Regelverket
Regelverket for personvern som gjelder i Norge er GDPR (General Data Protection Regulation, eller personvernforordningen på norsk). Dette er en lov vedtatt av EU, som regulerer hvordan personopplysninger kan lagres og brukes.
Datasikkerhet
Når du bruker KI-verktøy må du alltid være bevisst på hva som skjer med informasjonen du gir verktøyet tilgang på. De aller fleste slike verktøy trenger mer ressurser enn det som er tilgjengelig på datamaskinen din. Derfor vil disse benytte seg av servere, altså andre datamaskiner som din maskin snakker med, for å analysere dataen du gir verktøyet tilgang på.
I tillegg til dette vil informasjonen sendes over internett fra maskinen din til serveren, og ny informasjon vil sendes tilbake til din datamaskin. Skal du bruke KI-verktøy som student eller ansatt på UiO må du derfor ta stilling til om både serveren du sender informasjonen til, og måten du overfører dataen på, er sikker og i tråd med lover og regler.
Dersom vi ikke tar tilstrekkelig hensyn til dette risikerer vi at de dataene vi gir KI-verktøyene tilgang på havner i gale hender, og i verste fall misbrukes.
På UiO har vi to kategorier av KI-verktøy
Eksterne verktøy
Dette er verktøy som kjører på servere som UiO ikke eier, men av bedrifter som vi har en databehandleravtale med. Databehandleravtalen gjør at vi trygt kan utveksle informasjon med tjenesten, men det legger likevel noen begrensninger på hvilken informasjon som kan sendes.
Et eksempel på et eksternt verktøy er UiO sin ChatGPT-løsning, som ligger på gpt.uio.no. Denne løsningen bruker servere i Irland for å kjøre tjenesten. Siden serverne ligger i EU/EØS, og vi har en databehandleravtale med Microsoft, kan vi lovlig bruke tjenesten til å behandle ordinære personopplysninger som navn og telefonnumre, det vil si grønne og gule data.
Pass på at du ikke deler sensitive personopplysninger, for eksempel opplysninger om en persons helse, religion, politiske oppfatninger eller liknende. Ikke-sensitiv informasjon, som studenters navn og epostadresser, kan bruker i UiOs GPT-løsning. Det samme gjelder studenters eksamensbesvarelser.
Interne verktøy
Dette er verktøy som kjører på UiOs egne servere. Det at serverne er våre gir oss mer kontroll over dataen, og vi kan derfor bruke disse til mer sensitiv data enn de eksterne verktøyene.
Et eksempel på dette er Autotekst, som kan transkribere opptak av tale til tekst med svært god treffsikkerhet, samt oversette tale til tekst på andre språk. Siden autotekst bruker servere som UiO selv eier og styrer, kan opptak som inneholder sensitive personopplysninger benyttes ved bruk av dette verktøyet. UiO bruker heller ikke internett for å sende dataen ut til noen eksterne, siden alt skjer på serverne vi har i våre lokaler. Det er derimot viktig å passe på at du ikke bruker utrygge nettverk for å sende informasjonen inn til UiO sin server. Hvis du for eksempel sitter på et åpent nettverk, som betyr internett-tilgang uten krav til passord, kan du være utsatt for at andre får tilgang til dataen du laster opp.
Mer informasjon om de ulike typene data, og hvordan de kan lagres og behandles, finnes i UiOs klassifisering av data og informasjon.
Mer informasjon om hvilke data som kan lagres hvor finnes i UiOs lagringsguide.
Opphavsrett
I tillegg til å passe på at ikke opplysninger havner på avveie, må du også ta tilsvarende hensyn for å ivareta opphavsretten på materialet du gir KI-verktøy tilgang på.
Dersom du har fått tilgang på en vitenskapelig artikkel som ligger bak betalingsmur kan du ikke legge denne et sted hvor andre får tilgang på den, fordi den er beskyttet av opphavsrett og ikke skal deles videre. Å gi et KI-verktøy tilgang til artikkelen kan føre til at andre får tilgang på den, og potensielt også at kunnskapen fra artikkelen bygges inn i verktøyet og blir tilgjengelig for alle som bruker det. Du risikerer derfor å bryte opphavsrettsbestemmelsene om du ikke er forsiktig. Dette kan få både juridiske og økonomiske konsekvenser. Dersom du bruker UiOs ChatGPT-løsning er dette ikke et problem, da informasjonen du gir den ikke brukes til videre opplæring.
Det er også viktig å huske på at KI-verktøy har blitt trent opp på store mengder data for å bli flinke til formålet sitt. I mange tilfeller er det ukjent hvilke data dette er, og det kan være problemer knyttet til hvorvidt bruken var lovlig. Dette er eksempelvis hvorfor ChatGPT ble blokkert av Italienske myndigheter, da landets personvernsinstans fastslo at firmaet som lagde ChatGPT ikke hadde lovlig rett til å lære opp modellen på dataene de brukte.
Retningslinjer for KI-generert innhold i UiOs digitale kanaler