Kunstig intelligens i Brønnøysundregistrene
I Brønnøysundregistrenes strategiplan under «ambisjoner» står det at vi skal utforske og på en forsvarlig måte utnytte mulighetene kunstig intelligens gir. Derfor har vi vedtatt en policy for bruk av kunstig intelligens hos oss, som er utarbeidet av vårt KI-team. Policyen gir følgende retningslinjer alle i Brønnøysundregistrene skal jobbe etter:
Du skal aldri:
- dele personlig informasjon, som personopplysninger om ansatte og innbyggere i eksterne løsninger
- dele sensitiv informasjon, som virksomhetskritiske opplysninger
- dele brukerinformasjon, som påloggingsinformasjon og passord
- lime inn eller bruke intern eller sensitiv informasjon, dokumenter eller utklipp fra disse i en ekstern KI-løsning, med mindre annet er avklart og dokumentert
- stole på at en KI sier sannheten – sjekk alltid fakta
- bruke kun KI til å ta beslutninger som i betydelig grad påvirker personer
Du skal alltid:
- være kritisk til det du leser – se opp for unøyaktigheter, skjevheter og feilaktig informasjon
- være kritisk til om KI bryter opphavsrett, særlig for tredjepart
- tydelig merke innhold som du helt eller delvis har brukt generativ KI til å lage. For eksempel “Denne illustrasjonen er laget ved hjelp av KI”, i tillegg til kreditering av KI-tjenesten du har brukt.
- huske at du er ansvarlig for KI-generert tekst du står som avsender av, eller publiserer
- være transparent og si fra om når du bruker en KI-generert tekst, bilde, kode eller annet
- være oppmerksom på at KI har gjort det lettere for trusselaktører å svindle. Kontakt alltid Servicedesken om du er i tvil om noe er ekte eller falskt.
Dersom du ønsker å komme i kontakt med KI-teamet hos oss, kan du ta kontakt via kontaktskjemaet. Policyen kan du lese under:
Brønnøysundregistrene har som en av fire strategiske ambisjoner å «utforske og på en forsvarlig måte utnytte mulighetene kunstig intelligens gir.» Dette skal bidra til å oppfylle vårt samfunnsoppdrag, som er å “bidra til økt verdiskaping gjennom å forvalte registerdata på en trygg og oversiktlig måte, for å skape tillit og fornyelse av samfunnet.”Kunstig intelligens (KI) er et område innenfor informasjonsteknologi som utvikler seg raskt. Offentlige myndigheters utvikling og bruk av KI kan gi store gevinster i form av effektivisering og ressursbesparelse, og dermed store økonomiske og velferdsmessige fordeler for samfunnet. Samtidig er det også en viss risiko forbundet med å ta i bruk denne type teknologi. KI-systemer bruker store mengder data, som også innebærer personlige- og sensitive data som er underlagt restriksjoner i lovverket.Som offentlig etat er vi avhengig av at brukerne våre har høy tillit til tjenestene vi leverer. Det er derfor avgjørende å sikre at bruken av KI er lovlig, rettferdig og ansvarlig. Dette må vi aktivt følge opp og legge til grunn når vi vurderer hvordan vi skal bruke KI på en ansvarlig og transparent måte.I Nasjonal strategi for kunstig intelligens peker regjeringen på at KI som blir utviklet og brukt i Norge skal bygge på etiske prinsipper, og respektere menneskerettighetene og demokratiet. Basert på dette har vi kommet frem til fem grunnleggende etiske prinsipper for utvikling og bruk av KI. Prinsippene skal være retningsgivende i alle situasjoner der vi tar i bruk KI, og hensikten er å gi overordnede føringer for det som på sikt skal bli et helhetlig rammeverk for KI. De fem grunnleggende etiske prinsippene er:
- Ansvarlighet
- Åpenhet
- Rettferdighet
- Sikkerhet
- Personvern
Formålet med policyen er å sørge for at alle som skal bruke eller utvikle KI-systemer i Brønnøysundregistrene gjør det på en lovlig og ansvarsfull måte. For å kunne ivareta formålet vil policyen oppdateres jevnlig i takt med teknologiutviklingen, så det er viktig å holde seg løpende oppdatert på eventuelle endringer.
Denne policyen gjelder for alle i Brønnøysundregistrene som skal ta i bruk løsninger med KI og/eller utvikle KI-systemer. Dette omfatter både ansatte og personer som er innleid eller utfører tjenester for oss. Policyen inneholder også korte og konkrete retningslinjer som alle må forholde seg til. I tillegg er det utarbeidet egne retningslinjer for de som skal utvikle KI-systemer, eller bruke KI-systemer i andre utviklingsprosjekt. Disse retningslinjene medfører et større etisk og rettslig ansvar, som kommer frem i prinsippene.
