Site Search

Loading Results

Compliance, etik og persondatabeskyttelse
#

I denne artikel kan du finde inspiration til, hvordan bestyrelsen bør sætte rammerne for interne modeller og procedurer, der hjælper til, at virksomheden overholder lovgivning samt forventninger til etisk adfærd. Dette gælder i alle henseender, herunder også i relation til whistleblowerordninger, dataetik mv.

Introduktion

Bestyrelsen bør altid sætte compliance højt på dagsordenen. Det gør den ved at bidrage til en prioritering af virksomhedens indsats på området. Med andre ord er det også bestyrelsens opgave at vurdere væsentlige risici og prioritere både den daglige ledelses og resten af virksomhedens indsats.

Det fremgår af PwC’s Global Economic Crime and Fraud Survey 2024, at 33 % af de danske virksomheder har været udsat for svindel eller anden økonomisk kriminalitet de seneste to år, og på globalt plan har 4 ud af 10 virksomheder oplevet svindel. Der er dog også positive tender i analysen, idet analysen viser, at 59 % af virksomhederne gennemført en besvigelses-risikovurdering inden for de sidste 12 måneder, 12 % har en risikovurdering planlagt, og hele 20 % har ikke gennemført en risikovurdering de sidste 12 måneder.

Whistleblowerkrav

Europa-Parlamentet og Rådet vedtog den 23. oktober 2019 direktiv (EU) 2019/1937 om beskyttelse af personer, der indberetter overtrædelser af visse dele af EU-retten. Formålet med direktivet var at sikre et ensartet og højt niveau af beskyttelse af whistleblowere i alle medlemslandene i EU – i både den offentlige og den private sektor.

På den baggrund vedtog Folketinget den 24. juni 2021 en dansk lov om beskyttelse af whistleblowere (whistleblowerloven). Fra den 17. december 2023 blev det herefter lovpligtigt for alle danske virksomheder med 50 eller flere ansatte at etablere en intern whistleblowerordning, som giver ansatte mulighed for at indberette oplysninger om overtrædelser af visse dele af EU-retten, alvorlige lovovertrædelser og andre alvorlige forhold. 

Opgørelsen af antal ansatte
Ved opgørelsen af antal ansatte medregnes både fuldtidsansatte, deltidsansatte samt sæsonansatte. Antallet af ansatte gælder for hver juridisk enhed, dvs. hver enhed med selvstændigt CVR-nummer.

Frivillige whistleblowerordninger
Virksomheder med færre end 50 ansatte har mulighed for at etablere en frivillig whistleblowerordning. Virksomheder, som har etableret en whistleblowerordning på frivillig basis, har dog ikke adgang til at behandle følsomme personoplysninger, men vil skulle finde behandlingsgrundlaget i databeskyttelseslovgivningen eller anden lovgivning.

Koncernfælles whistleblowerordninger
Virksomheder i en koncern kan som udgangspunkt oprette en koncernfælles whistleblowerordning. 

Spørgsmålet om adgangen til at etablere en koncernfælles whistleblowerordning har været bredt diskuteret, da den oprindelige fortolkning af EU-direktivet alene gav mellemstore private virksomheder med mellem 50-249 ansatte adgang til at indgå i en fælles løsning. 

Imidlertid valgte Danmark på baggrund af henvendelser fra en række interesseorganisationer og større danske virksomheder at indsætte en adgang i den danske whistleblowerlov for alle virksomheder uanset størrelse til at etablere koncernfælles whistleblowerordninger. Der blev dog samtidig indsat en bemyndigelseshjemmel til at ændre dette element i whistleblowerloven, hvis det skulle vise sig at være tilstrækkelig klart, at whistleblowerdirektivet ikke giver adgang til denne mulighed. Bemyndigelsesbestemmelsen har dog endnu ikke været benyttet.  

