Indledning
Denne politik beskriver vores dataetik hos Høgsbro+, herefter benævnt Virksomheden.
Politikken omfatter således hele virksomheden og forpligter samtlige medarbejdere samt tilknyttede eksterne konsulenter. Dataetik omfatter, hvordan Virksomheden indsamler, behandler, bruger, opbevarer, deler og sletter data. Nærværende politik gælder således i samt lige aspekter, hvor vi er enten databehandler eller dataansvarlig.
Baggrund
Personoplysninger og data generelt har større betydning for personer og organisationer end nogensinde før. Data behandles og opbevares i højere grad i takt med at digitaliseringen generelt øges og den mere udbredte anvendelse samt dataenes værdi stiller store krav til Virksomheden og dens medarbejderes evner til at håndtere data.
Virksomheden opbevarer mange typer af data, og for os er det væsentligt, at vores interessenter og omverdenen kan have tillid til vores etiske håndtering af data.
Anvendelse
En etisk korrekt håndtering af data og personoplysninger er væsentlig for alle områder i Virksomheden.
Virksomheden politik for dataetik tager udgangspunkt i de personoplysninger og data, vi er i besiddelse af.
Vores dataetiske værdier
Virksomhedens fundament er bygget på en række centrale dataetiske værdier, som guider vores tilgang til håndtering, anvendelse og deling af data. Disse værdier udgør ikke blot retningslinjer, men er selve hjørnestenene i vores forpligtelse til ansvarlig datapraksis.
Virksomhedens bestræber sig på:
- at sikre, at brug af data ikke er diskriminerende mod køn, racer, etnicitet eller fællesskaber.
- at arbejde med data på en åben og gennemsigtig måde.
- at sikre, at data ikke benyttes på en måde, der vildleder virksomhedens interessenter
- at kunder og medarbejdere, får så meget værdi som muligt ud af de data, vi indsamler.
- at sikre, at medarbejderne og ledelsen besidder de nødvendige kompetencer til at håndtere eventuelle dataetiske dilemmaer.
- at vores samarbejdspartnere og underleverandører behandler data på samme måde, som vi selv ville gøre det, herunder i henhold til denne
Dataetiske værdier og principper
Når Virksomheden behandler data samt designer, køber eller implementerer teknologier, herunder nye teknologier, gælder vores dataetiske værdier og principper.
Der indsamles og behandles kun data, der er nødvendige for at opfylde formålet med behandlingen. For eksempel overvejes det altid, om det er muligt at opnå det samme formål ved at indsamle anonymiserede data i stedet for personhenførbare data.
Behandlingen af data skal til enhver tid overholde gældende lovgivning. For eksempel kræver behandling af personoplysninger ifølge persondataforordningen (GDPR) et speci fikt lovgrundlag.
Teknologier
Teknologier til behandling af data, især nye teknologier (brug af AI, webservices og software), skal først sikkerhedsgodkendes, og dernæst designes og implementeres i virksomheden således, at de til enhver tid overholder principper for dataetik, herunder principperne fremlagt i denne politik og de generelle behandlingsprincipper som beskrevet i gældende lovgivning og øvrige interne politikker for området.
F.eks. skal teknologier designes således, at de sikrer privacy by default og korrekt samt rettidig sletning af data i overensstemmelse med Virksomheden slettefrister.
Konsekvenserne og risici
Konsekvenserne og risiciene ved nye aktiviteter, systemer og teknologier, der konkret benyttes til at behandle data skal altid overvejes, gennemtænkes og dokumenteres inden de tages i brug.
Udførlige risikovurderingen laves af DPO’en i systemet Lexoforms og omfatter bl.a. en vurdering af:
- Persondata kategorier
- Adgangsbegrænsning
- Fortrolighed
- Tilgængelighed
- Integritet
- Lovhjemmel
- Formål
- Sletteregler
Risikovurderinger for systemer, der tages i brug, vedligeholdes løbende – minimum én gang årligt eller når påkrævet (eksempelvis ved leverandørens annoncering af underleverandør skift).
