Kunstig intelligens (KI) i Brønnøysundregistera
I Brønnøysundregistera sin strategiplan under «ambisjonar» står det at vi skal utforske og på ein forsvarleg måte utnytte moglegheitene kunstig intelligens gir. Derfor har vi vedtatt ein policy for bruk av kunstig intelligens hos oss, som er utarbeidd av KI-teamet vårt. Policyen gir følgande retningslinjer som alle i Brønnøysundregistera skal jobbe etter:
Du skal aldri:
- dele personleg informasjon, som personopplysningar om tilsette og innbyggarar i eksterne løysingar
- dele sensitiv informasjon, som verksemdskritiske opplysningar
- dele brukarinformasjon, som påloggingsinformasjon og passord
- lime inn eller bruke intern eller sensitiv informasjon, dokument eller utklipp frå desse i ei ekstern KI-løysing, med mindre anna er avklart og dokumentert
- stole på at ein KI seier sanninga – sjekk alltid fakta
- berre bruke KI til å ta avgjerder som i betydeleg grad påverkar personar
Du skal alltid:
- vere kritisk til det du leser – sjå opp for unøyaktigheiter, skeivskapar og feilaktig informasjon
- vere kritisk til om KI bryt opphavsrett, særleg for tredjepart
- tydeleg merke innhald som du heilt eller delvis har brukt generativ KI til å lage. For eksempel “Denne illustrasjonen er laga ved hjelp av KI”, i tillegg til kreditering av KI-tenesta du har brukt.
- hugse at du er ansvarleg for KI-generert tekst du står som avsendar av eller publiserer
- vere transparent og seie i frå når du bruker ein KI-generert tekst, bilde, kode eller anna
- vere oppmerksam på at KI har gjort det lettare for trusselaktørar å svindle. Kontakt alltid Servicedesken om du er i tvil om noko er ekte eller falskt.
Dersom du ønsker å komme i kontakt med KI-teamet hos oss, kan du ta kontakt i kontaktskjemaet. Policyen kan du lese under:
Brønnøysundregistera har som ein av fire strategiske ambisjonar å «utforske og på ein forsvarleg måte utnytte moglegheitene kunstig intelligens gir.» Dette skal bidra til å oppfylle samfunnsoppdraget vårt, som er å “bidra til auka verdiskaping gjennom å forvalte registerdata på ein trygg og oversiktleg måte, for å skape tillit og fornying av samfunnet.” KI er eit område innanfor informasjonsteknologi som utviklar seg raskt. Offentlege myndigheiter si utvikling og bruk av KI kan gi store gevinstar i form av effektivisering og ressurssparing, og dermed store økonomiske og velferdsmessige fordelar for samfunnet. Samtidig er det også en viss risiko forbunde med å ta i bruk denne typen teknologi. KI-system bruker store mengder data, som også inneber personlege og sensitive data som er underlagt restriksjonar i lovverket.
Som offentleg etat er vi avhengig av at brukarane våre har høg tillit til tenestene vi leverer. Det er derfor avgjerande å sikre at bruken av KI er lovleg, rettferdig og ansvarleg. Dette må vi aktivt følge opp og legge til grunn når vi vurderer korleis vi skal bruke KI på ein ansvarleg og transparent måte.
I Nasjonal strategi for kunstig intelligens peiker regjeringa på at KI som blir utvikla og brukt i Noreg skal bygge på etiske prinsipp, og respektere menneskerettane og demokratiet. Basert på dette har vi kome fram til fem grunnleggande etiske prinsipp for utvikling og bruk av KI. Prinsippa skal vere retningsgivande i alle situasjonar der vi tar i bruk KI, og hensikta er å gi overordna føringar for det som på sikt skal bli eit heilskapleg rammeverk for KI. Dei fem grunnleggande etiske prinsippa er:
- ansvarligheit
- openheit
- rettferd
- sikkerheit
- personvern
Formålet med policyen er å sørge for at alle som skal bruke eller utvikle KI-system i Brønnøysundregistera gjer det på ein lovleg og ansvarsfull måte. For å kunne ivareta formålet vil policyen bli oppdatert jamleg i takt med teknologiutviklinga, så det er viktig å halde seg løpande oppdatert på eventuelle endringar.
Denne policyen gjeld for alle i Brønnøysundregistera som skal ta i bruk løysingar med KI og/eller utvikle KI-system. Dette omfattar både tilsette og personar som er innleigde eller utfører tenester for oss. Policyen inneheld også korte og konkrete retningslinjer som alle må forhalde seg til. I tillegg er det utarbeidd eigne retningslinjer for dei som skal utvikle KI-system eller bruke KI-system i andre utviklingsprosjekt. Desse retningslinjene medfører eit større etisk og rettsleg ansvar, som kjem fram i prinsippa.
