Artiklen blev først udgivet på Altinget.dk. Her udgivet i fuld længde.
En ny lov kræver, at store virksomheder redegør for sin politik om dataetik – eller mangel på samme. Det skal være synligt i virksomhedernes årsrapporter og ske i ledelsesberetningen.
Det er et stort skridt i den rigtige retning som erhvervsministeren har taget. Men det er kun ét skridt. De næste skridt kunne f.eks. være: Forslag til hvad virksomheders politik om dataetik kan indeholde, udvidelse af samme lovgivning hvor kravet dækker over andre virksomheder end de der er ”store”, og – ikke mindst – at finde en bredere politisk enighed for sagen; en så basal lovændring fik et bekymrende knapt flertal.
Dataetik handler om god opførsel
I bund og grund handler dataetik om at opføre sig ordentligt. Men virksomheder kan gribe sagen an på forskellige måder.
Det er selvfølgelig vigtigt at nævne, at det ikke blot vil være at formulere en række afsnit og sætninger om emnet, men at der reelt vil være tale om en beskrivelse af hvad virksomhederne har implementeret af dataetiske tiltag. Dataetik og GDPR hænger tæt sammen. Dataetik og ISO 27001 hænger tæt sammen. Så hvordan håndterer man arbejdet, hvis der er ”tomt bord”?
Det åbenlyse er de tiltag man allerede har implementeret for at leve op til GDPR, for heri kommer risikoanalyse og (person)datapolitik, procesbeskrivelser for sletning af data, videregivelse af data mv. I en politik, vil der blandt mange forhold kunne være opført beslutninger om, hvor data må befinde sig og hvilke minimumskrav man har til sine leverandører. Det hele kommer selvfølgelig an på den konkrete virksomhed.
Med GDPR, krav til stat og kommuner om efterlevelse af ISO 27001, compliance-krav til sundhedsindustrien, øgede krav til den finansielle sektor, er dataetik blevet det nye. Altså det nye compliance-krav, som reelt set er en del af GDPR, ISO-standarder, og i bund og grund god opførsel.
Det lyder måske som endnu en uoverskuelig opgave. Det er det ikke.
Men det er på sin vis forståeligt at det føles sådan; it og deraf følgende brug af data er ungt og ændrer sig hurtigere end alt andet vi kender. Det kan være svært at følge med.
Falder tilbage til polemik
Men hvis ikke vi gør en indsats for at implementere procedurer for at kunne leve op til lovgivningen, så falder vi tilbage til en diskussion om at lovgivningen ikke giver nogen mening. Vi falder tilbage til en polemik om administrativ byrde i stedet for at arbejde mod øget opmærksomhed om hvor vigtigt det er at beskytte borgernes data.
Det er ærgerligt fordi lovgivningen er på de fleste punkter fornuftig. Men hvis den fortolkes som da fanden læser bibelen – og implementeres i samme ånd – skaber det selvsagt unødvendige friktioner og frustrationer.
Stil krav til andre end store virksomheder
At stille krav til de store virksomheder er et fint sted at begynde. Men hvis vi stopper der, så ser vi forbi aktører, der i lige så høj grad kunne have godt af at formulere en klar politik om deres dataetik.
Mængden af data – og dataenes følsomhed – hænger ikke nødvendigvis sammen med virksomhedens størrelse. En stor virksomhed har selvsagt en stor mængde personoplysninger om kunder og medarbejdere. Men en virksomhed med en håndfuld medarbejdere kan sagtens indsamle og håndtere endnu større mængde oplysninger om borgere. For disse virksomheder er det ikke mindre vigtigt at have en klar politik om dataetik.
Dataetik bør være en selvfølgelighed
Mange virksomheder skal efterleve ISO 27001, eller i hvert fald væsentlige dele af denne standard. Staten og kommuner skal efterleve grundelementer i ISO 27001, finansielle virksomheder har strenge krav til deres it-leverandører om efterlevelse af ISO 27001 og en række øvrige compliance-krav. Og listen kan blive ved.
Dette sker oftest ved hjælp af ISAE 3000 eller ISAE 3402 erklæringer. Eller ISO 27001 certificeringer. På mange måder kan det være relevant for store organisationer at bruge disse erklæringer og certificeringer, når de skal have bevis på at de efterlever grundtanken bag den nye lov om dataetik.
Det hele afhænger af den konkrete virksomhed. Listen af krav kan være lang. Men den er ikke uoverskuelig, hvis man gør en indsats for at sætte databeskyttelse i system. Der findes mange værktøjer. Inden længe oplever man, at det bliver en naturlig del af ens dagligdag.
Dataetik kan også vendes rundt i en kommerciel virkelighed, hvis vi begynder at se det som en konkurrenceparameter. Her kunne krav ifm. offentlige udbud være et sted at starte.
Politik om dataetik er et godt udgangspunkt. Men der er en del andre tiltag ministeren kan tage for at gøre det nemmere og mere overskueligt for virksomheder at passe godt på borgernes data.
Dataetik behøver ikke være en byrde – det kan og skal være en selvfølgelighed.