– Forfattet af Steffen Löfvall

I de kommende år vil dataetik blive et tema, som mange danske virksomheder kommer til at forholde sig til. Enten har virksomheden en størrelse, så den skal overholde de seneste lovkrav om en dataetisk politik i årsrapporten eller også vil virksomheden blive tvunget til at forholde sig til dens etik, fordi investorer, långivere, medarbejdere og kunder i stigende grad vil forvente en bevidst og ansvarlig brug af data. GDPR, ESG-mål, informations- og it-sikkerhedspolitikker vil ikke være nok i den sammenhæng.

I artiklen vil jeg kort skitsere nogle observationer og overvejelser om dataetik. Artiklen bygger dels på min deltagelse som analytiker i en større dataetisk medlemsundersøgelse gennemført i perioden 2021-22, dels en række samtaler om dataetik med økonomichefer og jurister i danske virksomheder.

 I artiklen fokuserer jeg på følgende syv læringspointer:

1. Dataetik bliver gradvist implementeret i erhvervslivet ud fra forskellige bevæggrunde
2. Virksomheder har forskellige strategitilgange til dataetik
3. Dataetik og GDPR er ikke det samme, men de læner sig op ad hinanden
4. Der er tillid til, at danske virksomheder opfører sig ordentligt, men tilliden er ikke ubetinget
5. Der er behov for nye stillingskategorier og kompetencer i forbindelse med dataetik
6. Det nuværende og ønskede dataetiske kompetenceniveau kan med fordel afdækkes
7. Hvis dataetik er relevant, så er der behov for at igangsætte drøftelse flere steder i organisationen

1 – Du skal nok regne med, at dataetikken gradvist vil blive implementeret i dansk erhvervsliv

I 2021 blev det et lovkrav, at alle større danske virksomheder skal supplere deres årlige ledelsesberetning med en politik for dataetik. Forud for loven havde flere dataetiske arbejdsgrupper og råd leveret argumenter og anbefalinger om at styrke den dataetiske indsats. Indsatsen skulle være bred med bl.a. en styrkelse af Dataetisk Råd, udvikling af guides og afklaringsredskaber samt forsknings- og formidlingsprojekter. To af de væsentlige aktører p.t. er Dataetisk Råd og det bredt funderede forskningsprojekt ADD – Algoritmer, Data & Demokrati. Erhvervsstyrelsen, Rådet for Digital Sikkerhed, Finansforbundet, Djøf, IDA og Forbrugerrådet Tænk har også gennemført større og mindre undersøgelser af området.

Set i lyset af, at samfundet bliver gennemdigitaliseret, at der er mange nye anvendelsesmuligheder i digital teknologi (måske især kunstig intelligens) og vi fortsat ser eksempler på misbrug af personfølsom data og lovgivningen typiske halter efter den teknologiske udvikling – så var der institutionelt behov for, at den kreative brug af data tæmmes med sund fornuft og etik. Forvaltningen af data og teknologi kan ikke alene overlades til lovgivende myndigheder, borgernes teknologivalg, innovative virksomheder og markedskræfterne generelt. Etikken skal også have en legitim rolle.

I 2021 var de fleste større virksomheder således optaget af at få formuleret den dataetiske politik til årsregnskabet. Enkelte var allerede gået proaktivt i gang med politikarbejdet i 2019-20, hvorfor de internt var hurtigere klar til at gå skridtet videre med at omsætte politikken i praktiske guidelines og daglige tekniske designvalg. Således ser vi i dag en lille kreds af virksomhederne, der er nået ganske langt i at forankre et dataetisk mindset og metodeapparat i deres organisationer.

Spørgsmålet er, hvorvidt de mindre danske virksomheder også vil skulle forholde sig til dataetiske krav og forventninger. I dag overholder de på bedste beskub den gældende datalovgivning, særligt persondataforordningen, men der kan være flere forhold, som kan betyde, at de enten frivilligt eller efter pres fra eksterne interessenter vil beskæftige sig med emnet.