Per dags dato finst det ikkje eit norsk lovverk som regulerer verken bruk eller utvikling av KI. EU har imidlertid vedtatt AI Act (KI-forordninga), som kjem til å bli ein del av norsk lov på sikt. AI Act er ei produktansvarslov, som regulerer utviklinga av KI-system, og integreringa av systema inn i verksemder.
Som offentleg etat er vi imidlertid bunden av anna lovverk, som også vil vere relevant når det gjeld bruk av KI. Blant anna er vi bunden av forvaltningslova når det kjem til saksbehandling, offentlegheitslova når det kjem til innsyn, arkivlova for arkivering av offentleg informasjon, og personvernlova når det kjem til vern av personlege opplysningar. Det er viktig å hugse at bruk av KI forutset at det norske regelverket blir følgt, og at bruk av KI kan føre til større risiko for nokre lovområde som personvern.
Algoritme er eit sett av trinnvise instruksjonar i ei bestemd rekkefølge som er laga for å oppnå noko. Maskinlæring bruker matematiske og statistiske metodar for å lage algoritmar som er baserte på analyse av data. Treningen av eit system kan skje i rettleia læring, ikkje-rettleia læring eller forsterka læring. Kunstig intelligens har fleire ulike definisjonar, både vide og smalare. Felles for definisjonane er at det dreier seg om teknologi som er i stand til å systematisere og tolke data, for så å ta avgjerder og lære av erfaringane.
Det kan skiljast mellom ein KI-modell og eit KI-system. Ein KI-modell er ein matematisk eller algoritmisk struktur trent på data for å løyse spesifikke oppgåver. Eit KI-system, derimot, er ein komplett pakke som kan innehalde ein eller fleire KI-modellar, og programvare med meir for å implementere og bruke modellane i praksis. Dette inkluderer alt som må til for å implementere modellen, som for eksempel ein app.
Ein KI-modell er ein del av eit KI-system. Tradisjonell KI er basert på reglar og logikk, og er avhengig av menneskelege definerte reglar og programmering. Det er ofte fokusert på oppgåver som klassifisering, avgjerdstaking og problemløysing.
Generativ KI refererer til modellar som kan generere nye data eller innhald basert på eksisterande informasjon. Den er i stand til å generere tekst, bilder, musikk, eller annan type innhald. ChatGPT er eit eksempel på eit generativt KI-system som kan generere tekst, men det finst også eksempel på system som kan generere bilder og lyd som DALL-E og web-tenesta Suno.
KI-brukar er ein person som bruker (ferdigtrente) KI-tenester til å løyse ei oppgåve. Den som bruker ei KI-teneste må ha hatt opplæring, men treng ikkje å forstå korleis den spesifikke modellen kjem fram til svaret.
KI-utviklar er ein person som utviklar og trener nye KI-modellar til å løyse ei gitt oppgåve. Den som utviklar KI må ofte forhalde seg til faktorar som datakvalitet, datamengde, treffsikkerheit ved prediksjonar og liknande. Utviklar av KI har ansvar for at modellen er utvikla i samsvar med dei etiske prinsippa og andre lovkrav.
ChatGPT er ein av fleire store “ferdigutvikla” språkmodellar tilgjengelig for brukarar. Dei er generative KI-modellar som blir brukte til å kommunisere og svare på spørsmål på ein måte som etterliknar ein menneskeleg samtale. Den lærer av tilbakemeldingar, og tilpasser svara sine etter instruksar. Eksterne KI-løysingar er trent opp med all offentleg tilgjengeleg data som finst på nettet. ChatGPT er eit eksempel på dette. Bruk av ChatGPT medfører risiko for at informasjon ein deler, også blir delt eksternt til andre utanfor etaten vår. Interne KI-løysingar er avgrensa til å berre ha tilgang til dei interne dataa til ei verksemd, for eksempel CoPilot. Dette medfører at sensitiv informasjon kan delast utan fare for at det blir delt til uvedkommande. Vi har ikkje ei slik løysing i Brønnøysundregistera per dags dato.
6.1. Ansvarlegheit
KI bruker data og opplysningar både for å gi resultat eller utvikle produkt, og for å trene algoritmar. Vi skal berre bruke KI i tråd med denne policyen og gjeldande lovverk, inkludert blant anna personopplysningslova og personvernforordninga, åndsverkslova og anna regelverk om immaterielle rettar, arbeidsmiljølova med meir. I tillegg er det viktig å ha eit kritisk blikk på resultata KI skaper, og faktasjekke resultat som verkar tvilsame.
Vi er forplikta til å handtere opplysningar frå registera, brukarar og tilsette på ein sikker måte som inneber at vi blant anna skal halde informasjon og data konfidensielt. Brot på desse rutinane, lover og reglar, avtalar og handlingar som påfører skade kan føre til at vi som verksemd blir ansvarleg.