Formål med databehandling
Data skal behandles på måder, der er i overensstemmelse med den afgivende parts intentioner, forventninger og forståelse. Således må personoplysninger f.eks. ikke behandles til nye formål, som er uforenelig med de formål, hvortil personoplysningerne oprindeligt blev indsamlet. Eksempler på dette kan være:
Samtykke og Formål
Virksomheden indsamler personoplysninger fra kunder med det klare formål at levere en bestemt tjeneste. Disse oplysninger må ikke bruges til andre formål uden kundens samtykke eller uden at informere dem om ændringen og give dem mulighed for at trække deres samtykke tilbage.
Kundekommunikation
Brugerdata indsamlet via hjemmeside og social medier bruges til at forbedre virksomhedens service. De må derfor ikke deles med tredjeparter til markedsføringsformål uden at informere brugerne og få deres samtykke.
Anvendelse af Tredjeparter
Dataforarbejdningsaktiviteter der er outsourcet til en tredjepart må kun behandles i overensstemmelse med de instruktioner, der er givet af den oprindelige dataansvarlige virksomhed, og må ikke anvendes til andre formål uden deres samtykke.
Disse eksempler illustrerer vigtigheden af at respektere den oprindelige hensigt og forståelse bag indsamling og behandling af data samt at sikre, at enhver ny anvendelse er i overensstemmelse med disse intentioner.
Sikkerhedsniveau
Et tilstrækkeligt niveau af sikkerhed skal implementeres i og omkring de teknologier, der benyttes til behandling af data. Sikkerhedsforanstaltningerne skal indeholde tekniske såvel som orga nisatoriske foranstaltninger, og det nødvendige sikkerhedsniveau skal fastlægges ud fra en risi kovurdering af den specifikke behandlingsaktivitet og teknologien benyttet til behandling af data.
Den generelle risikovurdering for IT-sikkerhed skal vedligeholdes løbende og revideres minimum én gang årligt.
Menneskerettighederne og diskrimination
Data skal altid behandles på en måde, som sikrer transparens, især i tilfælde hvor algoritmer og automatiserede processer benyttes til databehandlingen. Når behandlingsaktiviteten omfatter automatiseret beslutningstagning vedrørende afgørelser, der har juridisk eller lignende væsent lig indvirkning, skal der også være en efterfølgende menneskelig gennemgang af resultaterne.
I behandlingen af data og design af de teknologier, der benyttes til behandling af data, skal det sikres, at menneskerettighederne respekteres. For eksempel må behandling af data eller anvendelse af teknologier til at behandle data, ikke være partisk, så der er risiko for diskrimination, marginalisering eller stigmatisering af enkeltpersoner.
Af samme årsag benyttes automatiserede processer ikke, såfremt det er muligt at databehandle manuelt uden at dette pålægger virksomheden væsentligt meromkostninger.
Proportionalitetsvurdering
Persondata skal kun behandles til formål, som er proportionelle under hensyntagen til individets rettigheder, herunder retten til privatliv. Derfor skal en proportionalitetsvurdering altid udføres, før der påbegyndes nye behandlingsaktiviteter, eller inden der implementeres og/eller designes teknologier, der skal behandle data, herunder særligt personoplysninger.
Hvis proportionalitets- vurderingen viser, at behandlingen ikke er proportional, må behandlingsaktiviteten ikke påbegyndes. At vurdere om behandlingen af persondata er proportional, kræver en grundig analyse og afvejning af flere faktorer bl.a.:
- Identificer klart og præcist det formål, hvortil persondataene skal behandles. Det er vigtigt at være specifik og undgå unødig indsamling eller brug af data.
- Evaluer omfanget af den planlagte databehandling i forhold til det angivne formål. Spørg dig selv, om den mængde og type af data, der indsamles og behandles, er rimelig og nødvendig i forhold til formålet.
