Vejledningen fokuserer på de virksomheder, der er omfattet af lovkravet om en dataetisk redegørelse i deres årsrapport, men kan anvendes af alle. Vejledningen skal ses som en inspiration til arbejdet med dataetik i virksomhederne og til udformningen af virksomhedernes dataetiske politik, som skal ligge til grund for den dataetiske redegørelse i årsrapporten.

Vejledningens hovedpunkter:

-          Store virksomheder skal have en dataetisk politik og derfor lave en dataetisk redegørelse i tilknytning til ledelsesberetningen. Hvis ikke virksomhederne har en dataetisk politik, skal de redegøre og begrunde hvorfor.

-          Ledelsen skal sørge for etableringen af virksomhedens dataetiske arbejde og sørge for at der tilvejebringes og godkendes en dataetisk politik. Ledelsen bør være ambassadør for, at politikken efterleves i virksomheden. 

-          De personer, som får ansvaret for dataetikken skal identificere og kortlægge, hvad der skal være omfattet af det dataetiske arbejde. De skal sørge for udarbejdelsen af den dataetiske politik, som skal guide virksomhedens anvendelse af data. De skal sørge for at politikken godkendes af ledelsen og inddrages i rapporteringen i den dataetiske redegørelse. Revisoren skal ligeledes forholde sig til politikken.

-          De personer, som får ansvaret for datatikken skal identificere bør sikre at politikken bliver udbredt, anvendt og lever i organisationen, og bliver designet ind i databehandlingen. De bør sikre at der er et godt samspil med organisationens øvrige tiltag som eks. det persondataretlige område. Og de bør sikre at der udarbejdes kontroller til arbejdet med dataetik, så politikken efterleves og resultaterne dokumenteres.

Er du i tvivl om, hvad redegørelsen skal indeholde? Få en oversigt over muligt indhold.

Redegørelsen kan bl.a. indeholde:

·         Datatyper og behandlinger – Er der datatyper eller behandlinger virksomheden vælger ikke at behandle/foretage af dataetiske hensyn. Er der datatyper eller behandlinger virksomheden alene vil foretage til bestemte formål?

·         Tredjeparter og tredjeparters datapolitik - Stiller virksomheden særlige krav til samarbejdspartneres dataetiske retningslinjer og er der typer af tredjeparter der fravælges på baggrund af dataetiske overvejelser i forhold til eksempelvis tredjepartens geografiske placering, datapolitik, øvrige aktiviteter etc?

·         Nye teknologier til bestemte formål – Stiller virksomheden særlige krav til en dataetisk vurdering inden implementeringen af nye databehandlingsteknologier eller før nye databehandlinger eller behandlinger af data til nye formål iværksættes?

·         Træning af algoritmer og risiko for forudindtagethed - Stiller virksomheden særlige krav til anvendelsen og udviklingen af algoritmer og hvilke sikkerhedsforanstaltninger er etableret for at undgå, at der opstår risiko for systemmæssig forudindtagethed?

·          Personalisering af produkter og tjenester - Hvilke værdier er centrale i forhold til anvendelsen af personalisering af produkter og tjenester. Hvordan indgår transparens i disse aktiviteter?

·         Intern kontrol og træning - Hvordan sikrer virksomheden, at alle medarbejdere har indsigt i virksomhedens dataetiske retningslinjer og forstår at anvende dem i praksis?

·         Forankring i organisationen - Hvordan har virksomheden valgt at forankre dataetik i organisationen, og hvordan er kommandovejene for dataetiske spørgsmål og beslutninger?

Redegørelsen skal placeres i ledelsesberetningen eller på virksomhedens hjemmeside. Revisor skal foretage et konsistenstjek, som uddybet nedenfor i afsnittet, ”Krav til revisors udtalelse”.