Flere EU-lande har valgt at følge den danske linje og tilladt virksomheder at etablere koncernfælles whistleblowerordninger - uanset virksomhedens størrelse. Ved etablering af fælles whistleblowerordninger i internationale koncerner er det vigtigt at være opmærksom på, om whistleblowerlovgivningen i de pågældende EU-lande også tillader samme mulighed, og om der eventuelt måtte være andre nationale forskelle i lovgivningen, der skal tages højde for.

En effektiv og velfungerende whistleblowerordning kan styrke virksomheden
Forpligtelsen til at etablere whistleblowerordninger vil kunne understøtte en effektiv afsløring, efterforskning og retsforfølgning af alvorlige lovovertrædelser og andre alvorlige forhold. 

PwC har udarbejdet en opgørelse over andelen af whistleblower indberetninger blandt C25 selskaber, som viser, at whistleblowerordninger i danske C25-selskaber bliver anvendt i stadig stigende grad. Antallet af indberetninger er steget markant de seneste tre år fra henholdsvis 2.238 indberetninger i 2021 og 2.549 indberetninger i 2022 til 3.410 indberetninger i 2023.

Effektive og velfungerende whistleblowerordninger giver personer mulighed for at afsløre og afdække fejl og forsømmelser og kan bidrage med viden, der kan bruges som led i en positiv udvikling og forbedring af eksisterende systemer.

Med den danske whistleblowerlov sikres whistleblowere en effektiv beskyttelse mod repressalier, herunder fyring, forflytning, degradering og chikane mv., når vedkommende i god tro indberetter om arbejdsrelaterede forhold, som er omfattet af whistleblowerlovens anvendelsesområde. 

Beskyttelsen af whistleblowere skal medvirke til at skabe et trygt forum, hvor whistleblowere kan indberette om alvorlige forhold uden at frygte negative konsekvenser.

En whistleblowerordning som værktøj og supplement til den daglige kommunikation
Den interne whistleblowerordning skal fungere som et supplement til den direkte og daglige kommunikation på en arbejdsplads, dvs. den normale ledelsesstruktur, men også den direkte henvendelse til hr-afdelingen eller en tillidsrepræsentant. 

Outsourcing til en ekstern tredjepart
Det er op til den enkelte virksomhed at beslutte, om virksomheden selv vil administrere whistleblowerordningen, eller om den skal administreres af en ekstern tredjepart, fx en revisor eller advokat. Det vigtigste er, at den fornødne objektivitet, upartiskhed og fortrolighed er sikret i behandlingen af indberetninger og undersøgelser af disse.

Valgmuligheder vedrørende setup
Virksomheder, som er omfattet af whistleblowerloven, kan frit vælge, om de vil stille whistleblowerordningen til rådighed for andre persongrupper end medarbejdere og således tillade indberetninger fra eksterne parter såsom tidligere ansatte, samarbejdspartnere, leverandører og kunder. 

Whistleblowerdirektivet og whistleblowerloven indeholder et krav om fortrolighed, men det er valgfrit for virksomheder at beslutte, om de vil tillade anonyme indberetninger.

Procedurekrav i whistleblowerloven

  • Der skal etableres en whistleblowerenhed, som er en upartisk og uafhængig person eller afdeling, der har ansvaret for at følge op på indberetninger. Whistleblowerenheden skal modtage indberetninger, have dialog med whistleblowere og sikre, at forhold undersøges objektivt og sagligt.

  • Indberetningsprocessen i whistleblowerordningen skal muliggøre skriftlige og/eller mundtlige indberetninger.

  • Whistleblowerordningen skal kunne håndtere fortroligheden af whistleblowerens identitet og identiteten af personer, som er nævnt i indberetningen.

  • Det skal dokumenteres skriftligt, at der er etableret passende procedurer, som sikrer modtagelse, behandling og opfølgning samt fortroligheden om whistleblowerens identitet.

