Tekoäly on monessa organisaatiossa arkipäivää. Osassa yrityksistä implementoidaan jo johdonmukaisesti tekoälystrategiaa, ja osa on matkalla vasta alkuvaiheessa. Todellisuus on kuitenkin se, että monissa organisaatioissa tekoälyä hyödynnetään laajasti eri toiminnoissa joko yrityksen valitsemilla työkaluilla tai henkilöstön itse käyttöönottamilla versioilla.
Moni yritys on tilanteessa, jossa yhtenäistä ohjeistusta tekoälyn käyttämisestä ei ole ehditty rakentamaan. Toisinaan ohjeistusta on olemassa, mutta se on laadittu ennen kuin EU:n tekoälyasetuksen vaatimukset ovat tulleet ajankohtaisiksi. Viimeistään nyt on oikea hetki varmistaa, että yrityksen omat tekoälykäytännöt ja osaaminen ovat ajan tasalla. Tämä on kriittistä myös sen varmistamiseksi, että henkilöstöllä on tekoälyasetuksen edellyttämä riittävä tekoälylukutaito.
Mihin tekoälyohjeistusta tarvitaan?
Tekoälyohjeistus ei ole pelkkä muodollisuus, vaan käytännön väline, jolla yritys varmistaa tekoälyn vastuullisen ja turvallisen hyödyntämisen. Se on samalla keino vastata uusiin sääntelyvaatimuksiin ja luoda edellytykset tehokkaalle innovoinnille.
Tekoälylukutaidon varmistaminen: Ensinnäkin ohjeistus tukee tekoälyasetuksen edellyttämää riittävää tekoälylukutaitoa. Helmikuusta 2025 alkaen jokaisella tekoälyä hyödyntävällä organisaatiolla on ollut velvollisuus parhaansa mukaan huolehtia siitä, että henkilöstöllä on riittävä ymmärrys tekoälyn riskeistä, mahdollisuuksista ja sen mahdollisesti aiheuttamista vahingoista. Hyvin laadittu tekoälyohjeistus on keskeinen osa tätä organisatorista ja koulutuksellista velvoitetta. Euroopan komissio on myös vihjannut, että tekoälyasetuksen rikkomistilanteissa sanktioita ja muita seuraamuksia voidaan todennäköisemmin määrätä, jos tekoälylukutaitovelvoitetta on laiminlyöty.
Kannustava vaikutus: Selkeät pelisäännöt rohkaisevat henkilöstöä käyttämään tekoälyä. Kun työntekijöillä on varmuus siitä, mikä on sallittua ja mikä ei, tekoälyn käyttö muuttuu varovaisesta kokeilusta suunnitelmalliseksi toiminnan kehittämiseksi. Ohjeistus luo turvaa, joka kannustaa kokeilemaan ja löytämään uusia tapoja tehostaa työtä ilman pelkoa siitä, että tekoälyn käyttö voisi vahingossa johtaa sopimus- tai sääntelyvelvoitteiden rikkomiseen tai muiden riskien realisoitumiseen. Näin ohjeistus toimii paitsi riskienhallinnan myös innovoinnin välineenä.
Piilokäytön hallinta: Tekoälyohjeistus auttaa tunnistamaan ja hallitsemaan piilokäyttöä ja varjo-IT:tä. Monessa organisaatiossa tekoälytyökalut ovat tulleet käyttöön työntekijöiden omatoimisesti valitsemien sovellusten kautta. Kun käyttöä ei tunnisteta, sen riskejä ei voida myöskään hallita. Ohjeistus tekee tekoälyn käytön näkyväksi ja mahdollistaa henkilöstön ohjeistamisen myös sellaisten työkalujen osalta, joita työntekijät ottavat omatoimisesti käyttöön ilman erillistä hyväksyntää. Sen sijaan tekoälyn yksiselitteinen kieltäminen ei välttämättä vähennä riskejä – vaan päinvastoin – sillä tällöin henkilöstöä ei voida luontevasti ohjeistaa tarkemmista toimintamalleista.
