Forsvarlig bruk av generativ kunstig intelligens
Generativ kunstig intelligens er en supertrend og bruken av denne teknologien i norske virksomheter er sterkt økende. Vi ser spesielt at mange nå vurderer eller allerede har begynt å teste blant annet Microsoft 365 Copilot, med mål om en bredere implementering i nær fremtid. For å sikre forsvarlig bruk av dette og andre KI-baserte produkter, er det flere aspekter som bør vurderes.
Microsoft 365 Copilot er en samling av KI-verktøy som kan integreres i en rekke applikasjoner innenfor Microsoft Office 365 – en plattform som er svært utbredt på norske arbeidsplasser. De forskjellige Copilot-applikasjonene fungerer som AI-drevne assistenter når en bruker Office-applikasjoner som Sharepoint, Onenote, Word, Outlook, Excel, Teams eller PowerPoint. Teknisk sett består 365 Copilot av språkmodeller som er kombinert med visse søke- og lesefunksjoner.
Som et utgangspunkt kan 365 Copilot bruke alle dokumenter og informasjon som brukeren har tilgang til innenfor en Office 365-plattform. Copilot kan umiddelbart søke og sammenstille data fra dokumenter, presentasjoner, e-post, kalender, notater og kontakter. Verktøyet kan svare på spørsmål og utføre oppgaver med henvisning til og bruk av virksomhetens data, i tillegg til informasjon som kan søkes opp på internett. I dette ligger store muligheter, men også noen utfordringer som virksomheten må håndtere før Copilot implementeres.
Sikker og forsvarlig implementering og bruk
Ved innføring av ny og lite utprøvd teknologi, vil mange virksomheter være underlagt krav om risikovurdering og vurdering av personvernkonsekvenser (DPIA). Som ledd i slike vurderinger ved innføring av 365 Copilot, bør virksomheter særlig være oppmerksom på følgende forhold:
- Kartlegg hvordan 365 Copilot vil endre behandlingen av personopplysninger og ikke-personlige data i virksomheten. For eksempel kan Copilot 365 brukes til automatisk transkripsjon av Teams-møter. Selv om møtenotater kanskje ville blitt tatt manuelt uansett, kan automatisk transkripsjon føre til at mer informasjon blir notert og lagret, noe som øker risikoen for unødvendig lagring og spredning av data.
- Opprydding i eksisterende data kan være nødvendig for å sikre at personopplysninger og forretningshemmeligheter ikke behandles eller spres på en måte som er i strid med regelverk eller virksomhetens interesser.
- Systeminnstillinger. Kartlegg og vurder oppsett og innstillinger, og gjør en gjennomgang av eksisterende Office 365-innstillinger. Innføring av 365 Copilot kan føre til at forutsetningene som ligger til grunn for eksisterende innstillinger endres, for eksempel for å sikre forretningshemmeligheter.
- Brukeropplæring, instrukser og retningslinjer. Interne styringstiltak kan være avgjørende for en forsvarlig håndtering av risikoscenariene som blir identifisert i en risikovurdering. Dette kan bl.a. omfatte retningslinjer om hvordan virksomhetens ansatte kan bruke KI-generert innhold.
- Forvaltning av dokumentasjon fra leverandør. Generativ kunstig intelligens er en ny teknologi som er i stadig utvikling. Leverandører av slik teknologi har som regel ikke fullstendig oversikt over alle konsekvenser ved bruk av teknologien i ulike virksomheter. Microsoft publiserer løpende dokumentasjon basert på egne erfaringer og informasjon de mottar fra sine kunder.
- Etiske prinsipper og kommende lovkrav. Vurder om virksomhetens planlagte bruk av 365 Copilot vil være i samsvar med rådende etiske prinsipper for kunstig intelligens og EUs kommende regelverk (AI Act).
- Ansvarsfordeling. Avklar leverandørens rolle og ansvar.Vær oppmerksom på virksomhetens forpliktelser og ansvar i henhold til leverandørens vilkår, for eksempel knyttet til krenkelse av andres rettigheter eller bruk av innhold som på annen måte er ulovlig.
Risikovurderinger og retningslinjer for databehandling og prosesser (data governance) er tiltak som kan bidra til å sikre effektiv og sikker bruk av kunstig intelligens i organisasjonen. Dette hjelper virksomheten også med å optimalisere verdien av data ved å legge til rette for bedre beslutningstaking, innovasjon og ytelse.
Det er viktig å huske på at 365 Copilot ikke er ett produkt, men en samling av ulike produkter med generativ kunstig intelligens som base. Ulike virksomheter har forskjellige behov, og vurderingene som gjøres under og etter innføring av 365 Copilot eller andre KI-systemer må tilpasses den enkelte virksomhet og virksomhetens bruk av de ulike applikasjonene. Vær også oppmerksom på at det finnes flere KI-produkter på markedet med «copilot» i tittelen – bl.a. et produkt fra Microsoft som ikke er knyttet direkte til Office 365. Andre «copilot»-varianter kan komme med andre vilkår og forutsetninger enn Copilot for Office 365.
Med et av landets største og mest anerkjente teknologi- og IT-rettsmiljøer (rangert best i Norge i Kapital 2023), gir Haavind strategisk og juridisk rådgivning inn mot digital forretningstransformasjon og relaterte juridiske løsninger. Vår senioradvokat Mathias K. Hauglid har også nylig levert doktorgradsavhandling innenfor KI-juss. Vi har erfaring fra store digitale transformasjons-prosjekter og en unik bransje- og teknologiforståelse basert på høyt volum av rådgivning.