For det første vil nogen opleve, at de kan styrke deres legitimitet overfor fx investorer og bankforbindelser ved at have en tydelig og bredspektret datapolitik. Alt andet lige er en virksomhed med en reflekteret tilgang til data et mere attraktiv papir end en virksomhed med en lemfældig tilgang.

For det andet vil nogen opfatte det grundlæggende budskab i dataetikken – fx ansvarlighed, værdighed, selvbestemmelse, lighed, frihed og gennemsigtighed i dataadfærden – som en bestyrkelse eller forlængelse af virksomhedens nuværende kulturelle kerneværdier. Det vil således være helt oplagt at indoptage dataetik i værdisættet.

For det tredje vil nogen se dataetikken som en konkurrencemæssig mulighed eller trussel på linje med andre regulative forhold, hvorfor de vil beskæftige sig med etik med konkurrence for øje.

Endelig vil de virksomheder, der i dag beskæftiger sig med kunstig intelligens, på et tidspunkt skulle forholde sig til de kommende EU-regler og guidelines om kunstig intelligens. Disse er på flere områder i god tråd med den nuværende tænkning om dataetik.

Idé: Du kan allerede nu begynde at reflektere over og drøfte med dine kolleger, hvilke drivers der vil bevæge din virksomhed ind i det dataetiske felt. Før eller siden vil det nok blive en dagsorden, som I må forholde jer til.

2 – Du skal vide, at danske virksomheder har forskellig dataetiske strategitilgange

I en undersøgelse af 1194 danske virksomheders dataetiske arbejde (Erhvervsstyrelsen, 2020) konkluderes det, at danske virksomheder i stort omfang er orienteret mod dataetik, men mange ønsker mere information om emnet. Ikke overraskende finder vi de mest dataetisk orienterede virksomheder inden for finans, information og kommunikation. De mindst dataetisk orienterede virksomheder findes inden for handel og service.

Ved en nærmere tekstanalyse af de dataetiske politikker i 2021-årsregnskaberne ses et generelt fokus på, at virksomheden vil overholde datalovgivningen, at datasikkerhed vægtes højt og opbevaringen og anvendelsen af kundedata foregår ansvarligt. Hertil anvender og refererer flere til Dataetisk Råds dataetiske værdisæt.

Lovkravet om dataetik er p.t. udelukkende dansk. Tilsvarende krav findes ikke i andre lande eller i EU-regi endnu. Det giver naturligvis nogle overvejelser blandt de danske virksomheder med udenlandske datterselskaber. Skal dataetikken omfavne hele eller dele af koncernfællesskabet? Det samme gælder udenlandske koncerner med større danske datterselskaber.

De fleste virksomheder synes at have en pragmatisk strategitilgang til dataetik. De udarbejder en overordnet politik, så de overholder lovkravet, men så heller ikke mere. Mindre virksomhedskreds ser lovkravet som en god anledning til at iværksætte en intern drøftelse af, hvilke værdier og principper der skal præge brugen af data og it. En gruppe af disse virksomheder mener også, at dataetik måske bliver en fremtidig konkurrenceparameter. Etikken kan fungere en identitetsmarkør i rekrutteringen af medarbejdere, der har klare forventninger til virksomheders sociale og digitale ansvarlighed.

Idé: Du kan overveje, om din virksomhed har en proaktiv eller reaktiv strategi i relation til implementering af sådanne kravstyrede emner og om opgaven italesættes med begejstring som en kærkommen anledning til udvikling.

3 – Du skal vide, at dataetik og GDPR ikke er det samme, men læner sig op ad hinanden

Dataetik er et nyt fænomen i erhvervslivet. Derfor er det de færreste, der præcist ved, hvad dataetik dækker over. De fleste, som har hørt om dataetik, forbinder det med GDPR. Dataetik og GDPR er ikke det samme, men områder som læner sig op ad hinanden.