Per dags dato finnes det ikke et norsk lovverk som regulerer verken bruk eller utvikling av KI. EU har imidlertid vedtatt AI Act (KI-forordningen), som kommer til å bli en del av norsk lov på sikt. AI Act er en produktansvarslov, som regulerer utviklingen av KI-systemer, og integreringen av systemene inn i virksomheter.Som offentlig etat er vi imidlertid bundet av annet lovverk, som også vil være relevant når det gjelder bruk av KI. Blant annet er vi bundet av forvaltningsloven når det kommer til saksbehandling, offentlighetsloven når det kommer til innsyn, arkivlova for arkivering av offentlig informasjon, og personvernloven når det kommer til vern av personlige opplysninger. Det er viktig å huske at bruk av KI forutsetter at det norske regelverket blir fulgt, og at bruk av KI kan føre til større risiko for noen lovområder som personvern.
Algoritme er et sett av trinnvise instruksjoner i en bestemt rekkefølge som er lagd for å oppnå noe. Maskinlæring bruker matematiske og statistiske metoder for å lage algoritmer som er basert på analyse av data. Treningen av et system kan skje i veiledet læring, ikke-veiledet læring eller forsterket læring. Kunstig intelligens har flere ulike definisjoner, både vide og smalere. Felles for definisjonene er at det dreier seg om teknologi som er i stand til å systematisere og tolke data, for så å ta beslutninger og lære av erfaringene.Det kan skilles mellom en KI-modell og et KI-system. En KI-modell er en matematisk eller algoritmisk struktur trent på data for å løse spesifikke oppgaver. Et KI-system, derimot, er en komplett pakke som kan inneholde en eller flere KI-modeller, samt programvare med mer for å implementere og bruke modellene i praksis. Dette inkluderer alt som trengs for å implementere modellen, som for eksempel en app.En KI-modell er en del av et KI-system. Tradisjonell KI er basert på regler og logikk, og er avhengig av menneskelig definerte regler og programmering. Det er ofte fokusert på oppgaver som klassifisering, beslutningstaking og problemløsning. Generativ KI refererer til modeller som kan generere nye data eller innhold basert på eksisterende informasjon. Den er i stand til å generere tekst, bilder, musikk, eller annen type innhold. ChatGPT er et eksempel på et generativt KI-system som kan generere tekst, men det finnes også eksempler på systemer som kan generere bilder og lyd som DALL-E og web tjenesten Suno.KI-bruker er en person som bruker (ferdigtrente) KI-tjenester til å løse en oppgave. Den som bruker en KI-tjeneste må ha hatt opplæring, men trenger ikke å forstå hvordan den spesifikke modellen kommer frem til svaret.KI-utvikler er en person som utvikler og trener nye KI-modeller til å løse en gitt oppgave. Den som utvikler KI må ofte forholde seg til faktorer som datakvalitet, datamengde, treffsikkerhet ved prediksjoner og liknende. Utvikler av KI har ansvar for at modellen er utviklet i henhold til de etiske prinsippene og andre lovkrav. ChatGPT er en av flere store “ferdigutviklede” språkmodeller tilgjengelig for brukere. De er generative KI-modeller som brukes til å kommunisere og svare på spørsmål på en måte som etterligner menneskelig samtale. Den lærer av tilbakemeldinger, og tilpasser svarene sine etter instrukser. Eksterne KI-løsninger er trent opp med all offentlig tilgjengelig data som finnes på nettet. ChatGPT er et eksempel på dette. Bruk av ChatGPT medfører risiko for at informasjon man deler, også blir delt eksternt til andre utenfor vår etat. Interne KI-løsninger er begrenset til å kun ha tilgang til den interne dataen til en virksomhet, for eksempel CoPilot. Dette medfører at sensitiv informasjon kan deles uten fare for at det blir delt til uvedkommende. Vi har ikke en slik løsning i Brønnøysundregistrene per dags dato.