Liikesalaisuuksien ja henkilötietojen suojaaminen: Yksi tekoälyohjeistuksen tärkeimmistä tehtävistä on luoda selkeät rajat sille, miten liikesalaisuuksia ja henkilötietoja saa hyödyntää tekoälyn yhteydessä. Kun työntekijä syöttää tekoälytyökaluun asiakasdataa, sisäisiä suunnitelmia tai henkilötietoja, voi seurauksena olla tietojen leviäminen organisaation kontrollin ulkopuolelle. Ohjeistus määrittää käytännön säännöt sille, mitä tietoa saa käyttää, millä ehdoilla ja missä ympäristöissä. Näin se suojaa sekä yrityksen että sen sidosryhmien intressejä.
Tekoälysäädöksen vaatimusten toteuttaminen: Tekoälyohjeistus auttaa jalkauttamaan tekoälysääntelyn edellyttämät toimintamallit ja rajoitukset organisaatioon. Tekoälyasetus asettaa erityisesti suuririskisten käyttötapausten osalta velvoitteita esimerkiksi datan hallinnasta, lokitietojen säilyttämisestä sekä käytön seurannasta ja valvonnasta. Pelkkä tieto velvoitteista ei riitä, vaan ne on vietävä käytäntöön siten, että ne näkyvät päivittäisissä prosesseissa ja päätöksenteossa. Ohjeistus toimii tässä sillanrakentajana juridiikan ja käytännön työn välillä.
Luottamuksen rakentaminen sidosryhmiin: Tekoälyohjeistus on myös viesti ulospäin. Kun yritys pystyy osoittamaan, että tekoälyä käytetään harkitusti ja vastuullisesti, se rakentaa luottamusta asiakkaisiin, yhteistyökumppaneihin ja viranomaisiin. Luottamus puolestaan vahvistaa yrityksen mainetta ja erottaa sen positiivisesti kilpailijoista. Tekoälyohjeistus on siten yhtä aikaa riskienhallintatyökalu, koulutusväline ja strateginen viesti vastuullisesta toiminnasta.
Tekoälyohjeistus on investointi kestävään tulevaisuuteen
Tekoälyn hyödyntäminen tuo mukanaan uudenlaisia riskejä, mutta myös valtavasti mahdollisuuksia. Selkeä tekoälyohjeistus auttaa tekemään tekoälystä aidosti liiketoiminnan vahvuuden, sillä se mahdollistaa uudenlaisen innovoinnin varmistaen samalla, että riskit hallitaan asianmukaisesti.
Olipa tekoäly olennainen osa yrityksen arkea tai vasta kokeilun tasolla, nyt on oikea aika varmistaa, että ohjeistus ja koulutus ovat ajan tasalla.
Katri Aarnio
Counsel
050 306 2031
Mikäli haluat artikkelit suoraan sähköpostiisi, tilaa Folksin uutiskirje täältä.
- Susanna Kesseli
- 20.9.2023
Päivitetty: 25.9.2024
Tässä artikkelissa tarkastelemme EU:n kyberturvallisuussääntelyä, erityisesti kyberturvallisuusdirektiiviä eli niin kutsuttua NIS 2 -direktiiviä (NIS 2 Directive) sekä kyberturvallisuusasetusta (Cybersecurity Act, CSA).
EU:n kyberturvallisuussääntely
Kyberturvallisuus on noussut EU:ssa viime vuosina keskeiseksi puheenaiheeksi, kun teknologian nopea kehitys on tuonut mukanaan uusia haasteita. Kasvaneiden kyberturvallisuusuhkien vuoksi EU:ssa on katsottu tarpeelliseksi luoda unionin yhteinen kyberturvallisuuden sääntelykehys, jolla vahvistetaan tiettyjen toimialojen toimijoiden tietoverkkojen ja -järjestelmien turvallisuusvalmiuksia sekä luodaan toimijoille raportointivelvollisuus.
