Det er snart to år sidan Erlend Andreas Gjære, dagleg leiar i Secure Practice, skreiv søknaden om å få prøve ut ei ny teneste dei hadde på gang i Datatilsynets då nyoppstarta regulatoriske sandkasse for kunstig intelligens. Sidan har det blitt ein serie med arbeidsmøter, møter med fokusgrupper og arbeid med ein sluttrapport, som ligg ute på Datatilsynets nettsider både på norsk og engelsk.
Sjå sluttrapporten frå Secure Practice-prosjektet.
Møtte ingen vegg
Korleis ser så det endelige produktet til Secure Practice ut, samanlikna med ideen og skissa Gjære tok med seg inn i sandkasseprosessen for testing og vurdering saman med Datatilsynets fagfolk? Temmeleg likt. I alle fall for eit utrent auge.
– Vi fekk ikkje det der radikale brotet, sånn: «Oj, her har vi gjort noko skikkeleg gale! No må vi gjere alt om igjen, gjere det heilt annleis.» Når du begynner med personvern tidleg i produktutviklinga, blir ein sandkasseprosess meir at du får små interaksjonar, som gir små justeringar. Der du ser, at dersom vi heller gjer sånn, så blir det litt betre. Ingen stor revolusjon. Du treff ikkje veggen så hardt at du ikkje kjem deg på fote igjen. Men vi har tatt med oss diskusjonspunkt, justert litt her, tilnærma oss litt der, og står igjen med eit bra sluttprodukt. Det er ein fin måte å jobbe med personvern på, seier Gjære.
Hjelpe mange ved å hjelpe ein
Samarbeidet med Datatilsynet slutta ikkje med sluttrapporten. For ein sentral del av sandkassas oppdrag og arbeid, er å spreie den glade kunnskap som opparbeider seg i prosjekta. Erlend Andreas Gjære deler gjerne på Secure Practices lærdom, og har vore med Datatilsynet både til Brüssel og Lillehammer i paneldebatt og foredrag for å dele erfaringar som sandkassedeltakar. Gjære har ikkje noko imot å vere eit «omreisande sandkassecase».
– Det er berre hyggeleg å få presentere noko som har gått bra. Noko som har vore nyttig for oss og forhåpentlegvis kan vere nyttig for fleire.
For Gjære meiner sluttrapporten inneheld fleire element som ikkje berre er case-spesifikke for Secure Practice, men som er relevante tema for andre. Både om tilpassa opplæring, om korleis fokus på personvern kan gi innovative løysingar, og ikkje minst om personvern på arbeidsplassen.
Cyberkriminelle vil inn på jobben din
Secure Practice er eit relativt ungt firma som har peila seg inn mot bedriftsmarknaden for informasjonssikkerhet. Tenesta dei har utvikla, og no lanserer, handlar enkelt forklart om å gi persontilpassa opplæring i datasikkerhet. Bedrifter kan abonnere på tenesta, og dermed får dei tilsette tilgang til opplæringa.
Alle kan bli utsett for hacking og svindel, men bedrifter er ekstra attraktive mål for dei cyberkriminelle. Og vegen inn går gjerne via innboksen eller datamaskina til ein tilsett. Derfor er det sentralt for bedrifter at dei tilsettes rutinar og kunnskap om informasjonssikkerhet er på plass.
Profilering og personvern hand i hand
Men korfor må opplæringa vere persontilpassa? Korfor må ein profilere dei tilsette?
– Det ikkje alle som kan like mykje om datasikkerheit. Nokon veit masse, nokon ganske lite. Nokon er veldig interessert, nokon er mindre interessert. Nokon har det travelt, andre har betre tid. Det er mange faktorar som spelar inn på kor mottakelege folk er til å lære, påpeikar Gjære.
Ein lærar som kjenner elevane sine og veit kva som motiverer og gjer dei mottakelege, er nok ein fordel i all form for læring. Også for eit automatisk opplæringssystem i informasjonssikkerhet på jobben. Samtidig er profilering av tilsette på ein arbeidsplass eit kvepsebol. Først og fremst handlar det om frykta for at informasjonen kan bli misbrukt av arbeidsgjevaren. Så ein sentral del av sandkasseprosjektet var å sjå på korleis ein kan forsikre seg mot at nettopp det kan skje. Korleis kan ein profilere på ein personvernvennleg måte?
Marknaden er der
Sjølv om sandkassa ikkje kan dele ut godkjentstempel til enkeltprodukta eller tenestene som blir utforska, har prosessen i seg sjølv gjort Gjære trygg på retninga i prosjektet.
– Det gir veldig mykje større trygghet for oss og potensielle kundar, når vi i sandkassa fekk stille vanskelege spørsmål, fekk gode svar og har gjort nødvendige grep for å ta vare på personvernet.
Kundane er der. Gjære veit at det er eit behov. Det fins aktørar i marknaden i dag som tilbyr likande teneste, men ikkje så personvernvenleg.
– Heller personvernfiendtleg, der det ikkje blir teke tilstrekkeleg omsyn til dei tilsette. Som kanskje er meir fokusert på å avsløre kven som er «synderane» blant dei tilsette. Slikt skapar ikkje trygghet og tillit og positivt engasjement for sikkerheita, heller frykt, fortel Gjære.
Høyr Gjære i den internasjonale podkasten Cyber Empathy med tittelen "How emotions shape human behavior in cybersecurity" (ekstern lenke)
Frykt kan absolutt vere ein driver for endring det også, men Gjære føretrekk positivitet.
– Når vi gir persontilpassa opplæring, er det for å auke effekten av opplæringa. At vi ikkje plagar dei som veit mykje med det som er for basic, og ikkje legg lista for høgt for dei som treng det enkelt. Vi vil gi brukaren meir positive følelsar knytt til opplæringa og datasikkerhet, og dermed betre åtferd ut i andre enden.
Og det er jo det bedriftene først og fremst ønsker.
Neste Google?
Datatilsynets tidlegare direktør, Bjørn Erik Thon, hadde ein draum, då han var med å etablere sandkassa: Å hjelpe fram det neste – men personvernvennlege og norske – Google.
– Det hadde vore noko, svarar Gjære og ler.
Men han vil ikkje ta på seg ansvaret for at Thons draum skal gå i oppfylling.
– Vi har ingen draum om å vere Google. Men det er kjekt å kunne utvikle noko som er nyttig for folk. Vi er jo alle internettbrukarar – datasubjekt, for å bruke eit teknisk ord – og det å hjelpe folk til ein trygg kvardag på nett på ein trygg måte, er meiningsfylt. Det er ein verdi i seg sjølv.
Følg med på det som skjer i sandkassa ved å abonnere på vårt nyhetsbrev, der du får invitasjoner og informasjon om søknadsfrister, møter, webinarer og arrangement som er relevant for alle som er opptatt av ny, ansvarlig kunstig intelligens.
Meld deg på Sandkassebrevet.