Särskilt om användning av allmänt tillgänglig och integrerad generativ AI

Allmänt tillgänglig generativ AI

Utvecklingen av maskininlärning och datorkraft har lett till lanseringen av en rad nya tjänster där användare kan få tillgång till generativ AI via användarvänliga gränssnitt i molntjänster och öppna API:er som kan användas för en mängd olika ändamål. Genom denna typ av tjänster, som idag huvudsakligen utvecklas och tillhandahålls av amerikanska leverantörer, har generativ AI blivit tillgänglig för allmänheten. För att börja använda dessa typer av öppna tjänster behöver användaren oftast bara skapa ett konto eller teckna en prenumeration hos leverantören.

Att använda ett AI-system som bygger på generativ AI kan innebära att personuppgifter behandlas som gör att kraven i dataskyddsförordningen och annan dataskyddslagstiftning måste iakttas.

Användning av generativ AI behöver ske kontrollerat

För allmänt tillgängliga AI-tjänster är det sällan möjligt att ställa krav på systemets funktioner, säkerhet och informationshantering. Om medarbetare ska få använda sådana typer av tjänster i arbetet måste verksamheten först ta ställning till hur detta ska få ske. Användningen kan innebära att känslig information överförs till AI-tjänsten och en risk för att den blir en del av en grundmodells träningsdata. Verksamheten bör ta fram interna riktlinjer som reglerar användningen i syfte att skydda verksamhetens information och för att säkerställa att användningen sker på ett säkert sätt som också är förenligt med dataskyddslagstiftningen.

Behandling av personuppgifter i allmänt tillgängliga generativa AI-tjänster

Att använda allmänt tillgängliga generativa AI-tjänster på ett sätt som innebär att personuppgifter skrivs in i promptar eller att ge tjänsten instruktioner som leder till att personuppgifter skapas utgör personuppgiftsbehandling. Sådana behandlingar måste ske i enlighet med dataskyddsförordningen. En analys av om och hur användningen lever upp till dataskyddsförordningens krav behöver göras innan tjänsterna tas i bruk. Det behöver finnas tydliga interna riktlinjer om och under vilka förutsättningar personuppgifter får användas som indata eller genereras som utdata.

Personuppgiftsansvar för användning av allmänt tillgängliga generativa AI-tjänster

Generativa AI-tjänster som är allmänt tillgängliga erbjuds ofta i olika versioner, från kostnadsfria alternativ till prenumerationsbaserade tjänster eller sådana som regleras av särskilda licensavtal. Verksamheter som använder dessa tjänster bör alltid säkerställa att personuppgifter behandlas lagligt och är tillräckligt skyddade, oavsett vilket alternativ som används.

Allmänt tillgängliga generativa AI-tjänster utan personuppgiftsbiträdesavtal

Vid skapandet av ett konto hos en allmänt tillgänglig generativ AI-tjänst kan det förekomma att personuppgiftsbiträdesavtal saknas för användningen av tjänsten. Detta beror ofta på att villkoren i vissa versioner av dessa tjänster förutsätter att kontot registreras av en användare i egenskap av privatperson, i syfte att använda tjänsten för eget bruk. Om en medarbetare använder en sådan tjänst i sitt arbete och i samband med det behandlar personuppgifter, kan arbetsgivaren bli personuppgiftsansvarig för behandlingen. Eftersom arbetsgivaren i dessa fall inte har ingått ett personuppgiftsbiträdesavtal med leverantören, kan användningen strida mot dataskyddsförordningen. Arbetsgivare bör därför tydliggöra att dessa tjänster inte får användas av medarbetare i arbetet utan föregående godkännande och inte utan ett personuppgiftsbiträdesavtal som lever upp till kraven i dataskyddsförordningen.