- Analyser potentielle risici og konsekvenser for de berørte personer, hvis data behandles på denne måde. Dette kan omfatte risici for privatlivets fred, sikkerhed eller andre individuelle rettigheder.
- Afvej de legitime interesser, der støtter databehandlingen, mod de individuelle rettigheder og interesser i beskyttelse af persondata. Dette indebærer at balancere behovet for data mod beskyttelsen af individets privatliv og andre rettigheder.
- Undersøg om der er mindre indgribende måder at opnå det ønskede formål på, der stadig er effektive og i overensstemmelse med databeskyttelsesprincipper.
- Hvis databehandlingen fortsætter, skal der implementeres passende sikkerhedsforanstaltninger og beskyttelsesmekanismer for at minimere risiciene for de berørte personer.
Det er vigtigt at dokumentere hele vurderingsprocessen, herunder beslutningerne og begrundelserne bag dem. Dette kan være nyttigt som reference og til at demonstrere overensstemmelse med databeskyttelseslovgivningen.
Ansvar og opfølgning
Dilemmaer inden for dataetik i Virksomheden skal diskuteres og vurderes af de relevante ansvarlige i Virksomheden, når sådanne dilemmaer opstår.
Der foretages løbende evaluering af egne indsatser, handlinger og politikker inden for dataetik, herunder brugen af ny teknologi. En sådan evaluering skal inkludere en vurdering af, hvorvidt det er nødvendigt eller hensigtsmæssigt at foretage ændringer til denne politik eller relevante procedurer i Virksomheden.
Det skal sikres, at denne politik til enhver tid er tilgængelig for medarbejderne og i øvrigt for alle virksomhedens interessenter.
Beslutninger vedrørende Virksomheden databehandling, inklusive design, køb eller implementering af teknologier til databehandling, f.eks. kunstig intelligens (AI) til brug for databehandling, skal træffes af de relevante ledere som har den nødvendige viden om indholdet i denne politik.
Bilag 1 – Dataetiske overvejelser
| Har virksomheden overvejet løsninger til at forbedre arbejdet med dataetik? Fx nedsættelse af dataetisk arbejdsgruppe, awareness-skabende aktiviteter, åbenhedskultur. | |||||
| Ikke relevant | Ingen overvejelser | Nogle overvejelser | Foranstaltninger planlagt | Foranstaltninger implementeret | Kontinuerlig proces etableret |
| ☐ | ☐ | ☒ | ☐ | ☐ | ☐ |
| Bemærkninger | |||||
| Awareness-skabende aktiviteter er også afgørende for at styrke medarbejdernes og ledelsens forståelse af dataetik. Dette kan omfatte træningssessioner, workshops og løbende opdateringer om de seneste udviklinger inden for dataetik og persondatasikkerhed.
Fremme en åbenhedskultur er ligeledes vigtigt. Det indebærer at opmuntre til åbne diskussioner omkring dataetik, fejl og forbedringsmuligheder. Jo mere åbne virksomheder er om deres dataetiske praksisser, desto mere kan de drage nytte af input og feedback fra medarbejdere, interessenter og samfundet.
|
|||||
| Har virksomheden overvejet løbende inddragelse af relevante interessenter?
Fx for at undgå utilsigtet bias. |
|||||
| Ikke relevant | Ingen overvejelser | Nogle overvejelser | Foranstaltninger planlagt | Foranstaltninger implementeret | Kontinuerlig proces etableret |
| ☐ | ☐ | ☒ | ☐ | ☐ | ☐ |
| Bemærkninger | |||||
| Løbende inddragelse af relevante interessenter er en vigtig praksis for virksomheder, især når det drejer sig om beslutningstagning, udvikling af produkter eller implementering af politikker. Dette kan hjælpe med at sikre, at forskellige perspektiver og behov tages i betragtning, og det kan reducere risikoen for utilsigtet bias.