Ifølge Dataetisk Råd (2021) kan dataetik forstås som den etiske dimension af forholdet mellem på den ene side teknologianvendelse og -muligheder og på den anden side borgernes grundlæggende rettigheder, retssikkerhed og værdier. Dataetik handler om opfattelser vedrørende acceptabel omgang med data. Når opfattelserne omsættes i dataetiske principper og politikker, bliver de styrende for, hvad man kan tillade sig at gøre med data.

Databeskyttelsesloven og Persondataforordningen indeholder et regelsæt, der regulerer håndteringen af persondata. Overordnet set skal håndteringen af personoplysninger være lovlig, rimelig og gennemsigtig. Hvad angår rimeligheds- og ansvarlighedskravet er det op til den enkelte dataansvarlige og databehandler at skønne, hvad der synes rimeligt og ansvarligt i den specifikke situation. I de situationer, hvor der er plads for individuelle fortolkninger ift. forordningen, kan dataetikken fungerer som en rettesnor for at træffe ansvarlige beslutninger.

Idé: Du kan overveje, om virksomheden (både dig selv og kolleger) forstår dataetik som et ekstrakomponent i GDPR-arbejdet og handler derefter. Eller om den adskiller begreberne og undersøger, hvad det giver af anderledes forankringsmuligheder.

4 – Du skal vide, at der er en udbredt tillid til, at danske virksomheder opfører sig ordentligt – tilliden bygger på en dansk “samfundskontrakt” og sund skepsis

De fleste virksomheders opmærksomhed er vendt mod ansvarlig håndtering af kundedata, hvilket er en konsekvens af det tidligere arbejde med at udmønte Persondataforordningen i praksis. I mindre udstrækning har fokus været rettet mod anvendelsen af medarbejderdata. Listen over potentielle kunde- og medarbejderdata, der måske registreres og anvendes i virksomheder, er lang. Det kan bl.a. vedrøre data om digital adfærd, performance, sundhed, personlighedstræk og officielle personlige holdninger:

• Kundetransaktionsdata og afvigende mønstre
• Logning af medarbejdernes systemopslag
• Medarbejderes økonomi- og forbrugsdata
• Lydoptagelse af kundetelefonsamtaler
• Lagring af skriftlig kundekorrespondance
• Lokationslogning (personalekort, biler og telefoner)
• Personlige ytringer på sociale medier
• Medarbejderdata fra rekrutteringsproces (personligheds- og intelligensdata)
• Logning af computer-, tablet- og/eller telefonbrug
• Sundhedsdata, trivsels- og arbejdsmiljødata

I det danske erhvervsliv er der en generelt stor gensidig tillid mellem arbejdsgiver- og arbejdstagersiden til, at data indsamles og anvendes ansvarligt. Samtidig er der en bred accept af, at der er behov for at opsamle og analysere både kunde- og medarbejderdata for at kunne honorere forskellige interessentbehov og ønsker. Tilliden er i høj grad opbygget gennem mange år, og den bygger på det tætte samarbejde og forhandlinger mellem arbejdsmarkedets parter. Måske kan tilliden også ses i lyset af den generelt høje tillid i det danske samfund, som er dokumenteret i en række internationale studier af tillid, ledelse og samarbejde.

Der findes mange eksempler på, at kunde- og medarbejderdata bruges konstruktivt. Kundedata anvendes til bl.a. at optimere kundeservicen og overvåge potentiel svindel, medarbejderdata bruges til at rekruttere den rette, styrke trivslen mv. Et par nye danske undersøgelser peger på, at der er en sammenhæng mellem kendskabsniveau og holdning til dataindsamling og -behandling: Jo større kendskab, jo mere positiv holdning til brugen af data.

