dataetik

Dataetik er ansvarlig og bæredygtig brug af persondata. Det er mere end at overholde lovgivningen. Begrebet opstod i 2016 og indeholder en række principipper såsom mennesket i centrum.

Dataetik er det “rigtige” at gøre i forhold til mennesker og samfund. Alle processer med persondata bør være designet som bæredygtige løsninger – dvs. først og fremmest til gavn for mennesker. Dataetik handler at opfylde de principper og værdier, som menneskerettighederne, persondatalovgivningen og anden relevant lovgivning bygger på. Det handler om ægte gennemsigtighed i datahåndteringen. Om aktivt at udvikle privacy-by-design og privacy-fremmende produkter og strukturer. Populært sagt om at behandle andres personlige oplysninger som man selv ønsker ens egne – eller ens børns – skal behandles.

Dataetik er skridtet videre end efterlevelse af lovgivningen – og nogle gange kommer det før lovgigning. Men for at være dataetisk skal alle dataprocesser som minimum respektere de krav, der er opstillet i EU’s Persondataforordning (GDPR), EU’s Charter om grundlæggende rettigheder samt den Europæiske Menneskerettighedskonvention.

Der er en række principper, der gælder når man taler dataetik

1. MENNESKET I CENTRUM betyder, at menneskets interesser har altid forrang for institutionelle og kommercielle interesser.
2. INDIVIDUEL DATAKONTROL betyder, at mennesket har autonomi og handlekraft. Personens selvbestemmelse prioriteres i alle dataprocesser og personen tager aktiv part i og kontrol over deres persondata.
3. GENNEMSKUELIGHED betyder, at databehandling og automatiserede beslutninger skal give mening for det enkelte menneske og skal kunne forklares for mennesket i forhold til at forstå risici, samt sociale, etiske og samfundsmæssige konsekvenser.
4. ANSVARLIGHED betyder, at en organisation er bevidst, saglig og systematisk i sin brug og beskyttelse af persondata. Dette gælder for underleverandører og samarbejdspartnere.
5. LIGEVÆRDIGHED betyder at tage særlige hensyn til sårbare mennesker for at undgå diskrimination eller stigmatisering. Hensyn til sårbare mennesker er også at arbejde aktivt med at mindske bias i udviklingen af selvlærende algoritmer.Der er en række andre principper i dataetik afhængig af, hvem man spørger.

Dertil kommer en række andre principper afhængig af, hvem der har udviklet dem. Det kan være, at miljømæssig bæredygtig er inkluderet, det samme gælder robusthed overfor hackerangreb og andre foranstaltninger omkring datasikkerhed. OECD, EU og flere danske institutioner, f.eks. D-mærket, Erhvervsstyrelsen og Dansk Design Center, har udviklet dataetiske principper, som alle ligger tæt på ovenstående.

Dataetik som begreb opstod i begyndelsen af 2016, da forfatteren til denne artikel sammen med phd i dataetik Gry Hasselbach udgav bogen 'Dataetik – den nye konkurrencefordel' og samtidig stiftede den europæiske tænkehandletank DataEthics.eu. Hasselbalch blev en del af regeringens ekspertgruppe om dataetik, der bl.a. foreslog en mærkningsordning for dataetik (D-mærket, der blev etableret i 2021), et råd omkring dataetik (Dataetisk Råd, som holdt sit første møde i august 2019) og at virksomheder skal beskrive deres dataetik. Således har de største virksomheder siden 2021 afrapporteret om indsats i forhold til dataetik i årsrapporterne.

Dataetik kan misbruges, og det sker, når man ser det som et alternativ til lovgivningen. 'Ethics washing' bliver det kaldt, når f.eks. nogle big tech virksomheder har hævdet, at de arbejder med dataetik, og at etikken er vigtigere end lovgivningen samtidig med, at de selv end ikke efterlever lovgivningen.

Dataetiske eksempler:

• Når en virksomhed eller en kommune dropper 3. part cookies, selv om de godt kan bruge dem lovligt, fordi de f.eks. sælger medicin eller borgere søger viden om handicapstøtte. I begge tilfælde er der tale om følsomme data, som det pågældende website via 3. part cookies kommer til at dele med uvedkommende.
• Når en kommune vælger en europæisk cloud-leverandør frem for en kinesisk eller amerikansk, der ikke anses som sikkre tredjlelande for persondata. I stedet for at vente på, at retstilstanden bliver afklaret (ShcremsII), så skifter man cloudleverandøren ud og efterlever derfor både lov og dataetiske principper.
• Når en virksomhed gør alt for at sikre, at børn ikke er ulovligt på deres platform. Juridisk kan man fraskrive sig ansvaret ved at skrive, at man skal være 13 år. Men hvis man gør en indsats teknologisk og sikrer et forældre-samtykke, så børn under 13 år ikke er på platformen uden forældres samtykke, er man dataetisk.