Virksomheder kan bruge forskellige metoder til at inddrage interessenter, herunder workshops, interviews, surveys eller offentlige høringer. Det er også vigtigt at være opmærksom på diversitet og inklusion i inddragelsesprocessen for at undgå skævheder og sikre, at alle relevante synspunkter høres.
|
|||||
| Har virksomheden gjort sig overvejelser om konsekvenserne forbundet med at påvirke brugerens adfærd? Fx modvirke afhængighed, overforbrug, mobning. | |||||
| Ikke relevant | Ingen overvejelser | Nogle overvejelser | Foranstaltninger planlagt | Foranstaltninger implementeret | Kontinuerlig proces etableret |
| ☒ | ☐ | ☐ | ☐ | ☐ | ☐ |
| Bemærkninger | |||||
| N/A | |||||
| Hvis virksomheden påvirker brugerens adfærd, har virksomheden i så fald gjort sig overvejelser om, hvordan det kan gøres mere transparent, og give brugeren mere kontrol? | |||||
| Ikke relevant | Ingen overvejelser | Nogle overvejelser | Foranstaltninger planlagt | Foranstaltninger implementeret | Kontinuerlig proces etableret |
| ☒ | ☐ | ☐ | ☐ | ☐ | ☐ |
| Bemærkninger | |||||
| N/A | |||||
| Har virksomheden gjort sig overvejelser om hvordan brugerens rettigheder bliver prioriteret, frem for kommercielle eller institutionelle interesser? | |||||
| Ikke relevant | Ingen overvejelser | Nogle overvejelser | Foranstaltninger planlagt | Foranstaltninger implementeret | Kontinuerlig proces etableret |
| ☐ | ☐ | ☒ | ☐ | ☐ | ☐ |
| Bemærkninger | |||||
| Virksomheden bør stræbe efter at respektere og beskytte brugerrettigheder i overensstemmelse med gældende love og regler. Dette inkluderer ofte retten til privatliv, datasikkerhed, ytringsfrihed og andre grundlæggende rettigheder. Nogle foranstaltninger, som vi har eller kan overveje at implementere for at sikre prioritering af brugerrettigheder, omfatter:
Tydelige brugervilkår og privatlivspolitikker: Virksomheden bør levere klare og forståelige vilkår og betingelser samt privatlivspolitikker, der beskriver, hvordan brugerdata indsamles, behandles og deles. Brugerstyring af data: At give brugere kontrol over deres egne data er vigtigt. Dette kan omfatte muligheden for at trække samtykke tilbage, ændre præferencer og slette oplysninger. Transparens: Virksomheden bør være åbne om, hvordan de håndterer brugerdata og træffer beslutninger, der kan påvirke brugerne. At informere om eventuelle ændringer i politikker og praksisser er en vigtig del af denne transparens. Respekt for retten til privatliv: Virksomheden bør tage skridt til at beskytte brugernes privatliv, herunder implementering af sikkerhedsforanstaltninger og dataadgangskontrol. |
|||||
| Har virksomheden gjort sig overvejelser om, hvordan brugeren får mest mulig værdi ud af de data, der indsamles? | |||||
| Ikke relevant | Ingen overvejelser | Nogle overvejelser | Foranstaltninger planlagt | Foranstaltninger implementeret | Kontinuerlig proces etableret |
| ☐ | ☐ | ☒ | ☐ | ☐ | ☐ |
| Bemærkninger | |||||
| Optimering af funktioner: Dataanalyse kan hjælpe virksomheden med at identificere områder, hvor tjenester kan forbedres eller nye funktioner kan tilføjes for at opfylde kundernes behov.
