhed, der udarbejder redegørelsen for koncernen.

Hvordan kan EY hjælpe?

Alle virksomheder har og anvender forskellige data, afhængigt af forretningsmodel, digitaliseringsgrad, sektor, størrelse m.v.

Da der allerede skal præsenteres en redegørelse for dataetik for kalenderåret 2021, er det vigtigt, at politikkerne er på plads, så arbejdet kan igangsættes ved indgangen til 2021.

Vi kan rådgive om, hvordan kortlægning af jeres data og dataanvendelse kan ske, herunder om brugen af fx kunstig intelligens eller robotsoftware bør give anledning til etiske overvejelser.

Har du brug for at drøfte, hvilke målsætninger der er relevante, eller hvordan organisationen kommer i gang med at få udarbejdet en politik for dataetik eller spørgsmål til udarbejdelse af selve redegørelsen, er I velkommen til at kontakte os.

Kontakt: Henriette Brandstrup, Cybersecurity & Privacy, Technology Consulting, tlf. 2529 3543

For generelle spørgsmål til kravene til selve redegørelsen, kontakt: Anne Frendrup, tlf. 2529 6124

ESG står for Environment, Social og Governance og dækker bredt over miljø-, sociale og ledelsesmæssige forhold.

Sammendrag

Folketinget har den 26. maj 2020 vedtaget en ændring til årsregnskabsloven, der indeholder krav om en ny redegørelse i årsrapportens ledelsesberetning. Store C- og D-virksomheder skal fremover redegøre for deres politikker for dataetik efter et ”følg eller forklar-princip”. Formålet med kravet er at skabe fokus på og gennemsigtighed om virksomhedernes arbejde med dataetik. Kravet gælder for regnskabsår, der starter 1. januar 2021 eller senere. 

Om denne artikel

Af

EY Danmark

EY er en af verdens førende organisationer inden for revision, skat, transaktioner og rådgivning.

Relaterede emner Assurance Cybersecurity