Allmänt tillgängliga generativa AI-tjänster med personuppgiftsbiträdesavtal

Vid skapande av ett konto hos en allmänt tillgänglig generativ AI-tjänst där avtalsvillkoren riktar sig mot användning som inte sker för privat bruk fungerar leverantören i många fall som ett personuppgiftsbiträde i förhållande till den användande verksamheten. Leverantören av sådana tjänster erbjuder ofta personuppgiftsbiträdesavtal där det ska framgå hur leverantören behandlar personuppgifter för den användande verksamhetens räkning. Det kan till exempel avtalas om att leverantören inte får behandla personuppgifter som leverantören får tillgång till för egna ändamål. Ett vanligt problem är dock att leverantören många gånger använder standardiserade personuppgiftsbiträdesavtal och användarvillkor där det finns begränsade eller inga möjligheter att förhandla och anpassa villkoren till verksamhetens behov. I dessa situationer behöver verksamheten bedöma om det är möjligt att följa dataskyddsförordningen med leverantörens villkor och annars avstå från att använda tjänsten.

Generella råd vid användning av allmänt tillgängliga generativa AI-tjänster

Att medarbetare på eget initiativ använder generativa AI-tjänster för arbetsrelaterade syften kan innebära att arbetsgivaren blir personuppgiftsansvarig för behandlingen. Användningen av dessa tjänster bör därför i stället ske under arbetsgivarens kontroll. Tjänsten bör upphandlas av verksamheten utifrån den tilltänkta användningen och avtalsvillkoren behöver garantera en tillräcklig skyddsnivå för personuppgifterna.

Många leverantörer av allmänt tillgängliga generativa AI-tjänster lägger ansvaret på användarna att säkerställa att tjänsten används på ett lagligt sätt. Det innebär att verksamheten måste säkerställa att tjänsten är korrekt inställd och konfigurerad för att användningen ska uppfylla kraven i dataskyddsförordningen.

Överväg lämpligheten av användningen

En verksamhet bör överväga om generativa AI-tjänster är lämpliga att införa på arbetsplatsen baserat på syftet med användningen. Det bör också övervägas om tjänsten ska användas inom hela verksamheten eller endast i vissa delar. Dessa överväganden bör dokumenteras i interna styrdokument som reglerar hur tjänsten får användas och vilken typ av information som får behandlas i den.

Integrerad generativ AI

Förutom att generativ AI utvecklas i nya tjänster har det även blivit vanligare att generativ AI integreras i befintliga kontors- och företagsprogramvaror. Det kan handla om enklare AI-tjänster som automatiskt genererar förslag på texter och innehåll, men också mer avancerade lösningar där AI-tjänsten fungerar som en personlig, digital assistent som kan användas för allt från att analysera data till att föreslå mer relevanta och personliga sökresultat baserat på användarens arbetskontext och preferenser.

Dessa tjänster fungerar som ett tillägg till befintlig kontorsprogramvara som kan aktiveras av användaren. Många verksamheter inom offentlig förvaltning använder idag kontorsprogramvara med möjlighet till att aktivera denna typ av tilläggstjänster. Sådana verktyg innebär då vanligtvis att en AI-tjänst ansluts till den användande verksamhetens data och ges åtkomst till information som verksamheten behandlar. I enklare fall av integrerade generativa AI-tjänster kan det handla om att integrera en chatbot som svarar på generella frågor utan att ha direkt åtkomst till verksamhetens interna information.

Många av dessa tilläggsfunktioner av generativa AI-tjänster befinner sig i ett tidigt utvecklingsstadium och erbjuder ofta begränsade möjligheter till lokala och flexibla anpassningar. Det kan exempelvis handla om begränsade möjligheter att bestämma vilka data som AI-tjänsten ska ha tillgång till. Om verksamhetens informationshantering och behörighetsstyrning är bristfällig kan det leda till att en användare får åtkomst till information som denne inte borde ha åtkomst till. Detta ökar i sin tur risken för att också AI-tjänsten kan komma åt och behandla data som tjänsten inte borde hantera.

Behandling av personuppgifter i integrerade generativa AI-lösningar

Att aktivera en generativ AI-tjänst som redan finns integrerad i befintlig programvara kan innebära att AI-tjänsten får tillgång till information som behandlas i programvaran. Om denna information innehåller personuppgifter innebär aktiveringen att personuppgifter behandlas av AI-tjänsten. Denna omständighet innebär inte nödvändigtvis att en ny behandling av personuppgifter uppstår eftersom AI-tjänsten kan vara avsedd att uppfylla samma funktion som den programvara som redan används i verksamheten. Huruvida användningen av AI-tjänsten utgör en ny behandling av personuppgifter måste bedömas från fall till fall.