Effektiv kommunikation: Brugerdata kan også anvendes til at forbedre kommunikationen med kunderne, for eksempel ved at sende relevante opdateringer, nyheder eller tilbud baseret på deres præferencer og adfærd. Feedback og forbedringer: Virksomheden kan bruge dataindsamling som en kilde til feedback og løbende forbedring. Ved at forstå, hvordan kunderne reagerer på forskellige aspekter af tjenesten, kan vi implementere ændringer for at imødekomme deres behov og ønsker bedre. |
|||||
| Har virksomheden overvejet, hvordan de undgår utilsigtede konsekvenser?
Fx overvågning, misbrug, spredning af misinformation eller lignende. |
|||||
| Ikke relevant | Ingen overvejelser | Nogle overvejelser | Foranstaltninger planlagt | Foranstaltninger implementeret | Kontinuerlig proces etableret |
| ☐ | ☐ | ☐ | ☐ | ☒ | ☐ |
| Bemærkninger | |||||
| For at undgå utilsigtede konsekvenser, såsom overvågning, misbrug eller spredning af misinformation, er en vigtig del af vores datapraksis følgende:
Risikovurdering: Vi gennemfører risikovurderinger for at identificere potentielle udfordringer og risici, der kan opstå som følge af vores datapraksis. Dette omfatter at evaluere, hvordan dataindsamling, -behandling og -deling kan påvirke brugere og samfundet som helhed. Etiske retningslinjer: Vi har udviklet og implementeret etiske retningslinjer, der fastlægger klare principper for brugen af data. Disse retningslinjer kan inkludere forpligtelser til at undgå overvågning uden samtykke, forhindre misbrug af data og aktivt bekæmpe spredning af misinformation. Kunstig intelligens og algoritmer: Hvis vi bruger automatiserede beslutningstagningssystemer eller algoritmer, er det vigtigt også at implementere mekanismer for at forhindre bias, diskrimination og andre negative konsekvenser. Brugeruddannelse: At informere og uddanne medarbejdere og kunder om, hvordan data behandles, og hvordan vi kan beskytte mod eventuelle risici, er et vigtig komponent. Vi tilbyder altid klare og forståelige oplysninger om privatlivspolitikker og sikkerhedsforanstaltninger. |
|||||
| Har virksomheden gjort sig overvejelser om, hvordan virksomheden kan beskytte særlige målgrupper? Fx børn og unge eller samfundsgrupper med særlige udfordringer. | |||||
| Ikke relevant | Ingen overvejelser | Nogle overvejelser | Foranstaltninger planlagt | Foranstaltninger implementeret | Kontinuerlig proces etableret |
| ☐ | ☐ | ☒ | ☐ | ☐ | ☐ |
| Bemærkninger | |||||
| Beskyttelse af særlige målgrupper, såsom samfundsgrupper med særlige udfordringer, er en vigtig dimension af vores etiske praksis inden for datamanagement og forretningsdrift. For at adressere disse spørgsmål har vi taget en række initiativer:
Inklusion og tilgængelighed: Overvejelser omkring hvordan vores tjenester kan være inkluderende og tilgængelige for personer med særlige behov eller udfordringer. Dette kan omfatte at sikre, at websider er tilgængelige for personer med forskellige former for handicap. Partnerskab med organisationer: Samarbejde med jobcenter, der fokuserer på beskyttelse og støtte af særlige målgrupper for at drage nytte af ekspertise og sikre, at deres tilgang er følsom over for de unikke behov hos disse grupper. |
|||||
| Har virksomheden gjort sig overvejelser om, hvorvidt data-indsamling og løsninger/
produkter kan begrænse borgernes rettigheder? |
|||||
| Ikke relevant | Ingen overvejelser | Nogle overvejelser | Foranstaltninger planlagt | Foranstaltninger implementeret | Kontinuerlig proces etableret |
| ☐ | ☐ | ☒ | ☐ | ☐ | ☐ |
| Bemærkninger | |||||