  • Whistlebloweren skal modtage en kvittering for modtagelsen af indberetningen inden for syv dage, ligesom whistlebloweren skal modtage feedback senest tre måneder fra bekræftelsen.

Compliancetjek af eksisterende whistleblowerordninger
For at sikre, at etablerede whistleblowerordninger er effektive og velfungerende og overholder de til enhver tid gældende lovgivningskrav, anbefales det, at virksomheder gennemfører årlige revisioner af det eksisterende setup ved gennemgang af udarbejdede politikker og procedurer og ved at indhente feedback fra medarbejdere.

En effektiv og velfungerende whistleblowerordning indebærer, at medarbejderne har kendskab til ordningen og ved, hvordan ordningen kan og skal bruges. Med regelmæssig træning og klar kommunikation til medarbejderne kan man øge bevidstheden samt engagementet og trygheden i at bruge ordningen.

Whistleblowing som et direkte bestyrelsesanliggende

Komitéen for God Selskabsledelse anbefaler, at bestyrelsen etablerer en whistleblowerordning, som giver medarbejdere og andre interessenter mulighed for at rapportere alvorlige forseelser eller mistanke herom på en hensigtsmæssig og fortrolig måde, og at der er en procedure for håndtering af sådanne whistleblowersager, idet en whistleblowerordning kan være et godt redskab til proaktivt at identificere og reagere på risici.

Uanset om der er tale om et forhold, der formelt er indberettet gennem whistleblowerordningen, eller et forhold, der er indberettet direkte til bestyrelsen, og uagtet at indberetningen er anonym eller ej, skal en sådan henvendelse tages alvorligt.

Det er bestyrelsens opgave at sikre, at der straks tages hånd om whistleblowerindberetninger, herunder at det bliver vurderet, om der er behov for en yderligere undersøgelse af indberetningen og de nærmere omstændigheder, som denne beror på. Anonyme indberetninger vil således også have stor værdi. En virksomhed bør have formaliserede processer for disse tilfælde, og ellers kan bestyrelsen kontakte en tredjepart for at sikre den fornødne objektivitet og en korrekt databehandling.

Formalisering af behandlingen kan også være med til at sikre kvalificeret behandling i tilfælde af uretmæssige indberetninger. Såfremt disse er uklare, urigtige eller indberetteren har egne interesser, der er i konflikt med virksomhedens interesser, beskytter en velfunderet whistleblowerordning en virksomhed mod et eller flere individer, som potentielt kan have interesser, der ikke er sammenfaldende med virksomhedens.

Omvendt kan en manglende whistleblowerordning eller processer herfor føre til, at et ulovligt forhold ikke indberettes, eller at forholdet i stedet oplyses til pressen, offentlige myndigheder eller direkte til finansieringskilder.

Eksempler fra retspraksis er bl.a. med til at præcisere, hvordan en indberetning gennem whistleblowerordningen kan udvikle sig fra blot at være et bestyrelsesanliggende til også at være et potentielt bestyrelsesansvar. I sager anlagt på baggrund af oplysninger fra en whistleblower, der fx er blevet opsagt efter at have foretaget en indberetning igennem whistleblowerordningen, vil der rent juridisk være en formodning for, at opsigelsen er sket på baggrund af indberetningen. Herefter ligger der en forholdsvis tung bevisbyrde hos arbejdsgiveren, som må bevise, at opsigelsen ikke var begrundet i indberetningen.

Whistleblowerens beskyttelse forudsætter dog, at vedkommende havde rimelig grund til at antage, at de oplysninger, som blev indberettet, både var omfattet af whistleblowerlovens anvendelsesområde og var korrekte på tidspunktet for indberetningen. Bestyrelsen skal fremadrettet sikre processer, der beskytter whistlebloweren, når betingelserne er opfyldt. Såfremt whistleblowerens beskyttelse overtrædes, kan virksomheden pålægges at betale godtgørelse. Hvis en bestyrelse eller forpersonen for bestyrelsen undlader at reagere på en indberettet hændelse, og denne senere viser sig at have været rigtig og betydningsfuld, vil der være en forøget risiko for erstatningsansvar.