6.1. Ansvarlighet
KI bruker data og opplysninger både for å gi resultater eller utvikle produkter, og for å trene algoritmer. Vi skal kun bruke KI i tråd med denne policyen og gjeldende lovverk, herunder blant annet personopplysningsloven og personvernforordningen, åndsverksloven og annet regelverk om immaterielle rettigheter, arbeidsmiljøloven mv. I tillegg er det viktig å ha et kritisk blikk på resultatene KI skaper, og faktasjekke resultater som virker tvilsomme.Vi er forpliktet til å håndtere opplysninger fra registrene, brukere og ansatte på en sikker måte som innebærer at vi blant annet skal holde informasjon og data konfidensielt. Brudd på disse rutinene, lover og regler, avtaler og handlinger som påfører skade kan føre til at vi som virksomhet blir ansvarlig.Som offentlig etat har vi et stort ansvar for å opprettholde gode sikkerhetsrutiner og tillit til tjenestene våre. Som ansatt eller engasjert av Brønnøysundregistrene må du gjennomgå denne policyen før du tar i bruk KI, for å forstå av hva som kreves av deg som KI-bruker. Det er viktig at du har oversikt over de aktuelle lover og regler som gjelder for det spesifikke KI-systemet du skal bruke. Er du i tvil om hva som gjelder eller konsekvensene av hva du kan gjøre, skal du skaffe deg kunnskap om hvordan KI-løsningen virker først. Dersom Brønnøysundregistrene implementerer egne interne KI-tjenester, skal opplæring gis til KI-brukere.
6.2. Åpenhet
Vi skal gi brukerne og de ansatte trygghet og tillit gjennom å være åpne om hvordan vi bruker KI.KI kan være en fremmed teknologi for mange, og det gir oss et ansvar for å opplyse og forklare hvilke konsekvenser det får for den enkelte. Åpenhet handler om åpenhet overfor både ansatte og brukerne av registertjenestene våre om hvordan KI-systemene vi tar i bruk fungerer. For ansattes bruk av KI i sitt arbeid, er det viktig å skille mellom å bruke KI som beslutningsstøtte, og bruk av KI til å erstatte menneskelig arbeidskraft.Når KI blir brukt som beslutningsstøtte, må det være tydelig for den ansatte hvordan KI-systemet skal brukes. Dersom vi tar i bruk KI direkte i kommunikasjonen vår med registerbrukere, for eksempel i veiledningstjenester eller i en avgjørelse av et vedtak, vil åpenhetskravene i forvaltningsretten og personvernregelverket gjelde.Det er spesielt viktig å legge til rette for at brukeren forstår at de kommuniserer med, eller at en beslutning er generert av, teknologi basert på KI. Dette er nødvendig for at mottaker skal kunne ivareta sine egne rettigheter og interesser, eller for å kunne utfordre en avgjørelse. Vi må gi informasjon om KI-systemet på en meningsfull og forståelig måte til mottakeren.
6.3. Rettferdighet
For at vi skal kunne bruke KI på en rettferdig måte i tråd med våre verdier, er det viktig at vi er klar over de ulike risikoene som KI-systemene gir.Det er for eksempel viktig å være klar over at generative modeller, som ChatGPT, kan komme med forutinntatte eller diskriminerende utsagn i tillegg til påstander som ikke stemmer. Det er viktig å huske at KI-systemer ikke har menneskelige egenskaper som moral, fornuft, logisk sans og intuisjon. Dette påvirker kvaliteten på svarene generative språkmodeller produserer. For å minimere risikoene er det viktig med menneskelig kontroll og vurderinger av svarene KI gir. Det er spesielt viktig der KI blir brukt som del av oppgaveløsningen og der det kan få direkte konsekvenser for både fysiske og juridiske personers rettsstilling. Menneskelig oppfølgning og kontroll kan bidra til å sikre at et KI-system ikke undergraver menneskers autonomi eller forårsaker andre uforutsette negative virkninger.
6.4. Sikkerhet
Introduksjon av KI kan forsterke eksisterende sikkerhetsrisikoer, eller skape nye risikoer.Når vi bruker KI skal både sikkerhetsinstruksen, styringssystemet for sikkerhet og underliggende operasjonell dokumentasjon knyttet til bruk av KI følges. Dette inkluderer blant annet risikostyring for sikkerhet, retningslinjer for informasjonshåndtering og klassifisering, og avvikshåndtering innen både sikkerhet og personvern. Det er ikke tillatt å sende sensitiv, eller strengere klassifisert informasjon til en KI-tjeneste.Vær oppmerksom på at også trusselaktører bruker KI. KI har gjort det enklere for dem å ta i bruk nye verktøy og nye metoder, og lage bedre og mer tilpasningsdyktige angrep mot både systemer og mennesker. KI kan brukes av angripere til å generere overbevisende og villedende innhold som benyttes til å etterligne andre, og dermed øke sannsynligheten for et vellykket angrep.Gode rutiner for sikkerhet og opplæring er vesentlig når det kommer til bruk av KI. Ansatte og innleide som utvikler og/eller bruker KI-baserte løsninger må få tilstrekkelig opplæring for sikker bruk av systemet. Dette skal inkludere opplæring i sikkerhet, personvern, forvaltning av data og rapportering av mistenkelige og uønskede hendelser (avvik).
