Vejledning om lovpligtig redegørelse for dataetik

De største danske virksomheder skal i forbindelse med deres årsrapport redegøre for virksomhedens politik for dataetik, såfremt virksomheden har en politik for dataetik. Hvis virksomheden ikke har en sådan politik, skal virksomheden forklare hvorfor. Der er således tale om anvendelse af det velkendte følg-eller-forklar princip, som også kendes fra blandt andet reglerne om redegørelse for samfundsansvar. 

Formålet med reglerne er at give regnskabsbrugerne et billede af virksomhedens eventuelle politik for dataetik i forbindelse med dataanvendelse, herunder udvikling og brug af kunstig intelligens m.v. 

Privatliv og databeskyttelse er fundamentelle rettigheder, som bl.a. fremgår af FN’s menneskerettighedserklæring, og retten til databeskyttelse er anerkendt som en grundlæggende rettighed i EU’s charter om grundlæggende rettigheder.

Dataetik er blevet et vigtigt emne i takt med den digitale udvikling, som indebærer, at data fylder mere og mere i virksomheders forretningsmodeller og dermed, at virksomhederne i stigende omfang anvender data.

Med kravet om redegørelse for dataetik vil virksomhederne aktivt skulle tage stilling til deres ansvar for og arbejde med dataetik efter samme model, som de virksomheder, der skal rapportere om deres arbejde med samfundsansvar. Reglerne om redegørelse for dataetik skal være med til at skabe åbenhed om og incitament til, at virksomhederne tager højde for de etiske overvejelser, der følger af deres brug af data. Reglerne indebærer således, at både nuværende og mulige samarbejdspartnere, kunder, investorer m.fl. kan orientere sig om, hvorvidt den enkelte virksomhed har en politik for dataetik og i givet fald om indholdet heri.

Reglerne om redegørelse for politik for dataetik bygger på en høj grad af fleksibilitet, hvilket bl.a. indebærer, at det er op til de omfattede virksomheder, om de ønsker at have en politik for dataetik og i bekræftende fald, hvad indholdet af en sådan politik skal være. Virksomheder, der ikke ønsker en politik for dataetik eller endnu ikke har udarbejdet en sådan, har alene pligt til i ledelsesberetningen at oplyse om baggrunden for, at de ikke har en politik for dataetik. Reglerne om redegørelse for dataetik findes i årsregnskabsloven § 99 d. 

Begrebet dataetik er ikke et entydigt begreb, og årsregnskabsloven indeholder ikke en definition af begrebet. 

Det fremgår af kommissoriet for Dataetisk Råd, at: 

Dataetik vedrører således de etiske overvejelser, som den enkelte virksomhed bør gøre sig i forbindelse med ansvarlig brug af data og nye teknologier. Dataetik er relevant for anvendelsen af alle former for data. 

Dataetik går videre end gældende krav til data- og privatlivsbeskyttelse i snæver forstand, herunder reglerne om virksomheders behandling af personoplysninger, der følger af Europa-Parlamentets og Rådets forordning 2016/679/EU af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) og af lov nr. 502 af 23. maj 2018 om supplerende bestemmelser til forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (databeskyttelsesloven).

Det er med andre ord ikke virksomhedens overvejelser i relation til gældende regler om data- og privatlivsbeskyttelse, der skal beskrives i virksomhedens redegørelse for dataetik. Reglerne om redegørelse for dataetik er derimod et supplement til allerede gældende regler og handler om virksomhedens etiske overvejelser i forhold til, hvordan virksomhedens dataanvendelse, udvikling og brug af kunstig intelligens m.v. påvirker vores samfund. Kravet om, at virksomheder skal redegøre for deres politik for dataetik, kan ses i forlængelse af årsregnskabslovens øvrige krav til ikke-finansielle redegørelser i ledelsesberetningen og handler om at skabe gennemsigtighed og om at sætte dataetik på dagsordenen i de største danske virksomheder. 

Kravet bygger på samme overordnede principper som rapportering om samfundsansvar. Kravet skal være med til at skabe opmærksomhed om emnet ved at virksomhederne aktivt skal tage stilling til spørgsmål om dataetik og virksomhedens arbejde hermed, herunder tage aktivt stilling til valget eller fravalget af en politik.

Man kan finde inspiration til, hvordan ens virksomhed kan arbejde med dataetik, og hvilke spørgsmål man kan stille sig i forbindelse med arbejdet på virksomhedsguiden.dk.

