Siirry sisältöön
Intric Intric Help Center

Luokiteltu tieto, neljä kysymystä ja vinkkejä

Johdanto

Osio nimeltä “Johdanto”

🎯 Oppimistavoitteet

  • Ymmärtää, että luokiteltu tieto ja henkilötiedot ovat erillisiä kategorioita
  • Tietää, että sinun on tarkistettava organisaatiosi tietoluokituspolitiikka, ei vain tietosuojasäännöt
  • Päättää kurssi käytännön tarkistuslistalla ja välineillä yleisten myyttien korjaamiseen

Kun tieto on arkaluonteista muista syistä

Osio nimeltä “Kun tieto on arkaluonteista muista syistä”

Kaikki arkaluonteinen tieto ei ole henkilötietoa. Luokiteltu tieto — siinä merkityksessä, että organisaatiosi on merkinnyt tiedon rajoitetuksi tai luottamukselliseksi operatiivisista tai turvallisuussyistä — on erillinen kategoria.

Esimerkkejä:

  • Sisäiset hallinnolliset neuvottelut, joita ei ole julkistettu
  • Kaupallisesti arkaluonteinen hankintatieto
  • Turvallisuuteen liittyvä tieto (uhka-arviot, infrastruktuurin haavoittuvuudet)
  • Salassapitovelvollisuuden alainen tieto (kuten tietyntyyppiset oikeudelliset tai lääketieteelliset neuvot organisaation sisällä)

GDPR ei kata tämäntyyppistä tietoa — mutta organisaatiosi omat tietoturvapolitiikat kattavat sen, ja monissa tapauksissa myös yleinen hallinto-oikeus.

Mitä tämä tarkoittaa käytännössä

Osio nimeltä “Mitä tämä tarkoittaa käytännössä”

Organisaatiosi tietoluokituspolitiikka määrittää, mitä voidaan syöttää mihinkin järjestelmiin. Vaikka tietty assistentti olisi teknisesti hyväksytty henkilötiedoille, se ei välttämättä ole hyväksytty luokitellulle sisäiselle tiedolle — nämä ovat eri kysymyksiä.

Ennen kuin käytät luokiteltuja asiakirjoja tai arkaluonteista sisäistä tietoa assistentissa — tarkista:

  • Minkä luokitustason organisaatiosi on antanut tälle tiedolle?
  • Mitä IT- tai tietoturvapolitiikkasi sanoo tekoälyassistenttien käytöstä tällä luokitustasolla?
  • Onko haluamasi assistentti otettu käyttöön ympäristössä, joka vastaa kyseistä luokitusta?

Epäselvissä tilanteissa — käsittele tietoa mieluummin arkaluonteisempana kuin vähemmän arkaluonteisena, ja kysy.

Esimerkki: Laadit raporttia kunnallesi, joka viittaa sisäiseen lakimiehen lausuntoon, joka on merkitty “vain virkamieskäyttöön”. Se, voitko sisällyttää sen assistentin promptiin, riippuu sekä asiakirjan että assistentin luokituksesta — ei vain toisesta.

Neljä kysymystä ennen aloittamista

Osio nimeltä “Neljä kysymystä ennen aloittamista”

Ennen kuin käytät assistenttia tiedolla, josta et ole täysin varma — käy nämä nopeasti läpi:

  1. Onko tämä assistentti hyväksytty tämäntyyppiselle datalle? Tarkista turvaluokitus. Jos olet epävarma — kysy järjestelmänvalvojalta.
  2. Jaanko vain sen, mitä tämä tehtävä todella vaatii? Mieti, voitko saavuttaa saman tuloksen vähemmillä henkilötiedoilla.
  3. Tekeekö ihminen lopullisen päätöksen tässä? Jos tekoälyn tuloste johtaa suoraan seuraamukseen henkilölle — varmista, että ihminen tarkistaa ja ottaa vastuun.
  4. Tuntuuko tämä uudelta käyttötapaukselta? Jos tapa, jolla käytät assistenttia, eroaa merkittävästi sen tarkoitetusta käyttötarkoituksesta tai sisältää arkaluonteisia tietokategorioita laajassa mittakaavassa — ilmoita siitä tietosuojavastaavalle ennen jatkamista.

Vinkkejä ja myyttejä

Osio nimeltä “Vinkkejä ja myyttejä”

Muutamia asioita, joita saatat kuulla kollegoilta — ja miten vastata:

“Jos ihminen tarkistaa tulosteen, kaikki on juridisesti kunnossa.”

Suurimmaksi osaksi kyllä — mutta tarkistuksen on oltava aito. Jos joku on teknisesti “mukana”, mutta käytännössä ei koskaan muuta tai kyseenalaista tekoälyn tulostetta, viranomaiset ja tuomioistuimet eivät välttämättä pidä sitä merkityksellisenä inhimillisenä valvontana. Ihmisen tarkistajan on todella ymmärrettävä, mitä tekoäly suositteli, ja voitava olla eri mieltä.

“Tekoälyassistentit koulutetaan sillä, mitä kirjoitan, joten minun pitäisi välttää henkilötietoja kokonaan.”

Intric ei oletuksena käytä promptejasi tai dataasi tekoälymallien kouluttamiseen. Datasi pysyy sinun datanasi. Tämä on yksi keskeisistä eroista Intricin kaltaisen alustan ja kuluttajatekoälytuotteen välillä. Tämä ei kuitenkaan tarkoita, että kaikki on sallittua — tietosuojavaatimukset koskevat koulutuksesta riippumatta.

“DPIA on massiivinen juridinen projekti — emme voi tehdä sellaista joka kerta, kun käytämme tekoälyä.”

DPIA ei ole pakollinen jokaisessa tekoälyn käytössä. Se laukeaa tietyistä olosuhteista (kuten edellisessä osiossa kuvailtiin). Monissa tavallisissa assistentin käyttötapauksissa — kirjoittamisessa, tiivistämisessä, tutkimisessa — DPIA:ta ei tarvita. Tärkeintä on tunnistaa, milloin kynnys ylitetään.

“AI Act ja GDPR sanovat saman asian, joten minun tarvitsee ajatella vain toista.”

Ne ovat toisiinsa liittyviä mutta erillisiä. GDPR koskee henkilötietojen suojausta. AI Act koskee tekoälyjärjestelmien turvallisuutta ja luotettavuutta. Ne osoittavat usein samaan suuntaan, mutta niillä on erilaiset vaatimukset ja erilaiset laukaisijat. Organisaatiokohtaisista AI Act -velvoitteista — katso tekoälylakikurssi.

Tekoälyn ja tietosuojan ympärillä liikkuu paljon myyttejä ja epävarmuutta. Epäselvissä tilanteissa — käänny järjestelmänvalvojan tai tietosuojavastaavan puoleen, tarkista organisaatiosi sisäiset ohjeet tai lue ensisijaisia lähteitä — saat tarkemman kuvan kuin useimmista verkkotiivistelmistä.

Testaa tietosi

3 kysymystä · 100 % oikein läpäistäksesi · Tarkista vastaukset lopussa