Krav om redegørelse for dataetik for de største danske virksomheder indføres i årsregnskabsloven

I årsregnskabsloven indføres et krav om, at de største danske virksomheder skal redegøre for deres politik for dataetik i ledelsesberetningen, hvis de har en sådan politik. Har de omfattede virksomheder ikke en politik for dataetik, skal de offentliggøre en forklaring af baggrunden herfor.

Loven træder i kraft den 1. juli 2020 og har virkning for regnskabsår, der begynder den 1. januar 2021 eller senere.

I november 2018 offentliggjorde en nedsat ekspertgruppe om dataetik deres anbefalinger til regeringen. I deres rapport indgik 9 anbefalinger om dataetik. En af anbefalingerne var at indføre en erklæring i årsrapporten om virksomheders dataetiske politik. Det fremgik af anbefalingen, at “Danmark skal, som det første land i verden, stille krav om, at de største danske virksomheder gør dataetik til en del af deres ledelsesberetning.” Anbefalingen skulle udmøntes ved, at virksomheder i deres ledelsesberetning forpligtes til at redegøre for deres arbejde med dataetik ved at forklare, hvordan de har valgt eller fravalgt et fokus på dataetik i virksomhedens aktiviteter.

En anden anbefaling var at nedsætte et uafhængigt råd for dataetik. Rådet blev nedsat i maj 2019 som Dataetisk Råd. Dataetisk Råd har til opgave at understøtte en ansvarlig og bæredygtig dataanvendelse i erhvervslivet og i den offentlige sektor. Konkret skal Dataetisk Råd bidrage til en åben debat om brugen af nye digitale løsninger, data, kunstig intelligens osv. og de dilemmaer, som de nye teknologiske muligheder rejser.

Det fremgår af kommissoriet for Dataetisk Råd, at dataetik overordnet forstås som “den etiske dimension af forholdet mellem på den ene side teknologi og på den anden side borgernes grundlæggende rettigheder, retssikkerhed og grundlæggende samfundsmæssige værdier, som den teknologiske udvikling giver anledning til at overveje. Begrebet omfatter etiske problemstillinger ved anvendelsen af data. Dataetik omfatter også data, der ikke er personoplysninger. Det kan fx dreje sig om at undgå bias i træningsdata til brug for maskinlæring, om at undgå design for afhængighed eller generelt brug af nye datamuligheder i fx forsikringsbranchen eller om brugen af robotter i kundeserviceafdelingen mm. Fælles for sådanne behandlinger af data er dog, at de i sidste ende ofte kommer til at handle om mennesker.”

Dataetik bygger oven på de regler for virksomheders behandling af personoplysninger, der følger af Europa-Parlamentets og Rådets forordning 2016/679/EU af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) og af lov nr. 502 af 23. maj 2018 om supplerende bestemmelser til forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (databeskyttelsesloven).

Redegørelse for politik for dataetik

Det følger af lovændringen til årsregnskabsloven (lov nr 124 B af 26. maj 2020), at store virksomheder, som har en politik for dataetik, skal supplere ledelsesberetningen med en redegørelse for virksomhedens politik for dataetik. Har virksomheden ikke en politik for dataetik, skal ledelsesberetningen indeholde en redegørelse med forklaring af baggrunden herfor.

Kravet i lovændringen omfatter de virksomheder, som i dag er forpligtet til at supplere ledelsesberetningen med en redegørelse for samfundsansvar, jf. årsregnskabslovens § 99 a. Bestemmelsen vil således omfatte store virksomheder i regnskabsklasse C samt virksomheder i regnskabsklasse D, dvs. virksomheder, som har værdipapirer optaget til handel på et reguleret marked i et EU/EØS-land samt statslige aktieselskaber.

Lovændringen indebærer, at virksomhederne aktivt skal tage stilling til deres arbejde med dataetik, på samme måde som de redegør for deres arbejde med samfundsansvar. Den dataetiske redegørelse i ledelsesberetningen skal skabe åbenhed om virksomhedens dataetiske politik, så blandt andre nuværende og mulige samarbejdspartnere, kunder og investorer kan orientere sig om, hvorvidt den enkelte virksomhed har en politik for dataetik og om indholdet heraf. Redegørelsen skal indeholde oplysninger om virksomhedens arbejde med og politik for dataetiske spørgsmål.

Har virksomheden ikke en politik for dataetik, skal virksomheden oplyse, hvorfor det konkret ikke er relevant for den pågældende virksomhed at have en politik for dataetik. Det kunne for eksempel være, at virksomheden ikke behandler data eller anvender algoritmer til dataanalyse, eller at dette ikke er en integreret del af virksomhedens forretningsstrategi og forretningsaktiviteter.