De største danske virksomheder i Danmark er forpligtet til at redegøre for deres valg eller fravalg af dataetiske politikker i årsrapporten for regnskabsår, der begynder den 1. januar 2021 eller senere.

Folketinget vedtog i 2020 en ændring til årsregnskabsloven, der betyder, at de største danske virksomheder, som en del af ledelsesberetningen enten skal: 

• Redegøre for deres politik for dataetik, eller
• Redegøre for baggrunden for at virksomheden ikke har en politik for dataetik.

De nye regler stiller altså ikke krav om, at de omfattede virksomheder skal have en politik for dataetik.
Reglerne om redegørelse for dataetik er indsat i årsregnskabslovens § 99 d og har virkning for regnskabsår, der begynder den 1. januar 2021 eller senere.

Finansielle virksomheder er ikke omfattet af årsregnskabsloven og er derfor heller ikke omfattet af denne vejledning. Finanstilsynet har foretaget ændringer i bekendtgørelse om finansielle rapporter for kreditinstitutter og fondsmæglerselskaber m.fl. samt bekendtgørelse om finansielle rapporter for forsikringsselskaber og tværgående pensionskasser. Ændringerne indebærer, at finansielle virksomheder med mere end 500 ansatte, børsnoterede finansielle virksomheder samt virksomheder, der driver livsforsikringsvirksomhed, samt sådanne virksomheders holdingvirksomheder omfattes af et krav om at redegøre for virksomhedens politik for dataetik.

Kravet svarer til § 99 d i årsregnskabsloven.

Oplysningskravet i § 99 d omfatter store virksomheder omfattet af regnskabsklasse C og virksomheder omfattet af regnskabsklasse D. 

Store virksomheder omfattet af regnskabsklasse C er virksomheder, som i to på hinanden følgende regnskabsår, overskrider mindst to af nedenstående tre størrelsesgrænser:

• En balancesum på 156 mio. kr.,
• En nettoomsætning på 313 mio. kr. og
• Et gennemsnitligt antal heltidsbeskæftigede i løbet af regnskabsåret på 250.

Disse tre størrelsesgrænser gælder for den enkelte virksomhed, ikke for hele koncernen. De oplyste størrelsesgrænser følger af årsregnskabsloven § 7. 

Regnskabsklasse D omfatter børsnoterede virksomheder og statslige aktieselskaber uanset disses størrelse.

Årsregnskabslovens § 99 d indeholder visse undtagelser til reglerne om redegørelse for dataetiske politikker for virksomheder, der indgår i en koncern.

En modervirksomhed kan således undlade at give redegørelsen for politikker om dataetik i sit eget årsregnskab, hvis modervirksomheden udarbejder koncernregnskab og heri giver redegørelsen for koncernen som helhed. Det følger af § 99 d, stk. 2.

Dattervirksomheder er fritaget for at redegøre for politikker om dataetik, hvis modervirksomheden oplyser om dataetiske politikker for hele koncernen. Redegørelsen skal dække samme periode som regnskabsperioden. Redegørelsen kan gives af den umiddelbart overliggende modervirksomhed eller en højereliggende modervirksomhed. En dattervirksomhed, der anvender denne mulighed, skal i sin ledelsesberetning oplyse navn og CVR-nummer på den modervirksomhed, der har offentliggjort redegørelsen, Hvis modervirksomheden har offentliggjort redegørelsen for koncernens dataetiske politik på virksomhedens hjemmeside, skal dattervirksomheden udover at angive hvilken modervirksomhed, der har medtaget redegørelsen, indsætte et link til den hjemmeside, hvor redegørelsen er offentliggjort. Med en sådan henvisning i dattervirksomhedens ledelsesberetning får regnskabsbrugeren oplyst, hvor redegørelsen kan findes. Det følger af § 99 d, stk. 3 og bemærkningerne til bestemmelsen.

Et af de overordnede formål med årsregnskabsloven er at give regnskabsbrugere, dvs. virksomhedens samhandelspartnere, investorer, medarbejdere, aktionærer, forbrugere, civilsamfundet, offentlige myndigheder m.fl., mulighed for at bedømme virksomhedens økonomiske stilling og resultat. 

Redegørelsen for virksomhedens dataetiske politik hører til i gruppen af såkaldte ikke-finansielle redegørelser i årsrapporten – ligesom f.eks. redegørelsen for samfundsansvar. Redegørelsen for dataetik skal som nævnt være med til at give et helhedsbillede af virksomheden.