Dataetik

Siden 2021 har børsnoterede virksomheder og store virksomheder været forpligtet til at redegøre for deres politik for dataetik som en del af ledelsesberetningen. Det følger af årsregnskabslovens § 99 d. Ifølge det Dataetiske Råd skal dataetik forstås som “den etiske dimension af forholdet mellem på den ene side teknologi og på den anden side borgernes grundlæggende rettigheder, retssikkerhed og grundlæggende samfundsmæssige værdier, som den teknologiske udvikling giver anledning til at overveje.” 

§ 99 d forpligter store virksomheder omfattet af regnskabsklasse C og virksomheder omfattet af regnskabsklasse D til at redegøre for virksomhedens dataetiske politik, og hvis ikke virksomheden har en sådan politik, skal virksomheden redegøre for, hvorfor virksomheden har undladt at have en politik for dataetik. Redegørelsen skal desuden indeholde oplysninger om virksomhedens arbejde med dataetik. Der er ikke krav om, at virksomheden skal have en skriftlig politik, det vil sige, at skriftlige retningslinjer eller mundtlige retningslinjer kan være tilstrækkeligt. 

Formålet med årsregnskabsloven § 99 d var at skabe fokus på gennemsigtighed i virksomheders arbejde med dataetik, og forpligtelsen i § 99 d introducerer dataetik som et konkurrenceparameter blandt danske virksomheder. Derudover forpligter bestemmelsen ledelsen og bestyrelsen til, at tage ansvar for, at der tages stilling til behovet for en politik for dataetik, og indholdet af en sådan politik. 

I september 2022 offentliggjorde Erhvervsstyrelsen en publikation om store danske virksomheders arbejde med dataetik. Publikationen viser, at langt de fleste store danske virksomheder har en politik for dataetik, men at mange virksomheder oplever udfordringer med at konkretisere dataetik og med at forankre politikken i organisationen. Det er en fordel at formulere konkrete målsætninger og forankringstiltag for at øge værdien af arbejdet med dataetik. 

Dataetik i forbindelse med kunstig intelligens

Den 13. juni 2024 præsenterede Europa Parlamentet og Rådet AI-forordningen - det første EU harmoniserede lovgivning på området for kunstig intelligens. AI-forordningen har til formål at regulere brugen af AI-systemer og sikre, at anvendelsen af AI-systemer sker etisk ansvarligt. AI-forordningen kategoriserer AI-systemer i forskellige risikogrupper, og regulerer hvilke AI-systemer, der anses som acceptable og uacceptable. 

Forordningen kræver at virksomheder, for at kunne overholde AI-forordningen, skal sikre etisk behandling af data og beskyttelse af persondata i overensstemmelse med databeskyttelsesforordningen og databeskyttelsesloven. Derudover forpligter AI-forordningen ledelsen i virksomheder, der anvender AI-systemer, til at sikre et tilstrækkeligt niveau af færdigheder hos deres personale og andre personer, der er involveret i drift og anvendelse af AI. Kravet om træning af medarbejdere er blandt andet til for at sikre, at medarbejdere anvender AI-systemer dataetisk ansvarligt. 

Europa-Parlamentet og Rådet lægger i AI-forordningen op til, at virksomheder skal anvende EU’s syv etiske retningslinjer for pålidelig AI på frivillig basis. De syv etiske retningslinjer er udarbejdet af en AI ekspertgruppe, der blev nedsat af EU kommissionen i 2019. Retningslinjerne indeholder flere punkter, der relaterer sig til dataetik, herunder blandt andet at der skal sikres dataintegritet og en høj kvalitet af data, og at dataindsamling og datamærkning skal kunne spores for at sikre gennemsigtighed. 