En generativ AI-tjänst, exempelvis en digital assistent med tillgång till verksamhetens data, kan användas för att behandla personuppgifter på många olika sätt och för varierande ändamål. En verksamhet som avser att aktivera en integrerad generativ AI-tjänst bör tydligt definiera ändamålet för användningen. Om AI-tjänsten är byggd som en extrafunktion till den befintliga programvaran kan ändamålet med användningen av AI-tjänsten ofta kopplas till samma ändamål som för användningen av den aktuella programvaran.

Nya behandlingar av personuppgifter kan uppstå

Aktiveringen av en integrerad generativ AI-tjänst kan leda till nya personuppgiftsbehandlingar. Det kan vara fallet om AI-tjänsten som aktiveras kan samla in användardata genom att registrera interaktioner med tjänsten, inklusive de instruktioner som användaren skapar och de svar som tjänsten genererar.

En verksamhet som planerar att aktivera en integrerad generativ AI-tjänst bör först analysera om användningen medför nya behandlingar av personuppgifter och dokumentera detta. Om fler personuppgifter behandlas eller kombineras på nya sätt genom användningen av AI-tjänsten, är det viktigt att kartlägga dessa nya behandlingar. Verksamheten kan också behöva uppdatera sin integritetspolicy eller liknande dokument.

Personuppgiftsansvar för integrerade generativa AI-tjänster

Användning av en integrerad generativ AI-tjänst i befintlig programvara innebär i många fall att verksamheten blir personuppgiftsansvarig för de behandlingar som sker genom AI-tjänsten. Ansvaret för att medarbetarna använder integrerade AI-tjänster på ett lagligt och integritetsvänligt sätt ligger vanligtvis på verksamheten. Därför krävs det att verksamheten har tillräckliga kunskaper om tjänstens funktionalitet för att kunna säkerställa en korrekt användning.

Generella råd vid användning av en integrerad generativ AI-tjänst

Generativa AI-tjänster integrerade i befintliga programvaror skiljer sig från traditionella digitala assistenter genom att de kombinerar funktionaliteten hos grundmodeller med tillgång till verksamhetens egna data. Användningen av dessa AI-tjänster kräver att verksamheten har god översikt och kontroll över sin information. AI-tjänsten bör inte få mer åtkomst än den data som den individuella användaren har behörighet till. Verksamheten behöver ha en adekvat informationshantering på plats innan AI-tjänsten ges tillgång till verksamhetens data. Detta är en grundläggande förutsättning för att kunna leva upp till dataskyddsförordningen.

Informationskartläggning kan vara nödvändig

För att minska risker, och för att kunna efterleva principen om ansvarsskyldighet, bör verksamheten genomföra en informationskartläggning. Syftet med en sådan kartläggning är bland annat att identifiera vilken information som finns, var den lagras och vilka inom verksamheten som har åtkomst till den. En noggrant genomförd informationskartläggning är också avgörande för att säkerställa korrekta behörigheter vid aktiveringen av en AI-tjänst som får tillgång till verksamhetens data.

Verksamheten bör etablera rutiner för att kontinuerligt klassificera information och efterleva eventuella lagkrav på informationshantering. Detta kräver ett samlat och noggrant arbete från hela verksamheten.

Överväg nya strukturer för att anpassa verksamheten

Eftersom användningen av AI-tjänsten kan innebära att verksamhetens information hanteras på nya sätt, kan befintliga processer behöva anpassas. Det är viktigt att verksamheten skaffar sig kunskap om tjänstens funktionalitet för att kunna integrera den på ett integritetsvänligt sätt.

Aktiveringen av en generativ AI-tjänst i befintliga programvaror innebär ofta att verksamheten behöver införa nya rutiner, riktlinjer och utbildningsinsatser. Syftet med det är att skapa en djupare förståelse för AI-tjänstens kapacitet och samtidigt öka medvetenheten om generativ AI:s potential, begränsningar och risker.