Personvernhensyn ved bruk av KI i forskning
Her er noen viktige punkter vi må ta hensyn til for å ivareta personvernet. Hvis vi husker på disse tingene, kan vi bruke KI på en måte som er bra for forskningen, men som også passer på personvernet og følger de etiske retningslinjene.
-
1. Har vi et rettslig grunnlag for å behandle persondata i KI-verktøyet?
Dersom vi skal legge inn identifiserende opplysninger i et KI-verktøy, må vi være sikre på at vi har lov til det. Dette henger tett sammen med formålet med forskningsprosjektet, det rettslige grunnlaget vi baserer forskningsprosjektet på og informasjonen som skal gis til deltakerne. Bruker man KI som et verktøy i forskningsprosjektet, kan denne bruken være forenelige med det opprinnelige formålet med forskningen. Det vil si at du kan bruke personopplysningene på litt andre måter, så lenge det er en naturlig forlengelse av hva opplysningene ble samlet inn for. I tillegg må dette komme tydelig frem i et eventuelt informasjonsskriv til deltakerne slik at de kan ta en informert beslutning om deres deltagelse.
Dette er også i tråd med flere av de forskningsetiske prinsippene, som blant annet handler om å opprettholde integritet, ærlighet, åpenhet og respekt for alle involverte parter i hele forskningsprosessen. Bruk av KI reiser nye og komplekse etiske spørsmål, som krever nøye overveielse og dialog med alle interessenter.
Husk: når du melder inn prosjektet ditt til Sikt personverntjenester, må du også ta med informasjon om bruk av KI og hvilket verktøy som brukes.
-
2. Hva slags persondata kan vi legge inn i KI-verktøyet?
Hvis vi skal legge inn personidentifiserende opplysninger inn i et KI-verktøy er vi begrenset av to kriterier:
-
Det skal kun benyttes KI-verktøy som er vurdert og godkjent av OsloMet.
-
De godkjente KI-verktøyene er bare godkjent for bruk til og med begrensede (gule) data. Såkalte røde og svarte data (fortrolig og strengt fortrolig informasjon) kan ikke legges inn i KI-verktøyet.
KI-verktøy som er vurdert og godkjent av OsloMet bruker ikke dataene man legger inn til å trene opp algoritmen og har kort slettefrist. Det er også inngått databehandleravtaler med leverandørene av de forhåndsgodkjente systemene, som er et lovkrav når andre aktører skal behandle personopplysninger på våre vegne.
I henhold til vår klassifiseringsguide er grønne data åpen eller fritt tilgjengelig informasjon. Det betyr at informasjonen kan eller skal være tilgjengelig for alle uten særskilte tilgangsrettigheter. Gule data er begrenset informasjon som ikke skal være åpen for alle. Røde data er fortrolig informasjon som skal ha begrenset tilgang, eksempelvis helseopplysninger.
Dersom du ønsker å bruke en leverandør som OsloMet ikke har avtale med, må du først avklare om du kan bruke tjenesten. Meld inn ditt behov her.
-
-
3. Vurder innholdet som produseres av KI-verktøyet
For å få mest mulig utnyttelse av KI, må du kjenne faget ditt godt. KI er ikke en maskin som alltid gir det riktige svaret. Den gir deg det svaret som er mest sannsynlig, basert på dataene den har. Det betyr at du må være klar over at KI kan ta feil. Og for å kunne gjøre det, må du forstå ditt felt godt.
En verifisering av innholdet som produseres av et KI-verktøy er også viktig for overholdelsen av flere grunnleggende prinsipper i både personvernlovgivningen og i forskningsetikken. Personopplysninger skal behandles slik at opplysningenes integritet, konfidensialitet og tilgjengelighet beskyttes, samt at man må ta ansvaret for å opptre i samsvar med reglene for behandling av personopplysninger og forskningsetikk. Du bør derfor inkludere din bruk av KI i risikovurderingene og de etiske vurderingene du gjør i prosjektet.
-
4. Anonymisere personopplysningene før det legges inn i KI-verktøyet
Data som er anonyme kan legges inn i et KI-verktøy og vil ikke være omfattet av personopplysningsregelverket. Det er viktig at anonymiseringen skjer i henhold til det du har meldt inn i meldeskjemaet til Sikt og det som eventuelt er oppgitt i informasjonen du har gitt til deltakerne i forskningsprosjektet.
Dersom du tidligere har oppgitt at du skal slette dataene, eller ikke har oppgitt anonymiseringen eller bruken av KI da du meldte inn prosjektet, kreves det en endringsmelding til Sikt og (hvis aktuelt) ny informasjon til den registrerte dersom du ønsker å likevel beholde og/eller anonymisere dataene. Les mer om anonymisering av data her.
Huskeregel for anonymisering
Før forskningen starter bør du vurdere om du vil bruke KI og om du ønsker å anonymisere dataene. Dersom det er tilfellet, må dette oppgis i meldeskjemaet til Sikt og i informasjonsskrivet til deltakerne.