AI-forordningen trådte i kraft den 1. august 2024, og de enkelte regler vil gradvist blive implementeret. 

Dataansvar - fysiske og juridiske personers ansvar

Ifølge databeskyttelsesforordningen er en dataansvarlig en fysisk eller juridisk person, offentlig myndighed, institution mv., der bestemmer formålet med behandlingen af personoplysninger, hvordan personoplysninger må behandles og af hvem personoplysninger må behandles. 

Det er som udgangspunkt arbejdsgiveren, der er ansvarlig for behandling af personoplysninger, der sker i forbindelse med virksomhedens aktiviteter. Det vil normalt omfatte situationer, hvor medarbejderen handler inden for instruks, men undertiden kan det også omfatte situationer, hvor medarbejderen handler uden for instruks, under forudsætning af, at medarbejderen klart behandler personoplysningerne i arbejdsgiverens interesse. I tilfælde, hvor medarbejderen handler inden for instruks, vil det være virksomheden, der er dataansvarlig og skal bære ansvaret for en eventuel bøde. 

Medarbejderen kan i nogle tilfælde blive anset for dataansvarlig. Det kan være i situationer, hvor medarbejdere behandler personoplysninger til egne formål, og hvor det ligger klart uden for virksomhedens aktiviteter og instrukser, eksempelvis hvis en medarbejder ansat ved politiet eller sundhedsvæsnet foretager et uberettiget opslag i et it-system for at få oplysninger om et familiemedlem. 

I de tilfælde, hvor en helhedsvurdering peger på, at medarbejderen er dataansvarlig, vil medarbejderen kunne pålægges en bøde. Udmåling af bøden sker ud fra en vurdering af overtrædelsens alvor og i overensstemmelse med Datatilsynet bødevejledning.

Persondatabeskyttelse

Den hastige digitalisering (fx cloud) og teknologiske udvikling (fx AI) skaber nye muligheder og innovative forretningsmodeller, men medfører også et nyt og komplekst retligt landskab, hvor målet hele tiden flytter sig.

GDPR og beskyttelse af personoplysninger er afgørende i en stadig mere digital og datadrevet verden, hvor digital information bliver stadig vigtigere for organisationers digitale transformation, men også introducerer nye cybertrusler og complianceudfordringer. 

Overholdelse af GDPR styrker tillid og troværdighed, hvilket er afgørende som konkurrenceparameter og nødvendigt for at opbygge stærke relationer med kunder, medarbejdere og samarbejdspartnere. Samtidig udgør GDPR en grundforudsætning for både brugen og udviklingen af AI. Det er også essentielt at overholde GDPR for at være forberedt på den stigende regulering af data og cybersikkerhed i EU, fx NIS2-direktivet. I takt med den øgede anvendelse af teknologi og data bliver GDPR uundgåelig for at sikre beskyttelse af kritiske data og virksomhedens forretningskontinuitet. 

Sammen udgør compliance med GDPR, AI, NIS2 og cloud- og legacy transformation nøgleelementer i virksomhedens compliance, cyber og digitale strategi og danner grundlag for en konkurrencedygtig digital fremtid.

Hvad bør bestyrelsen være opmærksom på ift. GDPR?

