Kunstig intelligens (KI) som ChatGPT og andre verktøy blir stadig mer utbredt i norske virksomheter. Men med muligheter følger også ansvar. Her får du en oversikt over viktige hensyn du bør ta for å unngå personvernbrudd, kontraktsproblemer og økonomiske sanksjoner.
Viktige hensyn ved bruk av KI-verktøy i virksomheten
Kunstig intelligens (KI) har blitt en kjent del av det norske samfunnet, med verktøy som ChatGPT, Bing Chat og Google Gemini. I tillegg bruker flere norske aktører, som Posten og DNB, KI-baserte løsninger som chatroboter.
Kanskje har også din virksomhet eller dine ansatte tatt i bruk slike verktøy. Kanskje har dere innført Microsoft Copilot for å skrive e-poster, utføre analyser eller andre oppgaver. Uansett hvilke KI-verktøy dere bruker, er det viktig å være oppmerksom på flere forhold som kan føre til bøter fra tilsynsmyndighetene eller kontraktsbrudd med kunder.
Personopplysninger kan komme på avveie
Personopplysninger omfatter mange ulike typer informasjon, men felles for dem er at de kan bidra til å identifisere en person. Dette kan være direkte opplysninger, som navn og telefonnummer, eller en kombinasjon av opplysninger, som kjønn og alder. For eksempel er "kvinne, 33 år" alene ikke nok til å identifisere noen, men legger man til en adresse, kan personen bli gjenkjent.
Når vi behandler personopplysninger – for eksempel lagrer dem for arkivering, sender dem til IT-leverandører, håndterer lønn eller skriver e-poster – kreves det et behandlingsgrunnlag. Dette kan være en avtale, et samtykke eller hjemmel i lov. Grunnen til dette er at den som får sine personopplysninger behandlet, skal forstå hvorfor og til hvilket formål dette skjer.
Men hva hvis du bruker personopplysninger i ChatGPT eller lignende KI-verktøy?
Da må du ha et behandlingsgrunnlag også for denne bruken. I mange tilfeller krever bruk av KI-systemer et særskilt grunnlag, og personen må vite til hvilket formål og i hvilket omfang deres opplysninger brukes. Dette kan være utfordrende, ettersom det er vanskelig å ha full kontroll på hvordan for eksempel ChatGPT behandler informasjonen. Dermed kan din virksomhet bli holdt ansvarlig for denne behandlingen, og hvis den er ulovlig, kan det føre til bøter fra Datatilsynet.
Konfidensialitetsbrudd og deling av opphavsrettsbeskyttet materiale
To andre risikoer er brudd på konfidensialitet og at opphavsrettsbeskyttet materiale kan bli tilgjengelig for andre. Begge problemene knytter seg til kontraktsforhold. De fleste kontrakter inneholder klausuler om konfidensialitet og immaterielle rettigheter, som opphavsrett. Disse klausulene pålegger partene å holde informasjon konfidensiell og sikrer at immaterielle rettigheter, som tekniske tegninger, forblir hos eieren, ofte kunden.
Så hva skjer hvis du legger inn konfidensiell informasjon eller opphavsrettsbeskyttet materiale i ChatGPT eller lignende verktøy?
Det kan føre til kontraktsbrudd. ChatGPT er en offentlig tilgjengelig plattform, og OpenAI, selskapet bak, har vært tilbakeholdne med å forklare hvordan data fra brukere benyttes til å forbedre systemet. Selv om OpenAI ikke gir detaljer om databruken, finnes det eksempler på at konfidensielle opplysninger eller tekniske tegninger har blitt delt via KI-verktøy og deretter gjort tilgjengelige for andre brukere.
Avsluttende kommentarer
For å unngå kontraktsbrudd og bøter anbefaler jeg at dere har tydelige retningslinjer for hvordan ansatte bruker KI-verktøy som ChatGPT. Disse verktøyene er ikke ulovlige, men de krever nøye oppmerksomhet for å sikre at de brukes på en forsvarlig måte.