6.5. Personvern
Selv om åpenhet er et forvaltningsrettslig prinsipp, har alle mennesker rett til privatliv. Vi må sikre at personvern ivaretas når vi jobber med KI. I tillegg til kravene personvernloven stiller, er det også begrensninger for hvilken informasjon vi har lov til dele i sikkerhetsloven, forvaltningsloven og de ulike særlovene.Vi har ikke lov til å dele personopplysninger eller annen taushetsbelagt informasjon uten særskilt hjemmel i lov. Personopplysning er alle opplysninger som kan knyttes til en fysisk person direkte eller indirekte. Dette kan inkludere blant annet navn, adresse, telefonnummer, e-post og fødselsnummer. Samtidig vil det også omfatte informasjon fra ulike kilder som alene ikke er nok til å identifisere en person, men som samlet sett er tilstrekkelig. Vi skal heller ikke dele egennavn, som foretaksnavn, sensitiv informasjon fra registrene, eller personnavn, med KI-løsninger som ikke er en del av våre interne systemer.Sensitiv informasjon om personer fra registrene kan eksempelvis være informasjon om konkurs og utlegg. Samtidig stilles det spesifikke krav til informasjon vi ikke kan gi ut i de ulike særlovgivningene, slik som fødselsnummer. Dette fordi slike opplysninger vil kunne komme som output fra løsningen og bli tilgjengelig for andre. Vi legger til grunn et forsiktighetsprinsipp: Er du i tvil om informasjon er konfidensiell eller inneholder personopplysninger, deler du ikke dette i KI-løsninger.
7.1. Hva kan vi dele og overføre til kunstig intelligens
KI-systemer lærer av data som tilføres. I generative språkmodeller som bruker eksterne søkemotorer, som ChatGPT, vil alle spørsmål og instrukser gå inn som læringsdata for å kunne forbedre tjenesten. Dette innebærer at opplysninger som skrives inn i slike språkmodeller kan bli tilgjengelig for andre brukere av tjenesten, også utenfor vår virksomhet. Vi skal derfor ikke dele eller overføre informasjon som er, eller kan være, taushetsbelagt eller konfidensiell til et eksternt KI-system.Med «dele» eller «overføre» mener vi alle måter du kan legge inn informasjon i løsninger med KI, som å kopiere tekst og lime inn i løsningen, laste opp dokumenter, lage koblinger mellom KI-løsninger osv. Konfidensielle opplysninger kan være regnskapstall, budsjett, notater eller referater fra møter, presentasjoner, avtaler osv. eller informasjon som gjelder andre, som kunder, samarbeidspartnere, osv. Det avgjørende er om den informasjonen som deles er informasjon vi ellers ikke ville ha delt med andre som vi ikke vet hvem er. Informasjonen kan være konfidensiell enten fordi det er informasjon som vi ikke ønsker andre skal få vite om vår virksomhet, eller det kan være informasjon som vi er forpliktet til å holde konfidensiell etter lov.Regelverket for taushetsplikt skal sikre konfidensialitet, altså at taushetsbelagt informasjon ikke havner hos uvedkommende. Vi bør generelt utvise stor varsomhet ved bruk av gradert informasjon som input til KI-modeller. Deling av informasjon i slike KI-systemer kan også være irreversibelt. Dette kan påvirke rettigheter borgere har etter personvernloven, som retten til å få slettet personinformasjon. Retten til innsyn i hvilke data som er hentet inn og brukt kan også bli krenket, dersom vi ikke har kontroll på hvordan persondataen blir behandlet i KI-systemet.
7.2. Bruk av resultater fra kunstig intelligens
KI som er basert på språkmodeller er trent på store datamengder som ikke nødvendigvis er kvalitetssikret eller verifisert. Dette betyr at resultater fra bruk av KI-systemer kan være unøyaktig og enkelte ganger feil. Det er derfor viktig å være kritisk til resultatene, og verifisere disse så langt det lar seg gjøre. Dette er spesielt viktig å være klar over dersom KI brukes som hjelpemiddel til å fatte et vedtak som får konsekvenser for en person. Hvis dataene som brukes til å trene et KI-system gjenspeiler uønskede samfunnsmessige fordommer, kan dette medføre diskriminerende resultater. Det er derfor viktig at vi er bevisst på disse risikoene, og at KI ikke erstatter menneskelige vurderinger og beslutninger som lovverket krever. Siden algoritmene til KI er trent på eksternt materiale, kan resultatet du får være et brudd på opphavsrettighetene til andre. Dette kan gjelde tekst, bilder, lyder/musikk, filmer osv. Resultatet ved bruk av KI bør derfor ikke offentliggjøres uten at du er trygg på at det ikke krenker andres rettigheter. Resultatene bør du merke med at de er laget ved hjelp av KI.