Kyberturvallisuusasetus (CSA)
Voimaantulo ja soveltaminen | 27.06.2019 |
Kyberturvallisuusasetuksella luotiin Eurooppalainen kyberturvallisuuden sertifiointikehys (The European Cybersecurity Certification Framework), joka koskee ICT-tuotteita, palveluja ja prosesseja. Kyseessä on EU:n laajuinen yhtenäinen sertifiointijärjestelmä, joka koostuu teknisistä vaatimuksista, standardeista ja menettelyistä. Yhtenäisen järjestelmän avulla yritykset voivat osoittaa, että niiden tuotteet, palvelut ja prosessit täyttävät tietyt kyberturvallisuusvaatimukset. Sertifiointi on vapaaehtoista.
Sertifiointikehyksen ohella asetuksella vahvistettiin vuonna 2004 perustetun EU:n kyberturvallisuusviraston (The EU Agency for Cybersecurity, ENISA) asemaa. ENISA toimii NIS 2 -direktiivillä perustettavan Euroopan kyberkriisien yhteysorganisaatioiden verkoston (The European Cyber Crises Liaison Organisation Network, EU-CyCLONe) kattoelimenä. Verkostossa Suomea edustaa Liikenne- ja viestintäviraston Kyberturvallisuuskeskus.
Kyberturvallisuusdirektiivi eli NIS 2 -direktiivi
Voimaantulo | 16.01.2023 |
Soveltaminen | 18.10.2024 |
NIS 2 -direktiivi on EU:n tietoverkkojen ja -palveluiden kyberturvallisuudesta annettu direktiivi. Sitä edelsi samaa aihepiiriä koskenut NIS -direktiivi vuodelta 2016. NIS 2 -direktiivillä sääntelyä uudistettiin muun muassa laajentamalla sen soveltamisalaa ja sillä asetettavia velvoitteita. NIS 2 -direktiivin tavoitteena on varmistaa, että tietyt yhteiskunnan toiminnan kannalta kriittiset toimialat ovat riittävän suojattuja kyberuhkilta.
Direktiivin soveltamisalaan kuuluvat toimijat jaetaan keskeisiin ja tärkeisiin toimijoihin niiden koon sekä niiden edustaman toimialan perusteella. Yleisluontoisesti voidaan todeta direktiiviä sovellettavan suuriin ja keskisuuriin yrityksiin, jotka toimivat kriittisen infrastruktuurin aloilla tai eräillä muilla, digitaalisia järjestelmiä hyödyntävillä toimialoilla.
Direktiivi asettaa soveltamisalaan kuuluville yrityksille runsaasti kyberuhkien tunnistamiseen ja niiden torjumiseen liittyviä velvoitteita. Vaadittuihin riskienhallintatoimenpiteisiin lukeutuvat muun muassa:
Riskinhallinta- ja kyberturvallisuuspolitiikkojen laatiminen
Prosessien laatiminen poikkeamien käsittelemiseksi
Toiminnan jatkuvuuden sekä toimitusketjujen turvallisuuden hallinta
Henkilöstön kouluttaminen
Lisäksi yritysten tulee ilmoittaa merkittävistä tietoturvapoikkeamista kansalliselle NIS-viranomaiselle sekä tietyissä tilanteissa palvelujensa vastaanottajille. Viranomaiselle ilmoittaminen tapahtuu todennäköisesti Kyberturvallisuuskeskuksen sivuston kautta. Perusmuotoinen ilmoitusmenettely on kolmivaiheinen:
1. | Ennakkovaroitus | 24h poikkeamasta |
2. | Poikkeamailmoitus | 72h poikkeamasta |
3. | Lopullinen raportti | 1kk poikkeamailmoituksesta |
Ilmoitusvelvollisen yrityksen tulee raportoida merkittävästä tietoturvapoikkeamasta 24h poikkeaman havaitsemisesta ja tehdä varsinainen poikkeamailmoitus 72h poikkeaman havaitsemisesta. Ennen lopullista raporttia viranomainen voi tarvittaessa pyytää yritykseltä väliraportin. Jos puolestaan poikkeamaa edelleen työstetään kuukauden kuluttua, voi yritys antaa lopullisen raportin sijaan edistymisraportin, ja kuukauden kuluessa poikkeaman käsittelyn valmistumisesta lopullisen raportin.