| Vi er opmærksomme på, hvordan vores aktiviteter kan påvirke individuelle rettigheder og tager proaktivt skridt til at minimere potentielle negative konsekvenser. Nogle aspekter vi har overvejet er:
Privatlivsrettigheder: Virksomheden bør være opmærksom på beskyttelsen af privatlivsrettigheder. Dette inkluderer at sikre gennemsigtighed omkring, hvilke data der indsamles, hvordan de bruges, og hvem der har adgang til dem Ikke-diskrimination: Dataindsamling og anvendelse af algoritmer kan risikere at føre til diskrimination. Virksomheden bør arbejde på at undgå bias i systemer og tage skridt til at sikre, at produkter ikke bidrager til eller forstærker eksisterende uligheder. Sikkerhedsrisici: Ubeskyttede data og sårbare systemer kan udgøre en trussel mod borgernes rettigheder, især retten til beskyttelse af personlige oplysninger. Virksomheden har implementeret stærke sikkerhedsforanstaltninger for at forhindre uautoriseret adgang og datalækager. Åbenhed og gennemsigtighed: Virksomheden er åben og transparent om vores praksis for at skabe tillid hos. Vi har klare politikker og kommunikation om, hvordan data bruges, hvilket bidrager til at undgå bekymringer om rettighedsbegrænsninger. Overholdelse af love og reguleringer: Virksomheden skal overholde relevante love og reguleringer vedrørende databeskyttelse og individuelle rettigheder. Dette omfatter at forstå og handle i overensstemmelse med lovgivning som GDPR i EU eller lignende bestemmelser i andre jurisdiktioner. |
|||||
| Har virksomheden overvejet, om de kan undgå at forstærke sociale og etiske problemstillinger? Fx ulighed, udstilling af befolkningsgrupper og segmenter eller at en løsning kun kan bruges af bestemte brugere. | |||||
| Ikke relevant | Ingen overvejelser | Nogle overvejelser | Foranstaltninger planlagt | Foranstaltninger implementeret | Kontinuerlig proces etableret |
| ☐ | ☐ | ☒ | ☐ | ☐ | ☐ |
| Bemærkninger | |||||
| Undgåelse af forstærkning af sociale og etiske problemstillinger er en vigtig del af vores forretningspraksis.
Inklusivitet: vi stræber efter at udvikle produkter og løsninger, der er inkluderende og kan bruges af et bredt spektrum af kunder. Mangfoldighed og repræsentation: vi er opmærksomme på mangfoldighed og repræsentation i deres produkter, medarbejderstab og markedsføring. At undgå stereotype fremstillinger og aktivt stræbe efter at repræsentere forskellige perspektiver hjælper med at forhindre udstilling af befolkningsgrupper. Lytte til interessenter: At lytte til feedback fra interessenter, herunder kunder og andre interessegrupper hjælper med at identificere potentielle problemstillinger og tage rettidige skridt for at løse dem. Ansvarlig datapraksis: Undgåelse af forstærkning af sociale og etiske problemstillinger indebærer at praktisere ansvarlig datamanagement. Dette omfatter at undgå diskriminerende algoritmer, være opmærksom på potentiel bias og beskytte brugernes privatliv.
|
|||||
| Kommunikerer virksomheden sine privacy-by-design strategier til sine brugere? | |||||
| Ikke relevant | Ingen overvejelser | Nogle overvejelser | Foranstaltninger planlagt | Foranstaltninger implementeret | Kontinuerlig proces etableret |
| ☐ | ☐ | ☒ | ☐ | ☐ | ☐ |
| Bemærkninger | |||||
| For at opbygge og bevare tilliden hos kunderne er det almindelig praksis for os at kommunikere privacy-by-design strategier klart og åbent. Detaljerede oplysninger om vores tilgang til privatliv er at finde i vores offentligt tilgængelige privatlivspolitik.
At være transparent og proaktiv i kommunikationen omkring privacy by design hjælper vores kunder med at forstå, hvordan deres data håndteres, og det kan styrke forholdet mellem virksomheden og brugerne. |
|||||