Med kravet om redegørelse for dataetik skal virksomhederne aktivt tage stilling til deres ansvar for og arbejde med dataetik efter samme model, som de virksomheder, der skal rapportere om deres arbejde med samfundsansvar. Reglerne om redegørelse for dataetik skal være med til at skabe åbenhed om og incitament til, at virksomhederne tager højde for de etiske overvejelser, der følger af deres brug af data. 

Reglerne om rapportering af virksomhedens dataetiske politik skal også ses i lyset af årsregnskabsloven § 12, som indeholder et generelt krav om, at en virksomheds årsrapport skal udarbejdes med henblik på at støtte regnskabsbrugerne i deres økonomiske beslutninger. 
Forskellige virksomheder har forskellige regnskabsbrugere og dermed også forskellige målgrupper for deres rapportering. Reglerne er udformet, så virksomheder, der har en politik for dataetik, skal redegøre for deres arbejde med og deres politik for dataetik. Virksomheder, der ikke har en politik for dataetik, skal redegøre for baggrunden for, at de ikke har en politik. Herudover indeholder reglerne nogle få krav til redegørelsens form og offentliggørelsesmåde.  

Virksomhederne har derudover stor frihed i valg af sin kommunikationsform. Kommunikationen af virksomhedens arbejde med dataetik kan derfor målrettes mod de vigtigste interessenter. Der kan f.eks. være forskelle i kommunikationen, afhængigt af, om virksomheden primært kommunikerer til professionelle investorer eller medarbejdere.

Dataetiske politikker vedrører de etiske overvejelser, en virksomhed bør gøre sig i forbindelse med dens ansvarlige brug af data og nye teknologier. Dataetik er relevant for anvendelsen af alle former for data.

De virksomheder, der er omfattet af kravet, skal supplere ledelsesberetningen med en redegørelse for virksomhedens politik for dataetik efter følg-eller-forklar-princippet, der kendes fra bl.a. reglerne om virksomhedernes redegørelser for samfundsansvar i årsregnskabslovens § 99 a. Der er således ikke krav om, at de omfattede virksomheder skal have en politik for dataetik, men hvis virksomheden har en dataetisk politik, skal der redegøres for denne. Har virksomheden derimod ikke en politik for dataetik, skal virksomheden i sin ledelsesberetning forklare baggrunden herfor. 

Ved politikker for dataetik forstås bredt virksomhedens interne retningslinjer, målsætninger eller andet, der beskriver, hvordan virksomheden arbejder med dataetik. Det er således ikke afgørende, hvilken benævnelse virksomheden har valgt at give politikken. Politikken behøver ikke være formuleret i et skriftligt dokument i virksomheden - der kan ligeledes være tale om en mundtligt formuleret politik.

Det er ikke tilstrækkeligt at oplyse, at virksomheden har en politik for dataetik. Redegørelsen skal indeholde en beskrivelse af indholdet af politikken og en beskrivelse af virksomhedens arbejde med dataetik.

Der er ikke fastsat detaljerede krav til redegørelsen, fordi den enkelte virksomhed individuelt og frivilligt beslutter, hvad politikken skal indeholde, og hvordan virksomheden arbejder hermed.

En redegørelse for virksomhedens politik for dataetik kan f.eks. omfatte et eller flere af følgende emner. 

Datatyper, anvendelse og tredjeparter

Der kan redegøres for, hvilke typer af data virksomheden anvender, og hvordan disse data tilvejebringes. 

Det kan f.eks. være de kunde-, produktions- og adfærdsdata, som virksomheden selv indsamler og anvender, hvorvidt virksomheden anvender data fra eksterne parter såsom sociale medier, køber andre virksomheders data eller køber data fra data brokers, og hvilke dataetiske overvejelser det har givet anledning til. 

Tredjeparters datapolitik

Hvis virksomheden anvender data fra eksterne parter, kan virksomheden f.eks. redegøre for, om disse eksterne parter har en politik for dataetik. 

Hvis virksomheden anvender underleverandører til dataanalyse, kan virksomheden redegøre for, om disse har en politik for dataetik. 

Hvis virksomheden selv sælger kundedata eller anden data til tredjepart, kan redegørelsen indeholde en beskrivelse af dataetiske overvejelser i denne sammenhæng.