Trods tilliden spores der naturligvis en sund skepsis blandt både ledere og medarbejdere over, hvorvidt data i visse tilfælde bevidst eller ubevidst indsamles og anvendes uden samtykke og til formål, der ikke er aftalt på forhånd. Her er nogle eksempler fra de danske dagblade, der udtrykker bekymringen om bl.a. overvågning af medarbejdere og kunder som følge af digitaliseringen, successivt de nemmere dataindsamlings- og bearbejdningsmuligheder:

• Computerworld.dk: “Medarbejderovervågning breder sig: Din computer tager billeder af dig, mens du arbejder” (12.09.2022)
• Politiken.dk: “Hver femte føler sig overvåget på jobbet: Ansat blev kaldt ind til chefen efter at have bestilt kjole til datteren i sin pause” (06.12.2022)
• Politiken.dk: “Formand frygter, at farlig tendens med overvågning på jobbet er på vej” 18.10.2022)
• Danwatch.dk: “Med pandemien er overvågningen af medarbejdere krøbet helt ind i stuen” (08.04.2021)
• Berlingske.dk: “Banker følger dig på nettet” (28.01.2016)
• Finanswatch.dk: “Cool eller creepy? – forsikringsselskaber grubler over brugen af kundedata” (16.11.2018)

I nogle lande er det alment accepteret at anvende såkaldt ‘bossware’ og ‘tattleware’ til at overvåge ansattes produktivitet og digitale adfærd på distancen. Hjemsendelsesperioden under Corona pandemien accelererede brugen. Der er delte meninger om, hvorvidt sådanne redskaber og ledelsestilgange er den rette vej til øget produktivitet og trivsel. Forskning og udenlandske eksempler peger på, at andre og mere relationsorienterede ledelsesmetoder nok er mere effektive. Overvågningsredskaber synes ikke entydig at levere de ønskede effekter (Cram & Wiener (2020), West & Bowman (2016), Cyphers & Gullo (2020) og Lynn (2020)). Her er nogle interessante artikler om emnet:

• ft.com: “Spy in the screen reveals what workers are worth” (16.05.2019)
• ft.com: “Growth of staff monitoring software stokes debate over rights and morals” (22.09.2021)
• theguardian.com: “Employers are spying on Americans at home with ‘tattleware’. It’s time to track them instead” (16.09.2021)

Idé: Du kan drøfte med dine kolleger, om I har samme holdninger til retningen på dataindsamling og -bearbejdning. Samtidig kan I også drøfte, hvorvidt virksomheden potentielt og utilsigtet kan komme til at misbruge data, fx overvåge kunders og medarbejderes færden uden deres samtykke.

5 – Du skal måske overveje at se nærmere på nogle nye stillingskategorier

I dag varetages dataetikken ofte i centrale stabe hos specialister såsom DPO’en. Etikken indføres pga. et nyt lovkrav og dermed håndteres politisk og juridisk i de øvre ledelseslag og dertilhørende stabe. Endvidere forstås dataetikken i sammenhæng med GDPR, hvilket umiddelbart falder inden for jura/complianceområdet.

Spørgsmålet er, om dataetikken fortsat vil og bør være centreret om disse centrale funktioner i fremtiden. Styrken ved en central forankring og kompetence er, at dataetikken får en tæt kobling til andre lovregulerede områder. Det kan også være nemmere at udvikle guidelines til hele organisationen og samle erfaring ét sted til politikopfølgning. Hvis det er intentionen at gøre dataetik allestedsnærværende og kulturbåret, kan der kan ligge en udfordring i, at dataetikken formuleres og monitoreres centralt. Således vil der være en større formidlings- og kompetenceudviklingsopgave i, at alle led i organisationen forstår, at dataanvendelse og teknologivalg også skal vurderes i et dataetisk lys.