Sääntelyn noudattamisen merkitystä korostavat suhteellisen suuret sanktiot, joita yritykselle voidaan määrätä mikäli velvoitteita ei noudateta. Sanktioiden suuruuteen vaikuttaa se, luokitellaanko yritys keskeiseksi vai tärkeäksi toimijaksi. Kansallisessa lainsäädännössä keskeisten toimijoiden hallinnollisten sakkojen enimmäismäärän on oltava vähintään 10 milj. euroa tai 2 % yrityksen vuotuisesta kokonaisliikevaihdosta sen mukaan, kumpi näistä on suurempi. Tärkeäksi toimijaksi luokiteltavien toimijoiden osalta vastaavat lukemat ovat 7 milj. euroa tai 1,4 % kokonaisliikevaihdosta. Jäsenvaltiot voivat myös halutessaan säätää valtuudesta määrätä uhkasakkoja.
Sääntelyn seuraavat askeleet
NIS 2 -direktiiviin perustuva kansallinen lainsäädäntöhanke on parhaillaan vireillä. Kansallisen sääntelyn sisältö täsmentyy, kun hallituksen esitys annetaan arviolta vuoden 2024 alussa. Toistaiseksi tiedossa ovat ainoastaan direktiivin asettamat vähimmäisvelvoitteet. Esimerkiksi sanktioiden suuruus ja mahdollisten uhkasakkojen säätäminen täsmentyvät myöhemmin. Seuraamme säädöshankkeen etenemistä.
EU:n kyberturvallisuuden sääntelykehykseen kuuluvat myös kyberkestävyysasetus (Cyber Resilience Act) sekä komission keväällä julkaisema ehdotus kybersolidaarisuusasetukseksi (Cyber Solidarity Act). Palaamme näihin tulevissa postauksissamme.
Lisätietoja aiheesta antaa:
Anna Paimela
Osakas
+358 40 1648626
Mikäli haluat artikkelit suoraan sähköpostiisi, tilaa Folksin uutiskirje täältä.
Päivitetty: 27.6.2024
Kirjoitimme kesäkuussa ChatGPT:n ja tekijänoikeuksien välisestä suhteesta. Tässä artikkelissa puolestaan tarkastellaan ChatGPT:n käyttöön liittyviä tietoturva- ja tietosuojariskejä. ChatGPT tallentaa käyttäjän keskusteluhistorian ja hyödyntää syötettyjä tietoja kehittääkseen itseään sekä ammentaakseen sisältöä tuleviin keskusteluihin. Ei siis ole yhdentekevää millaista tietoa sovellukseen syöttää.
OpenAI:n tietosuojakäytännöt kritiikin kohteena
Tekoälysovellukset – kuten ChatGPT – ovat uusia ja niiden hyödyntämää dataa kohtaan on odotetusti esitetty kritiikkiä. Huolta on herättänyt muun muassa ChatGPT:n rakentamista varten kerättyjen tietojen alkuperä. Asiasta kysyttäessä OpenAI on väittänyt datan kerätyn julkisista lähteistä, mutta tarkempaa selvitystä yhtiö ei ole suostunut antamaan. Yhdysvalloissa OpenAI:ta syytetään parhaillaan henkilötietojen varastamisesta ChatGPT:n koulutustarkoituksiin. Kesäkuussa nostetun ryhmäkanteen mukaan OpenAI olisi varastanut merkittäviä määriä amerikkalaisten henkilötietoja, kuten terveystietoja ja lapsia koskevia tietoja.
Käyttäjän omiin henkilötietoihin sekä sovellukseen syötettyihin tietoihin liittyy omat tietosuojahaasteensa. Tietosuojaselosteensa mukaan OpenAI takaa ChatGPT:n käyttäjän omia henkilötietoja koskevien lakisääteisten velvoitteiden noudattamisen. Ongelmallista ehdossa on se, että OpenAI toimii EU:n tietosuoja-asetuksen tarkoittamassa rekisterinpitäjän roolissa, jolloin sillä tulisi olla tietosuoja-asetuksen mukainen peruste käsitellä käyttäjän henkilötietoja. Tämä peruste jää ehdoissa epäselväksi.