Nye teknologier til bestemte formål

En redegørelse kan f.eks.  omfatte en beskrivelse af virksomhedens dataetiske overvejelser, i relation til hvordan og til hvilke formål virksomheden anvender nye teknologier, herunder kunstig intelligens eller maskinlæring i udviklingen og udbuddet af produkter og tjenester, herunder om virksomheden anvender kunstig intelligens til brug for prissætning, optimering af produktion, afgørelser, beslutninger og lignende. 

Træning af algoritmer og risiko for forudindtagethed (bias)

Virksomheder kan, hvis det er relevant, vælge at redegøre for, om virksomheden træner sine algoritmer på et datagrundlag, der er repræsentativt for den gruppe mennesker, der serviceres eller udbydes tjenester til, og om virksomheden har processer for at undgå forudindtagethed. 

Personalisering af produkter og tjenester

Hvis virksomheden både anvender egne data og data fra eksterne parter til segmentering og personalisering af virksomhedens produkter og tjenester, kan redegørelsen indeholde beskrivelser af virksomhedens dataetiske overvejelser i relation til segmentering og personalisering, herunder f.eks. de konkrete parametre virksomheden segmenterer og personaliserer på baggrund af.

Intern kontrol og træning af kompetencer

Redegørelsen kan eksempelvis beskrive virksomhedens dataetiske politik for, hvordan og i hvilket omfang medarbejdere bliver trænet, testet og evalueret i dataetik og tilhørende dilemmaer samt handlingskompetencer i relation hertil. I redegørelsen kan det f.eks. ligeledes beskrives, om der er fastsat processer for, hvordan dataetiske dilemmaer løbende bliver diskuteret i virksomheden. 

Forankring i organisationen

Redegørelsen kan omfatte en beskrivelse af, hvordan og på hvilket ledelsesmæssige niveau i virksomheden, beslutninger om anvendelse af data og ny teknologi er forankret. Redegørelsen kan endvidere omfatte, om der foretages en løbende evaluering af virksomhedens indsatser og/eller politikker for dataetik.

På virksomhedsguidens temaside om dataetik finder du en række konkrete eksempler på virksomheder, der fortæller om deres arbejde med dataetik. Du finder også en beskrivelse af, hvad dataetik er, og hvordan jeres virksomhed kan komme i gang med f.eks. at udarbejde dataetiske retningslinjer eller en politik for dataetik.

På virksomhedsguidens temaside om dataetik vil der løbende blive tilføjet nyt indhold og henvisninger til andre dataetiske tiltag. Temasiden om dataetik vil således kunne tjene som inspiration i virksomhedens arbejde med dataetik.

Følg-eller-forklar princippet i årsregnskabsloven § 99 d indebærer, at virksomhederne aktivt skal tage stilling til, om de ønsker at have en politik for dataetik. 

Hvis en virksomhed ikke har en politik for dataetik, skal den oplyse om det i ledelsesberetningen og forklare baggrunden herfor, jf. § 99 d, stk. 1, 3. pkt. Det er altså ikke tilstrækkeligt til at opfylde oplysningskravet, hvis en virksomhed blot skriver, at den ikke har en politik for dataetik.  Virksomhedens beskrivelse af, hvorfor den ikke har en politik for dataetik, skal sammen med de øvrige dele af årsrapporten støtte regnskabsbrugerne i deres økonomiske dispositioner i forhold til virksomheden.

Virksomheder, der har en politik for dataetik, skal supplere ledelsesberetningen med en redegørelse for dataetik. Virksomheder, der ikke har en politik for dataetik, skal forklare baggrunden herfor i ledelsesberetningen.  

Udgangspunktet er altså, at redegørelsen skal gives i selve ledelsesberetningen. 

En virksomhed har dog mulighed for i stedet for at give redegørelsen på virksomhedens hjemmeside. 

Virksomheder, der anvender denne mulighed, skal i ledelsesberetningen henvise til hjemmesiden, jf. § 99 d, stk. 4. Uanset om virksomheden vælger at offentliggøre redegørelsen for virksomhedens politik for dataetik på virksomhedens hjemmeside, anses redegørelsen for at udgøre en del af ledelsesberetningen. Hvis redegørelsen offentliggøres på en hjemmeside, skal der være et link i ledelsesberetningen til redegørelsen, så regnskabsbrugerne let kan finde den. Redegørelsen skal være tilgængelig på hjemmesiden senest på det tidspunkt, hvor årsrapporten er tilgængelig for offentligheden og skal dække den samme regnskabsperiode.