Undtagelse for dattervirksomheder

For virksomheder der udarbejder koncernregnskab, er det tilstrækkeligt, at oplysningerne gives for koncernen som helhed, hvorved en dattervirksomhed er undtaget fra et selvstændigt krav. En dattervirksomhed, hvis modervirksomhed har medtaget de krævede oplysninger, skal oplyse, at de gør brug af undtagelsen, hvilken modervirksomhed der har medtaget redegørelsen (navn og CVR-nummer), og hvor modervirksomhedens redegørelse er offentliggjort (link til hjemmeside).

Offentliggørelse

Efter samme model, som anvendes for andre redegørelser i henhold til bekendtgørelse nr. 959 af 13. september 2019 om offentliggørelse af en række redegørelser efter årsregnskabsloven, skal Erhvervsstyrelsen fastsætte regler om, at redegørelsen om dataetik ikke skal medtages i ledelsesberetningen, hvis ledelsesberetningen indeholder en henvisning til virksomhedens hjemmeside.

Revisors arbejde

Revisor skal i henhold til årsregnskabslovens § 135, stk. 5 afgive en udtalelse om, hvorvidt oplysningerne i ledelsesberetningen er i overensstemmelse med årsregnskabet og et eventuelt koncernregnskab. Revisors udtalelse om ledelsesberetningen skal med lovændringen omfatte ledelsens redegørelse for dataetik.

Redegørelsens indhold

I bemærkningerne til lovforslaget er det anført, hvilke informationer en redegørelse for virksomhedens dataetik kan indeholde.

En redegørelse for virksomhedens politik for dataetik kan f.eks. omfatte en redegørelse for, hvilke typer af data virksomheden anvender, og hvordan disse data tilvejebringes. Det kan f.eks. være de kunde-, produktions- og adfærdsdata, som virksomheden selv indsamler og anvender, hvorvidt virksomheden anvender data fra eksterne parter såsom sociale medier, køber andre virksomheders data eller køber data fra data brokers, og hvilke dataetiske overvejelser det har givet anledning til. Hvis virksomheden anvender data fra eksterne parter, kan der også redegøres for, om disse eksterne parter har en politik for dataetik. Hvis virksomheden anvender underleverandører til dataanalyse, kan der redegøres for, om disse har en politik for dataetik. Hvis virksomheden selv sælger kundedata eller anden data til tredjepart, kan redegørelsen også indeholde en beskrivelse af dataetiske overvejelser i denne sammenhæng.

En redegørelse kan f.eks. også omfatte en beskrivelse af virksomhedens dataetiske overvejelser, i relation til hvordan og til hvilke formål virksomheden anvender nye teknologier, herunder kunstig intelligens eller maskinlæring i udviklingen og udbuddet af produkter og tjenester, herunder om virksomheden anvender kunstig intelligens til brug for prissætning, optimering af produktion, afgørelser, beslutninger og lignende. Virksomheder kan også, hvis det er relevant, vælge at redegøre for, om virksomheden træner sine algoritmer på et datagrundlag, der er repræsentativt for den gruppe mennesker, der serviceres eller udbydes tjenester til, og om virksomheden har processer for at undgå forudindtagethed.

Hvis virksomheden både anvender egne data og data fra eksterne parter til segmentering og personalisering af virksomhedens produkter og services, kan redegørelsen indeholde beskrivelser af virksomhedens dataetiske overvejelser i relation til segmentering og personalisering, herunder f.eks. de konkrete parametre virksomheden segmenterer og personaliserer på baggrund af.

Redegørelsen kan eksempelvis også beskrive virksomhedens dataetiske politik for, hvordan og i hvilket omfang medarbejdere bliver trænet, testet og evalueret i dataetik og tilhørende dilemmaer samt handlingskompetencer i relation hertil. Redegørelsen kan f.eks. ligeledes omfatte, om der er fastsat processer for, hvordan dataetiske dilemmaer løbende bliver diskuteret i virksomheden.

Redegørelsen kan desuden omfatte en beskrivelse af, hvordan og på hvilket ledelsesmæssige niveau i virksomheden, beslutninger om anvendelse af data og ny teknologi er forankret. Redegørelsen kan endvidere omfatte, om der foretages en løbende evaluering af virksomhedens indsatser og/eller politikker for dataetik.

Lovændringen

• Lovændringen er fremsat den 26. februar 2020 som L 124, forslag til Lov om håndhævelse af Europa-Parlamentets og Rådets forordning 2019/1150/EU af 20. juni 2019 om fremme af retfærdighed og gennemsigtighed for brugere af onlineformidlingstjenester (lov om håndhævelse af P2B-forordningen)
• Lovændringen er vedtaget den 26. maj 2020 som L 124 B, Lov om ændring af årsregnskabsloven.