Datatilsynet følger med på utviklingen av ChatGPT

Vi har ingen pågående saker om ChatGPT akkurat nå, men følger med i utviklingen på europeisk nivå. I artikkelen gir vi noen råd om verktøyet til norske virksomheter og innbyggere. 

- Datatilsynet får en god del henvendelser angående ChatGPT. Vi ser at det er et stort engasjement om verktøyet i hele Europa, sier leder for internasjonal seksjon i Datatilsynet, Tobias Judin.

Flere europeiske land har opprettet saker mot ChatGPT, blant annet det italienske datatilsynet. De opprettet tilsynssak og nedla et midlertidig forbud mot at ChatGPT kunne behandle personopplysninger om brukere i Italia. Bakgrunnen er at dataene som brukes til å trene opp ChatGPT, inneholder personopplysninger. Disse personopplysningene er hentet inn fra ulike kilder på internett og fra samtalene mellom brukerne og ChatGPT. Det italienske datatilsynet er usikre på om disse personopplysningene er innhentet på lovlig vis. De er også usikre på om informasjonen til brukerne har vært god nok.

- Selve forbudet blir imidlertid nå hevet, under forutsetning om at ChatGPT fortsetter å samarbeide med det italienske datatilsynet, forteller Judin.

Nedsatt arbeidsgruppe

EUs personvernråd (EDPB) er engasjert i saken, og har blant annet satt ned en arbeidsgruppe (europa.edpb.eu) for å se nærmere på problemstillingene.

- Vi synes at det store engasjementet i saken er veldig positivt. Flere av våre søsterorganer har åpne saker mot ChatGPT, og denne arbeidsgruppa gir oss mulighet til å koordinere dette arbeidet slik at vi har en felles, europeisk tilnærming, sier Judin.

Siden flere andre europeiske personvernmyndigheter allerede ser på ChatGPT, har det norske tilsynet valgt å ikke åpne egen sak.  

- Det er viktig at innsamling og bruk av treningsdata til kunstig intelligens følger personvernprinsippene. Vi følger derfor nøye med på det som skjer i utviklingen av ChatGTP og andre løsninger, understreker Judin.

Andre problemstillinger som reises i undersøkelsene av ChatGPT og deres bruk av personopplysninger, er hvorvidt prinsippet om korrekthet er fulgt, om informasjonssikkerheten er god nok samt hvordan tjenesten behandler personopplysninger om barn og unge.

Råd til norske virksomheter og innbyggere

Det er veldig viktig at virksomheter som utvikler eller tar i bruk løsninger med kunstig intelligens har fokus på innebygget personvern. Personvern må være bygget inn i løsningen fra starten av, og disse virksomhetene må for eksempel sørge for at innhenting og bruk av treningsdata skjer på en lovlig og åpen måte.

- Hvis ikke risikerer de i verste fall å ende opp med en modell som det ikke er lov å ta i bruk, sier Tobias Judin.

Som enkeltperson er det viktig at du vet at løsninger som bygger på kunstig intelligens ofte bruker det du skriver eller laster opp til å forbedre tjenesten. Med andre ord kan slike personopplysninger lagres og brukes videre.

- Ha et bevisst forhold til hvordan du samhandler med slike tjenester og hvilken informasjon du oppgir – og glem heller ikke at du har personvernrettigheter du kan benytte deg av, avslutter seksjonssjefen. 

Vi har en samlet oversikt over alle rettighetene du har etter personvernregelverket på våre nettsider

Vær klar over dette hvis du tar i bruk GPT-baserte tjenester

Husk at  forespørsler som sendes inn til tjenesten kan inneholde personinformasjon inkludert sensitiv personinformasjon.

Husk også at teknologien kan:

  • gi tilsynelatende gode svar, men også gi villedende og feil svar
  • inneholde innebygde skjevheter og stereotyper som ikke uten videre er lett å få øye på
  • ha forskjellig kvalitetsnivå avhengig av hvilke språk og eventuelle dialekter som benyttes

Virksomheter må passe spesielt på

  • at virksomhetens eget oppsett og konfigurasjon av tjenester krever teknisk kompetanse for å unngå at det skapes sårbarheter (i likhet med skytjenester mer generelt)
  • at implementasjon og integrasjon av GPT tjenester krever tiltak for egen informasjonssikkerhet og egen personopplysningssikkerhet (i tillegg til tjenestens egne tiltak)
  • å være bevisst på at forespørsler som sendes inn og responderer på disse kan kunne lagres i tjenestetilbyders egen historikk eller benyttes av tjenestetilbyder for "videreutviklingsformål".