Råd om AI-bruk, vær så god

Generativ AI og lignende tjenester vil uunngåelig bli en del av arbeidsdagen og privatlivet vårt, men med feil bruk kan det ha både data- og forretningsmessige konsekvenser. Derfor må alle virksomheter få lagd seg en AI-politikk som de ansatte må følge. Her er én, som du kan bruke som utgangspunkt.

ChatGPT, Midjourney og mange fler. Generative kunstige intelligenser blir stadig mer utbredt, og stadig flere begynner å bruke det på jobben sin – uansett om it-avdelingen har gitt sin tillatelse eller ei. Blir ikke generativ AI en del av virksomhetens it-verktøyspark, så blir den lynraskt en del av de ansattes skygge-it-portefølje, noe som kan være katastrofalt.

For data i AI-er som ikke behandles riktig, kan både være i strid med GDPR og det kan skape uriktige svar som i verste fall kan koste kunder for virksomheten, og i beste fall bare få dere til å se uprofesjonelle ut.

Men brukes generativ AI korrekt, kan det være en mektig hjelp til å spare tid for de ansatte, som i stedet kan fokusere på andre oppgaver, som i høyere grad krever en menneskelig hjerne og tilnærming.

Derfor må dere tenke ut en AI-politikk som deles og håndheves blant de ansatte. Jeg har – i forbindelse med ChatGPTs 2-års fødselsdag – skrevet et utkast til både en AI-politikk, som kan deles ut blant de ansatte, og en plan for it-avdelingen, slik at AI-politikken kan implementeres og håndheves. Under finner du en rekke gode, praktiske politikker rundt AI, som virksomheten din kan bruke som utgangspunkt – så lenge de blir satt opp mot akkurat deres virksomhets databruk og andre retningslinjer.

Det viktigste er at dere tar stilling. Ellers gjør deres ansatte det for dere. Skygge-it er en av de største årsakene til datatap.

Har du bruk for mer info omkring akkurat retningslinjer for AI-bruk, så har du her et par lenker til eksterne sider hos gode, offisielle kilder som jeg kan anbefale:

· Inspirasjon til etisk bruk av AI

· OWASPs (non-profit it-sikkerhetsorganisasjon) omfattende styringsdokument for AI.

· Utkast til AI-Policy, som går langt mer i dybden, ikke bare om bruken av AI, men også i databehandlingen, fra Responsible Articifial Intelligence Institute

Utkast til generell AI-politikk for bruk av Generativ AI-tjenester.

1. Del aldri personsensitive eller fortrolige opplysninger

Du må ikke dele opplysninger som personnumre, helsedata, økonomiske opplysninger, eller noen form for fortrolige opplysninger om virksomheten, kunder eller kolleger med AI-systemer som ChatGPT.

Implementering: Sett opp og iverksett klare retningslinjer for hvilke opplysninger som regnes som personsensitive eller fortrolige. Sørg for å tilby opplæring av medarbeiderne i GDPR og datasikkerhet.

2. Bruk AI utelukkende til ikke-kritiske oppgaver

AI kan brukes til mindre oppgaver som research, ide-generering eller oppsummering av generelle emner. Det kan ikke brukes til å treffe forretningskritiske beslutninger, juridisk rådgivning eller oppgaver som kan påvirke virksomhetens strategi.

Implementering: Lag en liste over oppgaver som det er akseptabelt å bruke AI til, og hvilke oppgaver som krever godkjennelse.

3. Kontroller alltid det AI genererer

AI genererer forslag og svar basert på treningsdata, men det er viktig at du alltid dobbeltsjekker det genererte svaret for nøyaktighet og kvalitet før du bruker det i arbeidet ditt.

Implementering: Lær opp medarbeiderne til å dobbeltsjekke AI-genererte resultater, og innfør prosedyrer for validering av output.

4. Innhent godkjennelse før bruk av AI til kritiske oppgaver

Hvis du ønsker å bruke AI til en oppgave som har en vesentlig påvirkning på virksomhetens beslutninger eller prosjekter, og som ligger utenfor allerede avtalte rammer, må du først ha godkjennelse fra ledelsen eller it-avdelingen.

Implementering: Opprett en enkel godkjennelsesprosess, der medarbeiderne må skaffe tillatelse til å bruke AI i kritiske prosjekter.

5. Bruk AI som et supplement, ikke en erstatning

AI er et verktøy som kan hjelpe deg i jobben din, men det må aldri erstatte din egen vurdering, kunnskap eller kritiske tenkning. Du er alltid ansvarlig for det endelige resultat.

Implementering: Lær opp medarbeiderne i hvordan de best kan bruke AI som supplement til sitt arbeid, og legg vekt på viktigheten av menneskelig vurdering i beslutningsprosessen.

6. Overhold virksomhetens sikkerhetspolitikk ved bruk av AI

Når du bruker AI må du alltid sikre at det skjer i overensstemmelse med virksomhetens it-sikkerhetspolitikk, og at du følger de gjeldende retningslinjene for databeskyttelse.

Implementering: Integrer AI-bruk i virksomhetens eksisterende it-sikkerhetspolitikk og sørg for at kommunikasjonen om datasikkerhet inkluderer AI-spesifikke risikoer.

7. Ikke automatiser komplekse beslutningsprosesser med AI

AI må ikke brukes til å automatisere beslutninger som krever menneskelig vurdering. Bruk AI som støtte til å analysere data, men la mennesker treffe de endelige beslutningene.

Implementering: Utarbeid en klar politikk som setter grenser for hvilke typer beslutninger som kan automatiseres, og hvilke som skal treffes manuelt.

8. Forstå begrensningene til AI

AI-er som ChatGPT kan ikke forstå kontekst på samme måte som mennesker. Det er viktig å forstå at svarene kan være beheftede med feil eller være mangelfulle, og derfor krever en kritisk vurdering.

Implementering: Sørg for at medarbeiderne har tilgang til opplæring og resurser som hjelper dem med å forstå AIs begrensninger og potensielle feil.

9. Bruk kun godkjente AI-verktøy

Du kan kun bruke AI-tjenester som er godkjent av it-avdelingen, for å sikre at virksomheten opprettholder et høyt nivå av datasikkerhet.

Implementering: Utarbeid en liste over godkjente AI-verktøy og sørg for at medarbeiderne kun har adgang til disse gjennom sikre kanaler.

10. Forstå at AI også kan brukes mot deg

Akkurat så velegnet som AI kan være for deg og virksomheten din, kan den i like stor grad brukes mot deg. It-kriminelle bruker i økende grad AI for å skape troverdig norsk tekst for å narre deg til å klikke på lenker. Vær oppmerksom og skeptisk.

Implementering: Gjennomfør regelmessig it-opplæring av virksomhetens ansatte for å lære dem å identifisere phishingangrep og andre former for sosial manipulering – Og bygg opp et sunt og åpent forum, der de alltid kan skrive og spørre, om de skulle være i tvil.