Retningslinjer for dataetikk for NIRAS-konsernet og dets datterselskaper
Disse retningslinjene for dataetikk beskriver hvordan NIRAS Group A/S ("NIRAS-konsernet") og de andre selskapene i NIRAS Group A/S ("NIRAS", "vi", "vår" og "oss") håndterer opplysninger og dataetikk.
1 Introduksjon
For NIRAS er det viktig at våre samarbeidspartnere kan stole på oss og være trygge på vår håndtering av data. Derfor er vi opptatt av å beskytte data på tre måter:
- Vi har et sterkt fokus på å vurdere risiko, motvirke dem gjennom tiltak og dermed opprettholde et høyt nivå av informasjonssikkerhet.
- Vi har et sterkt fokus på alltid å overholde reglene i personopplysningsloven og rettighetene til den registrerte når vi behandler data.
- Vi har etablert våre egne interne etiske regler for å sikre at vi best mulig kan opprettholde tilliten vi har fått av partnere, kunder og borgere når vi behandler data, både fra individets perspektiv og fra samfunnets perspektiv.
Denne policyen gjelder for alle behandlinger i NIRAS. Policyen gjelder både personopplysninger og andre data. Videre gjelder policyen også for utvalgte samarbeidspartneres behandling i den grad vi kan påvirke disse. Policyen gjelder også for alle teknologier og prosesser under vår innflytelse.
2 Prinsipper for dataetikk
Følgende prinsipper ligger til grunn for NIRAS' ansvarlige behandling av opplysninger og supplerer de sikkerhets- og personopplysningsrettslige tiltakene vi allerede har etablert og overholder:
2.1 Dedikasjon til dataetikk
Ledelsen har utpekt en person med ansvar for dataetikk, og det er nedsatt et panel som skal gjøre dataetiske vurderinger.
Ledelsen går foran og bidrar til at prinsippene integreres i det daglige arbeidet.
Ledelsen sørger også for at det er utarbeidet og godkjent et dataetikkpolicy, og at det er balansert mot NIRAS' øvrige interesser.
2.2 Ansvar for databehandling
NIRAS tar ansvar for behandling av data. Derfor sikres det at behandlingen av partnernes data bare skjer når det er nødvendig og for klart definerte formål.
Data kartlegges og i henhold til lover, forskrifter og konvensjoner slik at risiko for utilsiktede konsekvenser ved bruk av data reduseres så mye som mulig.
2.3 Retningslinjer og kontroll av databehandling av tredjeparter
Det må sikres at IT-leverandører handler under instruksjon og har riktig sikkerhetsnivå for å håndtere data.
IT-leverandøren skal sørge for etisk behandling av data og ha en egen personvernpolitikk.
Data blir som hovedregel ikke solgt eller videreformidlet med mindre det foreligger en plikt til det.
Bruk av ny IT-leverandør må vurderes ut fra disse dataetiske prinsippene.
2.4 Verdi, åpenhet og sikkerhet for kundene
Data brukes til å skape verdi for kundene slik at de mest effektivt får tilgang til de riktige løsningene og informasjonen.
Transparens er utformet i løsningene slik at kundene i størst mulig grad har direkte innsikt i data om dem og behandlingene som gjøres, slik at kundene kan være trygge på at data er beskyttet på best mulig måte.
Det vurderes om det er negative konsekvenser (f.eks. overvåking, ekskludering eller stigma) for kundene når ny behandling av personopplysninger initieres – også gjennom bruk av ny teknologi.
2.5 Ansatte får opplæring og databehandlingen kontrolleres
Alle relevante medarbeidere skal ha mulighet og plikt til å få opplæring i dataetikk årlig.
3 Revisjon
Denne policy gjennomgås og godkjennes minst en gang i året av NIRASs ledelse.
Overholdelse av denne policy vurderes basert på ledelsesgodkjente kontroller. Policyen danner grunnlaget for den etiske erklæringen i forbindelse med ledelsens redegjørelse i årsrapporten.
Sist endret: 14-06-2023
Ta kontakt med oss hvis du har spørsmål