En række internationale it-virksomheder har af forskellige bevæggrunde styrket deres dataetiske arbejde. De har bl.a. introduceret dataetiske komitéer, stillingskategorier og teams, der skal overvåge brugen af data. Ved en gennemlæsning af forskellige brancherapporter og virksomhedshjemmesider kan der peges på en række nye dataetiske roller i organisationerne:

• ETO: En Ethical Technical officer, Chief Al Ethics Officer eller Al Trust Officer leder et dataetisk team, der sikrer, at ledelsessystemet, it-systemer og it-udviklere opfører sig ansvarligt i overensstemmelse med regler, normer og værdier.
• Datadetektiv: Datadetektiven arbejder i det dataetiske team, hvori it-systemers etiske kvaliteter udvælges og analyseres.
• Dataetisk ambassadør: Ambassadøren fungerer som vidensformidler og kontaktperson mellem virksomhedens funktionsområder om dataetiske erfaringer. Rollen adresserer også etiske dilemmaer.
• Dataetisk program- og projektleder: I forbindelse med udvikling og revision af dataetiske politikker og retningslinjer vil der være behov for en projektorganisering med tilstrækkelig indsigt i dataetik.
• Data/teknologi-tillidsrepræsentant: Data/teknologi- tillidsrepræsentanten fungerer både som tillidsrepræsentant og som sparringspartner for ledelsen i spørgsmål om dataetik og brugen af medarbejderdata. I rollen adresseres også dataetiske dilemmaer.

I flere internationale virksomheder ansættes i øjeblikket såkaldte Ethical Technical Officers (parallelt med eller under DPO’en). De skal stå i spidsen for dataetiske teams med datadetektiver og rådgivere. Deres opgaver er at overvåge og tilskyde til, at ledere og medarbejdere opfører sig etisk ansvarligt. Endvidere udnævnes i nogle virksomheder dataetiske ambassadører og dataetiske program- og projektledere, der også skal være med til at sikre at øge kendskabet til dataetik.

Idé: Du kan enten selv eller sammen med kolleger fra relevante afdelinger overveje, om der skal designes nye roller i tillæg til de eksisterende for at styrke opmærksomheden på dataetikken.

6 – Du kan med fordel vurdere det nuværende og ønskede dataetiske kompetenceniveau

Et er, at centralstabene bliver udstyret med nye dataetiske roller og kompetencer. Et andet er at få hele organisationen til at forstå og arbejde dataetisk. Der er flere veje til digital kompetence på individ- og teamniveauet. Lige for kan der iværksættes awareness-kampagner indeholdende e-læringsmaterialer, træning og ølkassemøder. Formulering af guidelines, nye stillingskategorier, on-the-job-training, efter- og videreuddannelse, mentorordninger, kollegial sparring og erfagrupper osv. er også tiltag, der kan øge kompetenceniveauet.

Med udgangspunkt i Blooms (1956) og Dreyfus & Dreyfus (1986) kompetencetaksonomier vil jeg fremsætte et foreløbigt bud på en trappemodel for dataetisk kompetence:

• Niveau 0: Har intet kendskab til dataetik. Daglig arbejdspraksis følger ingen dataetiske retningslinjer.
• Niveau l: Har et basalt kendskab til dataetik og kan anvende prædefinerede dataetiske retningslinjer.
• Niveau 2: Har et godt kendskab til dataetik samt en sikker brug af systemer og arbejdsmetoder, der tager højde for dataetik.
• Niveau 3: Har en dyb forståelse for data og etik, kan selv udvælge og udvikle systemer og retningslinjer med respekt for dataetik samt kan rådgive andre om dataetik.

Det er mit indtryk, at de større danske virksomheders ansatte i øjeblikket befinder sig på niveau 0-1, mens en mindre gruppe af specialister befinder sig på niveau 2-3. Nu, hvor større virksomheder har skullet formulere deres første dataetiske politik i løbet af 2021-22, kan det måske få en afsmittende effekt, således at ansatte med kompetenceniveau 0 i de kommende år bringes op på niveau 1 eller 2.