Redegørelsen for virksomhedens politik om dataetik skal offentliggøres samlet, dvs. at der skal formidles et sammenhængende billede til regnskabsbrugerne. Man kan vælge at strukturere redegørelsen i flere sektioner mhp. at lette læsningen for regnskabsbrugerne.

Redegørelsen for dataetik skal kunne adskilles fra de øvrige ikke-finansielle redegørelser. Dette kan f.eks. gøres ved at indsætte en overskrift, der benævnes ”Redegørelse for dataetik”.

Hvis den samlede redegørelse for dataetik offentliggøres på virksomhedens hjemmeside, er der ikke noget i vejen for, at virksomheden i sin ledelsesberetning medtager et kort resumé af redegørelsen, men det skal herudover fremgå af ledelsesberetningen, at den samlede redegørelse er offentliggjort på virksomhedens hjemmeside, og der skal være et direkte link hertil.

Det er ledelsens ansvar, at oplysningerne og offentliggørelse heraf er i overensstemmelse med lovgivningens krav. Det gælder uanset, hvilken offentliggørelsesmåde virksomheden vælger.

Virksomheden skal være opmærksom på, hvorvidt oplysningerne i redegørelsen er omfattet af børsretlige regler, som kan betyde, at der stilles særlige krav til, hvor oplysningerne skal være tilgængelige.

Erhvervsstyrelsen fastsætter nærmere regler om offentliggørelse af redegørelser for dataetik i bekendtgørelse om offentliggørelse af en række redegørelser efter årsregnskabsloven. 

Redegørelsen skal være på samme sprog som de øvrige dele af årsrapporten, det vil sige på dansk eller engelsk. 

Redegørelsen for politik for dataetik skal udarbejdes på samme sprog som de øvrige dele af årsrapporten. Det gælder uanset, om redegørelsen gives i ledelsesberetningen eller på virksomhedens hjemmeside.

Kravene til årsrapportens sprog fremgår af årsregnskabsloven § 138, stk. 3.

Revisor skal i henhold til årsregnskabslovens § 135, stk. 5, afgive en udtalelse om, hvorvidt oplysningerne i ledelsesberetningen er i overensstemmelse med årsregnskabet og et eventuelt koncernregnskab.

I henhold til årsregnskabsloven § 135 stk. 5, skal revisor afgive en udtalelse om, hvorvidt oplysningerne i ledelsesberetningen er i overensstemmelse med årsregnskabet og et eventuelt koncernregnskab. Revisor skal foretage et såkaldt ”konsistenstjek”. 

Revisors konsistenstjek omfatter ledelsens redegørelse for virksomhedens dataetiske politik, der er en del af ledelsesberetningen, uanset om redegørelsen er placeret i ledelsesberetningen eller på virksomhedens hjemmeside via en henvisning hertil i ledelsesberetningen. 

Revisors udtalelse skal bl.a. omfatte en beskrivelse af eventuelle væsentlige fejl og mangler i ledelsesberetningen, som revisor måtte blive opmærksom på ved en gennemlæsning af ledelsesberetningen. Mangler kan bestå i, at der savnes en eller flere oplysninger, som lovgivningen kræver. Fejl kan bestå i, at de lovkrævede oplysninger ikke er givet på korrekt vis. 

Det forudsættes, at revisor har kendskab til det regelgrundlag, der regulerer ledelsesberetningen. Revisor skal således gennemlæse ledelsesberetningen og 

• sammenholde oplysningerne heri med oplysningerne i årsregnskabet og et eventuelt koncernregnskab og udtale sig om eventuelle uoverensstemmelser,
• sammenholde oplysningerne heri med den viden og de forhold, revisor er blevet bekendt med i forbindelse med sin revision af regnskabet, og udtale sig om eventuelle uoverensstemmelser
• ud fra sin viden om regelgrundlaget tage stilling til, om der er fejl eller mangler i ledelsesberetningen. 

Erhvervsstyrelsen vil i bekendtgørelse om offentliggørelse af en række redegørelser efter årsregnskabsloven fastsætte nærmere regler om revisors særlige pligter, når virksomheden vælger at offentliggøre sin redegørelse for dataetik på virksomhedens hjemmeside.  

Redegørelsen for dataetik skal ikke revideres, medmindre virksomheden selv vælger at lade redegørelsen revidere. Revisor skal derimod som nævnt i afsnit 8.1. foretage et konsistenstjek af den lovpligtige redegørelse.