Jos OpenAI:n palveluja haluaa käyttää henkilötietojen käsittelyyn tietosuoja-asetuksen tarkoittamalla tavalla, se edellyttää käyttöehtojen mukaan erillisen henkilötietojen käsittelysopimuksen tekemistä OpenAI:n kanssa. Tällöin sovelluksen käyttäjä toimii rekisterinpitäjän roolissa ja OpenAI käsittelijän roolissa. Henkilötietojen käsittelysopimuksen tekeminen on kuitenkin mahdollista ainoastaan yhtiön yrityspalveluiden asiakkaille.
ChatGPT on osa OpenAI:n kuluttajapalveluja, eikä sen käyttäjillä näin ollen ole mahdollisuutta henkilötietojen suojaamiseen sopimusteitse. Tämä tulee mahdollisesti muuttumaan jatkossa, sillä yhtiö kehittää parhaillaan yrityskäyttäjille suunnattua palvelua ChatGPT Business, jota koskisivat OpenAI:n muiden yrityspalveluiden tietosuojaehdot. Toistaiseksi tällaista palvelua ei kuitenkaan ole käytettävissä eikä henkilötietoja siten tulisi käsitellä kuin OpenAI:n nykyisten yrityspalvelujen tai mahdollisesti tulevan ChatGPT Business -palvelun puitteissa. Tällä hetkellä yritykset voivat hyödyntää ChatGPT:ta vain sallimalla työntekijöidensä käyttää sovellusta kuluttajakäyttäjinä. Tästä johtuen työntekijöille on hyvä ohjeistaa, ettei henkilötietoja tule syöttää palveluun.
Kyse muustakin kuin tietosuojasta
Yritysten on keskeistä huomioida, että ChatGPT:n käyttöön liittyy tietosuojahaasteiden lisäksi muitakin riskejä. Henkilötietojen ohella yritysten intressissä on suojata liikesalaisuuksiaan. Tällaisten tietojen syöttäminen sovellukseen on riskialtista tietoturvan näkökulmasta. Tekoälyn kaltaiseen uuteen teknologiaan liittyy riski toistaiseksi tuntemattomien haavoittuvuuksien rikollisesta hyödyntämisestä sekä suojaustoimenpiteiden pettämisestä. Sovelluksessa voi olla tietoturva-aukkoja, jotka altistavat syötettävän materiaalin tietomurroille ja tietovuodoille. Vaikka OpenAI on toteuttanut tietoturvaan liittyviä toimenpiteitä, kuten tietojen anonymisointia, tietoturvariskejä ei voida täysin poissulkea, sillä tekniikka on aina jossain määrin haavoittuvaista. ChatGPT:n käyttäjän onkin syytä noudattaa varovaisuutta ja harkita huolellisesti, millaista tietoa sovellukseen syöttää.
Tietojen käyttöä koskevan kritiikin vuoksi OpenAI on hiljattain lisännyt käyttäjien toimintamahdollisuuksia tarjoamalla kattavammin tietojen käyttöä koskevia vaihtoehtoja. Käyttäjä voi nyt poistaa ChatGPT:n kanssa käymänsä keskusteluhistorian ja kieltää syöttämänsä datan käytön tekoälyn koulutustarkoituksiin. Nämä vaihtoehdot ovat tarjolla kaikille sovelluksen käyttäjille. Vaikka riski tietojen vuotamiseen ei muutosten johdosta olekaan enää yhtä merkittävä kuin aiemmin, ei sovellukseen kannata syöttää liikesalaisuuksia. Tilannetta voi olla aiheellista arvioida uudelleen, kun OpenAI julkaisee ChatGPT Business -palvelun ja sen täsmällinen sisältö käyttöehtoineen selviää.