Idé: På et tidspunkt vil det give god mening at undersøge, hvor og hvilke kompetencer der bør udvikles, hvis dataetikken skal tages alvorligt.

7 – Du kan igangsætte en intern drøftelse om dataetik og kompetencer

Hvis du arbejder i en virksomhed, som ikke p.t. er berørt af de nye regnskabskrav i den reviderede regnskabslov, men har eller kan høste interessant kunde- eller medarbejderdata til forretningsudvikling, kan det være en god idé at syreteste holdninger, praksis og muligheder med et af de mange dataetiske redskaber, som stilles gratis til rådighed af de offentlige myndigheder og interesseorganisationer. Redskaberne kan også anvendes ifm. udvikling af dataetiske politikker og retningslinjer.

• En bredt sammensat arbejdsgruppe under Dansk Design Center har udviklet det frit tilgængelige redskab Det Digitale Etikkompas. Weblink til redskabet.
• På den fællesoffentlige erhvervsfremmeplatform Virksomhedsguiden.dk præsenteres virksomhedscases, dilemmaspil og redskaber til at evaluere it-løsningers dataetiske kvalitet. Weblink til redskaberne.
• Nationalt Center for Etik har også udgivet et par nyttige guides til arbejdet med dataetik. Weblink til guides.

Tre spørgsmål, som du kan bruge til at indlede samtaler om dataetik og politikudvikling:

• Hvad er vores mål og begrundelser for at arbejde med dataetik?
• Hvilke interessenter bør inddrages i udviklingen af dataetiske politikker?
• Hvor kan den overordnede dataetiske politik forankres i virksomheden?

Hvis du ønsker yderligere viden om dataetik, er der udgivet et par fornuftige rapporter og easy-reader-bøger på dansk, som på forskellig vis beskriver dataetikken i samfundet og i virksomheder.

• Den tidligere nedsatte Ekspertgruppen om dataetik udgav i 2018 en fin overbliksrapport “Data i menneskets tjeneste”, hvori etikfeltet og anbefalinger til det fortsatte myndighedsarbejde med dataetik gennemgås (se især baggrundsanalysen i appendikset). Weblink til rapporten.
• Tranberg & Hasselbalch (2016): “Dataetik – den nye konkurrencefordel”, PubliShare
• Sverre (2022): “Digital etik. Hvordan designer vi en mere ansvarlig digital verden?” Akademisk Forlag

Hvis du derimod arbejder i en virksomhed, som allerede har formuleret en dataetisk politik, og du tænker, at arbejdet ikke må stoppe kun ved dét, så kan du overveje at starte en samtale om jeres databrug med dine kolleger. Samtalen bør ikke handle om, hvordan I overholder den gældende lovgivning – samtalen bør i højere grad handle om, hvad I gør i forskellige dilemmafyldte situationer, hvor personlige skøn og værdier er mere retningsgivende end regelsæt i beslutningerne.

Det er også oplagt at igangsætte drøftelser om, hvilket kompetenceniveau der er nødvendigt for, at organisationen handler dataetisk ansvarligt og hvordan en kompetenceudvikling i givet fald kan foregå. Nedenfor er der tre spørgsmål, der kan bruges ifm. samtaler om dataetik, roller og kompetenceudvikling:

• Hvordan arbejder vi med ansvarlig brug af teknologier i dag?
• Hvilke dataetiske roller og kompetencer bliver vigtige at udvikle i de kommende år?
• Hvordan kan vores dataetiske kompetencer udvikles?

Eftertanker?

Jeg håber, at du synes, at artiklen har været informativ, værd at læse og har givet dig lyst og mod på at fordybe dig mere i temaet.

Kontakt mig på steffen@cphlearning.dk eller mobil 20 32 10 22, hvis du har behov for at drøfte nogle af indsigterne og læringspointerne i artiklen.