Sikkerhet og databehandling i et AI-perspektiv

Databehandling og sikkerhet er en viktig del av alle oppdrag i IT-sektoren, og dette gjelder i enda større grad når AI (kunstig intelligens) er involvert.

Særlig viktig er dette når man behandler persondata. Vi i Experis har gjort oss noen erfaringer vi gjerne deler.

Sikkerhet og databehandling i et AI-perspektiv

Om konfidensiell informasjon

I forbindelse med våre leveranser, behandler vi i Experis store mengder informasjon. Denne informasjonen er ofte konfidensiell. Ikke bare hvis informasjonen inneholder personopplysninger, men også hvis den er forretningssensitiv, gradert eller taushetsbelagt.

Behandling av konfidensiell informasjon stiller særlig strenge krav til sikkerheten. Når vi bruker AI-verktøy, må særlig inndata beskyttes.

Utdata, slik som kode generert av AI-verktøy, vil også ofte være konfidensiell, og skal behandles deretter. I dialog mellom kunder, leverandører og partnere bør alle informeres om risiko og betingelser knyttet til slik databruk i eksterne tjenester. Det bør også finnes relevante tiltak for å beskytte data.

Om personvern

Dersom et oppdrag risikerer å krenke enkeltpersoners rett til personvern, må risikoen håndteres på en betryggende måte.

Det er naturlig å gjennomføre en konsekvensanalyse for personvern (DPIA) og andre risiko-vurderinger som regelverket krever. Dette gjelder selvfølgelig personvernet til alle involverte. Behandlingsgrunnlag og samtykke for innsamlede personopplysninger etter GDPRs artikkel 6 må være avklart. Tiltenkt bruk i oppdraget skal være i tråd med dette.

Vi i Experis anbefaler å involvere alle parters personvernombud (DPO) i slikt arbeid.

Generelt bør prinsippene i GDPRs artikkel 5 legges til grunn ved all behandling av person-opplysninger. Vær også særlig oppmerksom på at kategoriene for personopplysninger definert i GDPRs artikkel 9, som helse, religion, politisk oppfatning og lignende krever særskilte hjemler. Dermed skal de bare benyttes i helt spesielle tilfeller.

Dataminimering er et godt prinsipp. Dette er lovpålagt for personopplysninger gjennom GDPR, men også et riktig prinsipp for andre konfidensielle opplysninger. For Experis innebærer dataminimering at vi unngår å bruke konfidensielle data der det kan unngås, anonymiserer så langt det er mulig og bare bruker slike data etter at dette er lovlig og godkjent av kunden.

Om deling av data med AI-verktøyene

Det er nødvendig å ha gode interne rutiner og retningslinjer som sikrer at de ansatte er informert om at konfidensiell informasjon, som kildekode, ikke skal benyttes i AI-verktøy med mindre dette er nødvendig og i tråd med avtaler.

Et spørsmål vi alltid stiller oss, er om vi skal tillate at AI-leverandøren får tilgang til koden som våre konsulenter har skrevet for å forbedre AI-ens yteevne. Selv om dette kan gi bedre kvalitet på AI-resultatene, veier vi det opp mot hensynet til konfidensialitet og sikkerhet. Vårt klare utgangspunkt er at vi ikke tillater tilgang til slike formål. Som en del av sikkerhetsarbeidet krever vi om at verktøy som brukes av våre konsulenter skal være godkjent internt på forhånd.

Om sikkerhet knyttet til bruken av utdataene fra AI-verktøyene

AI-verktøyene vi bruker i Experis skal være teknisk robuste løsninger som forebygger risiko og som fungerer slik de er ment. Teknisk robusthet er også viktig for å sikre vedvarende konfidensialitet, integritet og tilgjengelighet. Vi bruker derfor kun AI-verktøy som har et sikkerhetsnivå som er akseptabelt med tanke på den tiltenkte bruken.

Når vi bruker tredjeparts biblioteker, modeller eller nettbaserte AI-tjenester, undersøker vi retningslinjene for datalagring og personvern. Vi velger bare leverandører som både har og etterlever akseptable retningslinjer på disse områdene. Normalt foretrekker vi å bruke betalte tjenester fremfor gratistjenester og anbefaler generelt dette. Forretningsmodellene til gratistjenester er ofte bygget på at leverandøren av tjenestene forbeholder seg rettigheter til å bruke data eller annen informasjon om bruken av tjenesten til eget formål, og dermed kan man miste kontrollen med disse.

Vær også bevisst på innstillinger knyttet til telemetri, altså automatisk overføring av data over større avstander ved hjelp av telekommunikasjon. Som standard anbefaler vi å deaktivere dette. Unntaket er om det gir en klar fordel i bruken av tjenesten og ikke går på akkord med personvern eller databeskyttelse.

Kode som genereres av AI-verktøy, spesielt innen arkitektur-komponenter eller infrastruktur, må både gås gjennom manuelt og underlegges automatisk testing i CI/CD-pipelines for å oppdage sårbarheter. Dette setter oss i Experis i stand til å identifisere og løse potensielle sikkerhetsproblemer før utrulling.

I en stadig mer digitalisert verden er forsvarlig håndtering av data og sikkerhet avgjørende, spesielt når kunstig intelligens er involvert. Hos Experis legger vi vekt på å ivareta konfidensialitet, personvern og integritet i all vår virksomhet. Gjennom å sette i verk riktige retningslinjer og grundig testing sikrer vi at AI-verktøyene vi bruker er robuste og pålitelige.

Vi oppfordrer også kundene våre til å velge tjenester med solid personvernpraksis.

Sammen kan vi skape tryggere og mer pålitelig bruk av AI.