29.5.2023 • Metaverse & AI Tietoturva Uutisia Sulavalta
Sulava ja Fondia lanseeraavat yhteisratkaisun tekoälyn vaikutustenarviointiin tietosuojalle
Uusia tekoälyyn liittyviä työkaluja ja käyttötapoja lanseerataan kirjaimellisesti päivittäin. Microsoft on julkaisemassa tietotyöläisten käyttöön mullistavan valikoiman Copilot-laajennuksia, jotka tuovat esimerkiksi sähköpostiin, Exceliin, PowerPointiin, Teams-kokouksiin ja Dynamicsin asiakashallintaan tekoälylaajennuksen.
Yhtenä esimerkkinä Teamsin Intelligent Meeting Recap -toiminnallisuus laatii kokouksista automaattiset tehtävälistat ja personoidut muistiinpanot, ns. Business chat kaivaa Teamsin keskusteluhistoriasta kovan datan lisäksi rivien välit ja äänensävyt. Dynamicsin Copilot taas vetää älykkäästi yhteen erilaisia analyyseja asiakasdatasta.
Asiakaskohtaiset tekoälyratkaisut mahdollistava Azure OpenAI Service puolestaan kytkeytyy esimerkiksi HR- tai asiakasjärjestelmään, sopimusdokumentaatioon tai vaikkapa potilastietokantaan tai organisaation sisäisiin ohjeistuksiin. Azure OpenAI Service mahdollistaa jopa päätöksenteon ulkoistamisen tekoälylle osana prosessien automatisointia.
Kaikissa mainituissa tapauksissa tekoäly voi päästä, tai siis pääsee, käsiksi arkaluontoisiin henkilötietoihin tai voi vaikuttaa ihmisten oikeuksiin ja vapauksiin esim. profiloinnin, automaattisen päätöksenteon tai valvonnan kautta. Tällaisissa tapauksissa tietosuoja-asetus – eli tuttavallisemmin GDPR – edellyttää niin sanotun DPIA:n tekemistä, eli tietosuojaa koskevien vaikutustenarviointia.
Mikä ihmeen DPIA?
DPIA (The Data Protection Impact Assessment) on prosessi, joka auttaa tunnistamaan, arvioimaan ja hallitsemaan tekoälyn käyttöönoton mahdollisia riskejä henkilötietojen suojalle ja perusoikeuksille. DPIA on siis elintärkeä työkalu tekoälyn eettisyyden ja laillisuuden varmistamiseksi. DPIA auttaa myös lisäämään luottamusta ja hyväksyntää tekoälyn ratkaisuihin sekä edistämään innovaatiota ja kilpailukykyä. Prosessi on osa kokonaisuutta, jossa organisaatiolle luodaan pelisäännöt keinoälyn vastuulliseen hyödyntämiseen.
Uskomme, että käytännössä jokainen organisaatio tulee ottamaan tekoälyn käyttöön seuraavan vuoden kuluessa ja näin ollen jokaisen organisaation tulee tehdä myös oma DPIA ja dokumentoida sekä päivittää sen tulokset säännöllisesti. Onneksi apu on lähellä, sillä me Sulavalla olemme kumppanoituneet Suomen johtavan lakiasiaintoimisto Fondian kanssa ja tarjoamme nyt asiakkaillemme tekoälyprojektien yhteydessä juuri tähän kokonaisuuteen erikoistunutta DPIA-pakettia.
Henkilötietojen hyödyntäminen tekoälyn opettamiseen
Tekoälyn opettamisessa ja hyödyntämisessä keskeinen merkitys on tiedolla ja käytettävän tiedon laadulla sekä soveltuvuudella tekoälysovelluksen käyttötarkoitukseen. Koska henkilötiedon määritelmä eurooppalaisessa tietosuojalainsäädännössä on laaja, on hyvin todennäköistä, että tekoälysovelluksen lähdetiedoissa on henkilötietoja.
Henkilötietojen hyödyntäminen tekoälyn opettamiseen on henkilötietojen käsittelyä. Mahdollisesti myös tekoälysovelluksen suunniteltu käyttö muodostaa uuden käyttötarkoituksen olemassa oleville henkilötiedoille. Kun henkilötietojen käsittelyssä käytetään uutta teknologiaa, jollainen tekoäly kiistämättä on, tulee käsittelylle tehdä tietosuoja-asetuksen 35 artiklan mukaisesti vaikutustenarviointi.
Tekoälyn vaikutustenarviointi
Vaikutustenarviointi on hyvä tehdä jo siinä vaiheessa, kun tekoälysovelluksen käyttötarkoituksia ja teknistä toteutusta suunnitellaan. Näin mahdollistetaan se, että vaikutustenarvioinnissa esille nousseet riskit ja tietosuojalainsäädännön asettamat vaatimukset voidaan toteuttaa privacy by design -vaatimuksen mukaisesti. Suunnitteluvaiheessa toteutettu vaikutustenarviointi on myös monella tapaa tehokkaampi, kun arviointia varten tarvittavia tietoa ei tarvitse kerätä erillisissä työpajoissa, vaan ne voidaan kerätä muun suunnittelun ja työstämisen yhteydessä.
Vaikutustenarvioinnissa on kolme osuutta: tietojen käsittelyn kuvaus, käsittelyn tarpeellisuuden ja oikeasuhtaisuuden arviointi, sekä riskiarviointi. Näistä riskiarviointi on usein käytännössä haastavin toteuttaa, mutta varsinkin tekoälysovellusten osalta se on kaikkein tärkein vaihe, koska tietosuoja-asetus vaatii tarkastelemaan nimenomaan riskejä yksilöiden oikeuksille ja vapauksille, joihin liittyvät ongelmat nousevat usein esille tekoälystä puhuttaessa.
Mihin kiinnittää huomiota erityisesti tekoälysovellusten vaikutustenarviointia tehtäessä?
Käsittelyn kuvauksessa tulisi kuvata (ylätasolla) sitä logiikkaa, jonka mukaisesti tekoäly oppii ja soveltaa oppimaansa, sekä selvittää millaista henkilötietoa sisältyy tietoon, jolla tekoälysovellusta opetetaan ja jota se hyödyntää.
Käsittelyyn liittyy tiettyjä erityiskysymyksiä, jotka tulee vaikutustenarvioinnissa selvittää:
- Onko mahdollista, että tekoälyn ”oppimateriaalina” toimimisen kautta henkilötiedot päätyvät sellaisten ihmisten tietoon, joilla ei ole oikeutta niitä nähdä?
- Onko jokin tekoälyn käyttötarkoitus automaattista päätöksentekoa?
- Soveltuuko käsiteltävään tietoon jokin erityislainsäädäntö, kuten potilastietolainsäädäntö tai viestintäsalaisuutta koskevat säännökset?
Koska tekoälysovelluksiin liittyvään datan käyttöön liittyy muitakin huomioitavia asioita kuin tietosuoja, voi olla tarkoituksenmukaista laajentaa vaikutustenarvioinnin kohdetta ja hyödyntää tietosuojasta tuttuja metodeja myös muiden datan käyttöä koskevien asioiden läpikäymiseen, jotta ne voidaan keskitetysti huomioida teknisessä implementoinnissa, prosesseissa ja ohjeistuksissa.
Kiinnostuitko aiheesta?
Ota yhteyttä Sulavaan, niin keskustellaan lisää! Katso lisää tekoälypalveluita Sulavalta
Artikkelin kirjoittajina Karoliina Partanen Sulavalta sekä Liisa Holopainen, Senior Legal Counsel, Fondialta.