Moni työntekijä otti heti alkuvuodesta ChatGPT:n innolla käyttöön huomioimatta erilaisten tietojen käsittelyn turvallisuutta. Useissa yrityksissä sovelluksen varomaton käyttö johtikin kevään aikana toimenpiteisiin. Eräät Wall Street -pankit sekä muut suuret yritykset kuten Samsung ja Apple kielsivät työntekijöiltään ChatGPT:n käytön. Samsung kielsi tekoälysovellusten käytön, kun selvisi, että yrityksen työntekijä oli syöttänyt liikesalaisuudeksi katsottavaa koodia ChatGPT:n alustalle. Monissa muissa yrityksissä tekoälysovellukset on puolestaan kielletty ennaltaehkäisevänä toimenpiteenä. Näin radikaaleihin toimenpiteisiin ei välttämättä ole tarkoituksenmukaista ryhtyä, sillä tekoälysovellukset tarjoavat paljon mahdollisuuksia tehostaa yrityksen toimintaa. Jos niiden käyttö sallitaan, on henkilökunnalle tärkeää laatia selkeä ohjeistus sovellusten tietoturvallisesta käytöstä.
Muistilista yrityksille
Jos riskeistä huolimatta haluat kokeilla ChatGPT:n käyttöä, kiinnitä huomiota ainakin seuraaviin:
Noudata yleistä varovaisuutta ja ota käyttöön OpenAI:n tarjoamia vaikutusmahdollisuuksia, jos et halua, että dataa käytetään tekoälyn koulutustarkoituksiin
Laadi henkilökunnalle selkeä ohjeistus ChatGPT:n yksityisestä käytöstä
Harkitse ChatGPT Business -palvelun käyttöönottoa, kun se tulee saataville
Jos käsittelet sovelluksessa henkilötietoja (vain yrityspalvelut), huomioi tietosuojalainsäädännön vaatimukset, kuten esimerkiksi rekisteröityjen informointi sekä mahdollinen tietosuojaa koskeva vaikutustenarviointi uutta teknologiaa käyttöön ottaessa
Lainsäätäjät ryhtyneet toimenpiteisiin
Yritysten ohella myös viranomaiset ja lainsäätäjät ovat huolestuneet ChatGPT:n riskeistä. Maaliskuussa tietoturvariskien olemassaolo realisoitui, kun ChatGPT:hen kohdistui tietomurto, jonka seurauksena käyttäjien keskusteluhistorian otsikoita, joidenkin keskustelujen yksittäisiä viestejä sekä käyttäjien maksutietoja vaarantui. Muitakin ChatGPT:hen liittyviä haavoittuvuuksia on ajoittain raportoitu.
Tietomurron jälkeen Italian tietosuojaviranomainen kielsi ChatGPT:n käytön. Kiellon perusteena olivat ensinnäkin tietovuodon aiheuttamat tietosuojarikkomukset, minkä lisäksi OpenAI:lla ei nähty olleen perustetta käsitellä tietoja. Yhtiö ei myöskään informoinut käyttäjiä riittävästi henkilötietojen käsittelystä tai estänyt alle 13-vuotiaiden pääsyä palveluun. Huhtikuun lopulla Italia salli sovelluksen jatkaa toimintaansa OpenAI:n ilmoitettua tiedottavansa jatkossa avoimemmin henkilötietojen käsittelyprosessistaan, varmistavansa käyttäjien iän sekä lisäävänsä käyttäjien mahdollisuuksia vaikuttaa tietojen käyttöön.
Keskusteltuaan Italian tietosuojaviranomaisen toimista Euroopan tietosuojaneuvosto perusti ChatGPT:tä koskevan työryhmän. Sen tarkoituksena on edistää yhteistyötä ja vaihtaa tietoja mahdollisista tietosuojaviranomaisten ChatGPT:hen liittyvistä toimista. Vastaavasti EU:n lainsäädäntöelimissä on keskusteltu tekoälyä koskevan lainsäädännön tarpeesta. Merkittävin edistysaskel tällä saralla on EU-parlamentissa parhaillaan käsiteltävänä oleva EU:n tekoälysäädös (EU AI Act). Tätä ja muita EU:n digisääntelyhankkeita käsittelemme myöhemmissä artikkeleissamme.
Anna Paimela
Osakas
+358 40 1648626
Mikäli haluat artikkelit suoraan sähköpostiisi, tilaa Folksin uutiskirje täältä.