Skip links

“GDPR er det, vi skal. Dataetik er det, vi vil”

Emento er en af de mest dataetiske virksomheder i Danmark. Dataetikken bruges til at skabe nye muligheder fremfor at være en begrænsning. 

Ementos hjemmeside er befriende fri for enhver form for cookie-banner. Hjemmesiden er nemlig fuldkommen strippet for tredjepart-cookies – inklusive Google Analytics. De er valgt helt fra, fordi det er uigennemskueligt, hvad data bruges til, og hvem de deles med. Ifølge GDPR må man godt bruge tredjepart-cookies, hvis man bare gør det på den måde, som loven foreskriver. Men måske man også vil være dataetiske og helt fjerne de små spioner, der deler data med i tusindvis af andre virksomheder i ad-tech industrien?

Emento, der sælger en digital forløbguides-platform til bl.a. sundhedssektoren, har vundet den første dataetiske pris i Danmark. Virksomheden tænker over alt, hvad de gør og ikke gør med data, og det lykkedes især i forankringen af arbejdet med dataetik på tværs af virksomheden. Dataetik er ikke et projekt eller en opgave. Det er en forretningsstrategi, siger Lyng Salling, Hun er virksomhedens DPO og kom til Emento, da de kun var seks ansatte. Som uddannet i Innovation Management var hun den eneste, der ikke havde en teknisk baggrund. Derfor landede der hurtigt opgaver på hendes skrivebord, som handlede om databeskyttelse. 

“For ikke-jurister er GDPR altså lidt svær at danse med. Jeg havde brug for at tage udgangspunkt i sund fornuft og noget, der var nemmere at arbejde med, så vi tog udgangspunkt i DataEthics.eu’s dataetiske principper,” forklarer Lyng Salling. 

Hun har en uddannelse som DPO (Data Protection Officer) og hun læner sig også op af en gruppe af jurister, som Emento har tilknyttet som eksterne DPO’er. Samarbejdet bidrager til en dybdegående forståelse og efterlevelse af GDPR, som man selvfølgelig skal før man kan tale om dataetik. Ementos GDPR-compliance revideres via ISAE3000 – altså hvor eksterne revisorer auditerer alt, hvad der er relateret til GDPR. 

Lyng Salling synes dog, at Emento med dataetikken kan favne bredere end GDPR. Det handler om grundlæggende menneskerettigheder og omhandler derfor også kommende reguleringer som NIS2 og AI act. Det gør det nemmere at indarbejde i virksomhedeskulturen og forretningsstrategien. 

Dansk cloud-tjeneste

Modsat de fleste andre danske virksomheder bruger Emento ikke store amerikanske cloud-tjenester. Sundhedsmyndighederne køber hosting via Emento, og Emento har derfor været igennem en grundig udvælgelsesproces. I Tyskland bruger de en tysk løsning, og i Danmark bruger de en dansk løsning.

Derudover er Emento meget bevidst i sit valg af tjenester og sætter default  indstillinger til ikke at dele data. Hvis det ikke kan lade sig gøre, finder de et alternativ, f.eks. bruger de Deepl.com fremfor Google Translate, fordi de med de sidste ikke ved, hvor data lagres. 

Når loven skygger

Lyng Salling, der har arbejdet med dataetikken i snart seks år, sidder med en konkret udfordring, hvor GDPR forhindrer dem i at være dataetiske. 

“Under GDPR har man en oplysningspligt overfor brugerne. De fleste har en privatlivspolitik til det, men vi er kun dataansvarlige for patienternes profiler i vores system, så vi skal kun oplyse patienterne om data i deres profil, mens sundhedsvæsenet er ansvarlige for data i forbindelse med deres forløb. Så patienterne skal læse både vores og det offentliges privatlivspolitik. Fordi vi har det her princip om gennemskuelighed og transparens valgte vi at informere patienterne om det hele i vores privatlivspolitik, men det må vi ikke. Det skal vi slette. Så på den måde forhindrer lovgivningen os i at være gennemskuelige og dataetiske.”

I dag er der 25 medarbejdere i Danmark og 14 i Tyskland, og Emento kigger ind i flere spændende internationale markeder. Måske de vil inkludere dataetik i deres ISO-27002 kontrol rammeværk, så der kommer eksterne auditører på, der kan bekræfte at det de siger, gør de også. 

Kunstig intelligens udfordrer

En anden stor udfordring er AI. Emento har i dag en ‘acceptable use policy’ omkring generativ AI, GenAI. De har planlagt en AI-uge hvor alle medarbejdere skal have en grundig forståelse for GenAI. Herefter får de til opgave at komme med bud på, hvordan AI kan løfte deres arbejdsopgaver. De kommer i fællesskab til at have nogle diskussioner om dataetiske og sikkerhedsmæssige overvejelser for hvert forslag. 

Lyng Salling fortæller, at Emento stiller samme dataetiske krav til deres leverandører som de stiller til sig selv.

“Men det er vigtigt for mig at understrege, at vi bruger dataetik til at skabe muligheder. Vi træffer valg og fravalg. Og det handler først og fremmest om hvordan vi kan bruge data på en positiv og ansvarlig måde.”

Lyng Salling er også ydmyg og realistisk, når hun sætter dataetik-baren for Emento.

“Vi forsøger så vidt muligt at give ud af vores viden om dataetik, så andre kan starte et sted, der giver mening for dem. Vi selv prøver at skabe en meningsfuld balance mellem vores holdning til dataetik og så forretningens gang, men med de fravalg og tilvalg vi tager, sørger vi for, at vi uanset hvad har ro i maven.”