Som offentleg etat har vi eit stort ansvar for å oppretthalde gode sikkerheitsrutinar og tillit til tenestene våre. Som tilsett eller engasjert av Brønnøysundregistera må du gjennomgå denne policyen før du tar i bruk KI, for å forstå kva som krevst av deg som KI-brukar. Det er viktig at du har oversikt over dei aktuelle lovane og reglane som gjeld for det spesifikke KI-systemet du skal bruke. Er du i tvil om kva som gjeld eller konsekvensane av kva du kan gjere, skal du skaffe deg kunnskap om korleis KI-løysinga verkar først. Dersom Brønnøysundregistera implementerer eigne interne KI-tenester, skal opplæring bli gitt til KI-brukarar.
6.2. Openheit
Vi skal gi brukarane og dei tilsette tryggleik og tillit gjennom å vere opne om korleis vi bruker KI.KI kan vere ein framand teknologi for mange, og det gir oss eit ansvar for å opplyse og forklare kva konsekvensar det får for den enkelte. Openheit handlar om openheit ovanfor både tilsette og brukarane av registertenestene våre om korleis KI-systema vi tar i bruk fungerer. For tilsette sin bruk av KI i arbeidet sitt, er det viktig å skilje mellom å bruke KI som avgjerdsstøtte, og bruk av KI til å erstatte menneskeleg arbeidskraft. Når KI blir brukt som avgjerdsstøtte, må det vere tydeleg for den tilsette korleis KI-systemet skal brukast.
Dersom vi tar i bruk KI direkte i kommunikasjonen vår med registerbrukarar, for eksempel i rettleiingstenester eller i ei avgjersle av eit vedtak, vil openheitskrava i forvaltningsretten og personvernregelverket gjelde. Det er spesielt viktig å legge til rette for at brukaren forstår at dei kommuniserer med, eller at ei avgjerd er generert av, teknologi basert på KI. Dette er nødvendig for at mottakar skal kunne ivareta sine eigne rettar og interesser, eller for å kunne utfordre ei avgjerd. Vi må gi informasjon om KI-systemet på ein meiningsfull og forståeleg måte til mottakaren.
6.3. Rettferd
For at vi skal kunne bruke KI på ei rettferdig måte i tråd med verdiane våre, er det viktig at vi er klar over dei ulike risikoane som KI-systema gir.
Det er for eksempel viktig å vere klar over at generative modellar, som ChatGPT, kan kome med påverka eller diskriminerende utsegn i tillegg til påstandar som ikkje stemmer. Det er viktig å hugse at KI-system ikkje har menneskelege eigenskapar som moral, fornuft, logisk sans og intuisjon. Dette påverker kvaliteten på svara generative språkmodellar produserer. For å minimere risikoane er det viktig med menneskeleg kontroll og vurderingar av svara KI gir. Det er spesielt viktig der KI blir brukt som del av oppgåveløysinga og der det kan få direkte konsekvensar for både fysiske og juridiske personar si rettsstilling. Menneskeleg oppfølging og kontroll kan bidra til å sikre at eit KI-system ikkje undergrev mennesker sin autonomi eller forårsakar andre uventa negative verkningar.
6.4. Sikkerhet
Introduksjon av KI kan forsterke eksisterande sikkerheitsrisikoar eller skape nye risikoar.
Når vi bruker KI skal både sikkerheitsinstruksen, styringssystemet for sikkerheit og underliggande operasjonell dokumentasjon knytt til bruk av KI følgast. Dette inkluderer blant anna risikostyring for sikkerheit, retningslinjer for informasjonshandtering og klassifisering, og avvikshandtering innan både sikkerheit og personvern. Det er ikkje tillate å sende sensitiv, eller strengare klassifisert informasjon til ei KI-teneste.
Ver oppmerksam på at også trusselaktørar bruker KI. KI har gjort det enklare for dei å ta i bruk nye verktøy og nye metodar, og lage betre og meir tilpassingsdyktige angrep mot både system og menneske. KI kan bli brukt av angriparar til å generere overbevisande og villeiande innhald som blir brukt til å etterlikne andre, og dermed auke sannsynet for eit vellukka angrep.
Gode rutinar for sikkerheit og opplæring er vesentleg når det kjem til bruk av KI. Tilsette og innleigde som utviklar og/eller brukar KI-baserte løysingar må få tilstrekkeleg opplæring for sikker bruk av systemet. Dette skal inkludere opplæring i sikkerheit, personvern, forvaltning av data og rapportering av mistenkelege og uønska hendingar (avvik).
