Skal du bruke generativ KI til å behandle virksomhetens informasjon? Her er vår oppskrift!

En av de store lovnadene med generativ KI er at vi skal kunne bruke mindre tid på rutine-oppgaver, slik at vi får mer tid til å utøve fagligheten vår. For at det skal kunne skje, må vi kunne anvende disse verktøyene på vår egen informasjon. Men hva bør vi tenke på da?

Simen Sommerfeldt

Trykk på taggene for å lese mer om hvor og hvordan vi benytter samme fag og teknologi

Sikkerhet

Eksempler på rutineoppgaver generativ KI kan løse:

En chatbot som besvarer de ansattes HR-spørsmål. «Har jeg nok avspasering til å kunne ta to dager fri i neste uke?» Eller «Hvordan bestiller jeg ny PC?»

Automatisk berikelse av dokumenter med metadata, slik at de kan gjenfinnes bedre i søk, og besvare spørsmål som «Er dette dokumentet arkiv-verdig»?

Gjøre en QA på anbudsdokumenter: Inneholder dette de rette elementene? Hva kan være konsekvensene av å stille enkelte krav?

Det er likevel ikke slik at dette bare er plug and play.

Hvordan går du best frem? Hva bør du passe på? Vi har de samme behovene her i Bouvet, så vi har laget en oppskrift som vi er i ferd med å rulle ut, og som vi gjerne deler med dere.

Å ta i bruk KI i form av ulike verktøy og løsninger er i utgangspunktet nok et IT-system som vi bolter på plass i porteføljen vår. Men før dette kan godkjennes dukker det opp en haug med spørsmål som vi trenger svar på først for å sørge for at er så sikkert som vi ønsker at det skal være..

Vi ønsker å tilrettelegge for innovasjon, men litt byråkrati er nødvendig.

I Bouvet er det vår interne IT-avdeling som godkjenner bruk av verktøy, og de er veldig flinke på aspekter som sikkerhet og lisensbetingelser. Men det er bare noen av aspektene vi må tenke på, og her trenger de bistand fra fagmiljøet.

Basert på dette har vi laget et opplegg som var akkurat passe lite byråkratisk for å ikke drepe all innovasjon – samtidig som vi ivaretar at det er forskjell på et åpent sinn og høl i hue.

Spørsmålene

Her er en forenklet utgave av malen på intranettet vårt. Vi håper den ikke er skremmende!

La oss ta det enkleste først: Hva er formålet med løsningen? Hvem har nytte av dette? Hva skal de bruke det til?

Hva slags informasjon skal benyttes? Hvor kommer den fra?

Hva er klassifiseringen av informasjonen? Er den sensitiv, bedriftsintern eller åpen?

Hva slags tilganger må til for å få tak i den? Hvordan gjøres tilgangsstyringen?

Hva skal skje med informasjonen? Lag gjerne en liten skisse som beskriver dataflyten.

Er det behov for å kjøre en ROS (Risiko- og sårbarhet)-analyse? Det finnes mange oppskrifter på nettet, og her er en av dem (link).

Hvor store blir konsekvensene om løsningen gir uriktige svar? Hvordan sørger vi for god forventningsavklaring her?

Hva med etikken i løsningen. Kan den virke diskriminerende? Her er en god veileder: (innebygget diskriminieringsvern)

Og hvordan stiller denne bruken seg med tanke på KI-forordningen? En del HR-anvendelser gir økt risikograd. Du kan lese mer på side 8 i dette dokumentet for å se hva slags dokumentasjonskrav som utløses: (link til KI-forordningen). Lytt gjerne også til podcasten vår om KI-forordningen (link) for en forklaring.

Hva med personvernet? Hvilke personopplysninger skal håndteres? Hva er behandlingsgrunnlaget, og bør dette føres opp i behandlingsprotokollen (link til artikkel om behandlingsprotokoll)? Får de ansatte nok informasjon?

Personvern II: Kan dette føre til utrygghet hos de ansatte? Bør vi lage en PVK (Personvernkonsekvensvurdering, også kalt DPIA – se link)?

Hva med norsk kulturforståelse og hvor godt er modellen trent på domenet vårt? Amerikanske språkmodeller er ofte svake på norsk kulturforståelse, og er erfaringsvis dårlig trent på norsk forvaltningspraksis og rettspraksis.

Hvilke løsninger fra hvilke leverandører håndterer hvilken informasjon? Hva slags avtaler har vi med dem? Tillater avtalen at vi gjør dette? Gjenbruker de informasjonen til andre formål?

Hvor mye vil dette koste å bruke? Og hvem dekker kosten?

Hvem skal være ansvarlig for løsningen? Hva skjer med den etter en periode? Skal den tas ned? Skal den over i forvaltning? Hvem kan kontaktes om det skjer noe?

Nå virker kanskje alle disse spørsmålene overveldende. Det er i så måte viktig å huske på at vi i mange tilfeller ikke trenger å bruke personopplysninger. Ofte er det snakk om forholdsvis åpne data, og da vil mange av disse spørsmålene bli irrelevante. Men det gir en god trygghetsfølelse å ha sjekket dem av. Og så er det viktig å unngå KI-anvendelser som kan medføreutrygghet eller diskriminering på arbeidsplassen!

Fremgangsmåten

Det hjelper ikke å tenke på disse spørsmålene uten å gjøre noe med dem! Vi har en prosessflyt som grovt sett ser slik ut:

Forslagsstiller fyller ut en mal med spørsmålene over, og oppretter en sak i vårt interne servicesystem.

En tverrfaglig gjeng bestående av arkitekter og rådgivere med kompetanse innen temaene får den til gjennomsyn, og stiller oppklaringsspørsmål.

Intern IT gjør en ekstra sjekk rundt sikkerhet og avtalevilkår.

Når dette er håndtert får forslagsstilleren klarsignal, og kan sette i gang. Vi overfører dermed beskrivelsen inn i listen over godkjente piloter og løsninger.

Med dette håper vi at du har fått et utgangspunkt til fremgangsmåte og hvilke spørsmål du bør stille hvis du skal bruke egne data inn i løsninger basert på generativ KI. Ta gjerne kontakt om du synes vi mangler noe, eller ønsker å prøve det ut.