  • Ledelse og ansvar. Sørg for forankring af GDPR i ledelsen ved at udpege en ansvarlig for GDPR. Sørg for, at der er tydelig styring, ansvarsfordeling og roller ved at etablere en bredt sammensat GDPR-organisation. Sørg for, at ansvaret for GDPR er klart placeret i organisationen, og at ledelsen løbende modtager rapportering om overholdelsen af GDPR.
  • Udfør den lovpligtige kortlægning af jeres behandlingsaktiviteter. Kortlægningen danner grundlag for hele jeres compliancearbejde, herunder lovpligtige dokumenter som fortegnelser, oplysningspligter og risikovurderinger.
  • Udfør risikovurderinger. I har højst sandsynligt allerede udført risikovurderinger af jeres it-systemer. Det følger dog af GDPR, at der også skal foretages en kortlægning af risikoen for de registreredes rettigheder. På baggrund af disse risikovurderinger kan I implementere passende foranstaltninger og kontroller for at undgå brud på persondatasikkerheden.
  • Dokumentér jeres arbejde med compliance. Der gælder et dokumentationskrav efter GDPR, hvorfor det er vigtigt, at virksomheder er i stand til at dokumentere deres compliance-arbejde over for fx Datatilsynet.
  • Slet data, herunder personoplysninger, I ikke har brug for. Det følger af GDPR, at man må behandle personoplysninger, så længe det er nødvendigt. Foretag derfor en oprydning i jeres systemer og kontorer og slet oplysninger, I ikke længere har brug for.
  • Gennemgå og følg op på jeres adgangsstyring. Langt de fleste af Datatilsynets bødeindstillinger vedrører manglende behandlingssikkerhed, herunder især manglende adgangsbegrænsning. Det følger af GDPR, at kun personer, der har et arbejdsbetinget behov for at tilgå og behandle personoplysninger, skal have adgang til oplysningerne.
  • Udarbejd en årsplan. Virksomheder bør have en plan for, hvornår og hvordan opgaver relateret til compliance skal udføres. Det overskueliggør opgaverne og sikrer, at opgaverne udføres og med passende intervaller.

PwC's anbefalinger til bestyrelsen

  • Sørg for at allokere nok ressourcer til complianceområdet for at sikre, at de rette og nødvendige procedurer fungerer optimalt, og for samtidig at være på forkant med ny lovgivning.

  • Tag stilling til, hvordan og hvor ofte bestyrelsen bør modtage afrapportering om compliance og etiske forhold fra den daglige ledelse. Jo mere udsat virksomheden er, des oftere er der gerne behov for at gøre status. Derudover bør der være en fleksibel mulighed for at træffe beslutninger i konkrete situationer, der ikke kan afvente næste fastlagte afrapportering.

  • Overvej at udføre eller genbesøge en risikovurdering for hele virksomheden for at danne et overordnet risikobillede på etik og complianceområder. Det er i denne forbindelse vigtigt at få kalibreret risikoappetitten på områder som GDPR, dataetik, anti-korruption o.l.

  • Afdæk i denne forbindelse, hvor godt virksomheden er dækket af i forhold til finansielle kontroller, it-kontroller samt andre kontroller, herunder code of conduct, kontrakter, audit og kommunikation.

  • Kommunikér retningslinjer om håndtering af risici tydeligt til medarbejdere samt eksterne samarbejdspartnere. Opnå intern klarhed om, hvad virksomhedens holdninger er til risiko. Vær transparent, og brug gerne konkrete eksempler på, hvilke risici der prioriteres først, og hvordan virksomheden engagerer sig i praksis.

  • Det anbefales at udføre kontroller og stikprøver for løbende at følge op og sikre, at de nødvendige procedurer stadig overholder gældende lovgivning og er opdaterede.

PwC som sparringspartner

PwC har mange års erfaring som rådgiver og sparringspartner for direktioner og bestyrelser.

Sådan kan vi hjælpe

Kontakt os

Anastassia Stukan

Director, Risk Assurance, PwC Denmark

2168 9587

E-mail

Catrine Søndergaard Byrne

Partner, Legal, København, PwC Denmark

2448 9299

E-mail

Trine Vestengen Hopkins

Partner, Leder af Risk Assurance, København, PwC Denmark

5215 0003

E-mail

{{filterContent.facetedTitle}}

Om os Kontorer Presse Kontakt os

© 2021 - 2025 PwC. Alle rettigheder forbeholdes. PwC refererer til PwC netværket og/eller et eller flere af dets medlemsfirmaer, hvor hver enkelt virksomhed er en særskilt juridisk enhed. Se www.pwc.com/structure for yderligere detaljer.