6.5. Personvern
Sjølv om openheit er eit forvaltningsrettsleg prinsipp, har alle menneske rett til privatliv. Vi må sikre at personvern er ivaretatt når vi jobbar med KI. I tillegg til krava personvernlova stiller, er det også avgrensningar for kva informasjon vi har lov til dele i sikkerheitslova, forvaltningslova og dei ulike særlovane.
Vi har ikkje lov til å dele personopplysningar eller annan teiepliktig informasjon utan særskild heimel i lov. Personopplysning er alle opplysningar som kan blir knytt til ein fysisk person direkte eller indirekte. Dette kan inkludere blant anna namn, adresse, telefonnummer, e-post og fødselsnummer. Samtidig vil det også omfatte informasjon frå ulike kjelder som åleine ikkje er nok til å identifisere ein person, men som samla sett er tilstrekkeleg. Vi skal heller ikke dele eigenamn, som føretaksnamn, sensitiv informasjon frå registera, eller personnamn, med KI-løysingar som ikkje er ein del av våre interne system.
Sensitiv informasjon om personar frå registera kan for eksempel vere informasjon om konkurs og utlegg. Samtidig blir det stilt spesifikke krav til informasjon vi ikkje kan gi ut i dei ulike særlovgivingane, slik som fødselsnummer. Dette fordi slike opplysningar vil kunne kome som output frå løysinga og bli tilgjengelege for andre. Vi legg til grunn eit forsiktigheitsprinsipp: Er du i tvil om informasjon er konfidensiell eller inneheld personopplysningar, deler du ikkje dette i KI-løysingar.
7.1. Kva kan vi dele og overføre til kunstig intelligens
KI-system lærer av data som blir tilført. I generative språkmodellar som bruker eksterne søkemotorar, som ChatGPT, vil alle spørsmål og instruksar gå inn som læringsdata for å kunne forbetre tenesta. Dette inneber at opplysningar som blir skrivne inn i slike språkmodellar kan bli tilgjengelege for andre brukarar av tenesta, også utanfor verksemda vår. Vi skal derfor ikkje dele eller overføre informasjon som er, eller kan vere, underlagd teieplikt eller konfidensiell til eit eksternt KI-system. Med «dele» eller «overføre» meiner vi alle måtar du kan legge inn informasjon i løysingar med KI, som å kopiere tekst og lime inn i løysinga, laste opp dokument, lage koplingar mellom KI-løysingar osv. Konfidensielle opplysningar kan vere rekneskapstal, budsjett, notat eller referat frå møte, presentasjonar, avtalar osv. eller informasjon som gjeld andre, som kundar, samarbeidspartnarar osv. Det avgjerande er om den informasjonen som blir delt er informasjon vi elles ikkje ville ha delt med andre som vi ikkje vet kven er. Informasjonen kan vere konfidensiell enten fordi det er informasjon som vi ikkje ønsker andre skal få vite om verksemda vår, eller det kan vere informasjon som vi er forplikta til å halde konfidensiell etter lov.
Regelverket for teieplikt skal sikre konfidensialitet, altså at informasjon underlagt teieplikt ikkje havnar hos uvedkommande. Vi bør generelt utvise stor varsemd ved bruk av gradert informasjon som input til KI-modellar. Deling av informasjon i slike KI-system kan også være irreversibel. Dette kan påverke rettar borgarar har etter personvernlova, som retten til å få sletta personinformasjon. Retten til innsyn i kva data som er henta inn og brukt, kan også bli krenkt, dersom vi ikkje har kontroll på korleis persondata blir behandla i KI-systemet.
7.2. Bruk av resultat frå kunstig intelligens
KI som er basert på språkmodellar er trent på store datamengder som ikkje nødvendigvis er kvalitetssikra eller verifisert. Dette betyr at resultat frå bruk av KI-system kan vere unøyaktige og enkelte gonger feil. Det er derfor viktig å vere kritisk til resultata, og verifisere desse så langt det lar seg gjere. Dette er spesielt viktig å vere klar over dersom KI blir brukt som hjelpemiddel til å fatte eit vedtak som får konsekvensar for ein person. Dersom dataa som blir brukt til å trene eit KI-system gjenspeglar uønska samfunnsmessige fordommar, kan dette medføre diskriminerande resultat. Det er derfor viktig at vi er bevisst på desse risikoane, og at KI ikkje erstattar menneskelege vurderingar og avgjerder som lovverket krev. Sidan algoritmane til KI er trente på eksternt materiale, kan resultatet du får vere eit brot på opphavsrettane til andre. Dette kan gjelde tekst, bilde, lyder/musikk, filmar osv. Resultatet ved bruk av KI bør derfor ikkje offentleggjerast utan at du er trygg på at det ikkje krenker andre sine rettar. Resultata bør du merke med at dei er laga ved hjelp av KI.