Sulava ja Fondia lanseeraavat yhteisratkaisun tekoälyn vaikutustenarviointiin tietosuojalle

Fondia
Blogit 30. toukokuuta, 2023

Artikkelin ovat kirjoittaneet Sulavan Karoliina Partanen, Chief Future Scientist ja Fondian Liisa Holopainen, Senior Legal Counsel & Group Compliance Officer.

Uusia tekoälyyn liittyviä työkaluja ja käyttötapoja lanseerataan kirjaimellisesti päivittäin. Microsoft on julkaisemassa tietotyöläisten käyttöön mullistavan valikoiman Copilot-laajennuksia, jotka tuovat esimerkiksi sähköpostiin, Exceliin, PowerPointiin, Teams-kokouksiin ja Dynamicsin asiakashallintaan tekoälylaajennuksen.  

Yhtenä esimerkkinä Teamsin Intelligent Meeting Recap -toiminnallisuus laatii kokouksista automaattiset tehtävälistat ja personoidut muistiinpanot, ns. Business chat kaivaa Teamsin keskusteluhistoriasta kovan datan lisäksi rivien välit ja äänensävyt. Dynamicsin Copilot taas vetää älykkäästi yhteen erilaisia analyyseja asiakasdatasta.  

Asiakaskohtaiset tekoälyratkaisut mahdollistava Azure OpenAI Service puolestaan kytkeytyy esimerkiksi HR- tai asiakasjärjestelmään, sopimusdokumentaatioon tai vaikkapa potilastietokantaan tai organisaation sisäisiin ohjeistuksiin. Azure OpenAI Service mahdollistaa jopa päätöksenteon ulkoistamisen tekoälylle osana prosessien automatisointia. 

Kaikissa mainituissa tapauksissa tekoäly voi päästä, tai siis pääsee, käsiksi arkaluontoisiin henkilötietoihin tai voi vaikuttaa ihmisten oikeuksiin ja vapauksiin esim. profiloinnin, automaattisen päätöksenteon tai valvonnan kautta. Tällaisissa tapauksissa tietosuoja-asetus – eli tuttavallisemmin GDPR – edellyttää niin sanotun DPIA:n tekemistä, eli tietosuojaa koskevien vaikutustenarviointia.  

Mikä ihmeen DPIA?

DPIA (The Data Protection Impact Assessment) on prosessi, joka auttaa tunnistamaan, arvioimaan ja hallitsemaan tekoälyn käyttöönoton mahdollisia riskejä henkilötietojen suojalle ja perusoikeuksille. DPIA on siis elintärkeä työkalu tekoälyn eettisyyden ja laillisuuden varmistamiseksi. DPIA auttaa myös lisäämään luottamusta ja hyväksyntää tekoälyn ratkaisuihin sekä edistämään innovaatiota ja kilpailukykyä. Prosessi on osa kokonaisuutta, jossa organisaatiolle luodaan pelisäännöt keinoälyn vastuulliseen hyödyntämiseen.  

Uskomme, että käytännössä jokainen organisaatio tulee ottamaan tekoälyn käyttöön seuraavan vuoden kuluessa ja näin ollen jokaisen organisaation tulee tehdä myös oma DPIA ja dokumentoida sekä päivittää sen tulokset säännöllisesti. Onneksi apu on lähellä. Fondia ja Sulava ovat kumppanoituneet ja tarjoamme nyt yhdessä asiakkaillemme tekoälyprojektien yhteydessä juuri tähän kokonaisuuteen erikoistunutta DPIA-pakettia. 

Henkilötietojen hyödyntäminen tekoälyn opettamiseen

Tekoälyn opettamisessa ja hyödyntämisessä keskeinen merkitys on tiedolla ja käytettävän tiedon laadulla sekä soveltuvuudella tekoälysovelluksen käyttötarkoitukseen. Koska henkilötiedon määritelmä eurooppalaisessa tietosuojalainsäädännössä on laaja, on hyvin todennäköistä, että tekoälysovelluksen lähdetiedoissa on henkilötietoja.  

Henkilötietojen hyödyntäminen tekoälyn opettamiseen on henkilötietojen käsittelyä. Mahdollisesti myös tekoälysovelluksen suunniteltu käyttö muodostaa uuden käyttötarkoituksen olemassa oleville henkilötiedoille. Kun henkilötietojen käsittelyssä käytetään uutta teknologiaa, jollainen tekoäly kiistämättä on, tulee käsittelylle tehdä tietosuoja-asetuksen 35 artiklan mukaisesti vaikutustenarviointi.

Tekoälyn vaikutustenarviointi

Vaikutustenarviointi on hyvä tehdä jo siinä vaiheessa, kun tekoälysovelluksen käyttötarkoituksia ja teknistä toteutusta suunnitellaan. Näin mahdollistetaan se, että vaikutustenarvioinnissa esille nousseet riskit ja tietosuojalainsäädännön asettamat vaatimukset voidaan toteuttaa privacy by design -vaatimuksen mukaisesti. Suunnitteluvaiheessa toteutettu vaikutustenarviointi on myös monella tapaa tehokkaampi, kun arviointia varten tarvittavia tietoa ei tarvitse kerätä erillisissä työpajoissa, vaan ne voidaan kerätä muun suunnittelun ja työstämisen yhteydessä.  

Vaikutustenarvioinnissa on kolme osuutta: tietojen käsittelyn kuvaus, käsittelyn tarpeellisuuden ja oikeasuhtaisuuden arviointi, sekä riskiarviointi. Näistä riskiarviointi on usein käytännössä haastavin toteuttaa, mutta varsinkin tekoälysovellusten osalta se on kaikkein tärkein vaihe, koska tietosuoja-asetus vaatii tarkastelemaan nimenomaan riskejä yksilöiden oikeuksille ja vapauksille, joihin liittyvät ongelmat nousevat usein esille tekoälystä puhuttaessa.

Mihin kiinnittää huomiota erityisesti tekoälysovellusten vaikutustenarviointia tehtäessä?

Käsittelyn kuvauksessa tulisi kuvata (ylätasolla) sitä logiikkaa, jonka mukaisesti tekoäly oppii ja soveltaa oppimaansa, sekä selvittää millaista henkilötietoa sisältyy tietoon, jolla tekoälysovellusta opetetaan ja jota se hyödyntää.

Käsittelyyn liittyy tiettyjä erityiskysymyksiä, jotka tulee vaikutustenarvioinnissa selvittää:

  • Onko mahdollista, että tekoälyn ”oppimateriaalina” toimimisen kautta henkilötiedot päätyvät sellaisten ihmisten tietoon, joilla ei ole oikeutta niitä nähdä?

  • Onko jokin tekoälyn käyttötarkoitus automaattista päätöksentekoa?

  • Soveltuuko käsiteltävään tietoon jokin erityislainsäädäntö, kuten potilastietolainsäädäntö tai viestintäsalaisuutta koskevat säännökset?

Koska tekoälysovelluksiin liittyvään datan käyttöön liittyy muitakin huomioitavia asioita kuin tietosuoja, voi olla tarkoituksenmukaista laajentaa vaikutustenarvioinnin kohdetta ja hyödyntää tietosuojasta tuttuja metodeja myös muiden datan käyttöä koskevien asioiden läpikäymiseen, jotta ne voidaan keskitetysti huomioida teknisessä implementoinnissa, prosesseissa ja ohjeistuksissa.