Skip to content
Intric Intric Help Center

Klassifisert informasjon, fire spørsmål og tips

Introduksjon

Section titled “Introduksjon”

🎯 Læringsmål

  • Forstå at klassifisert informasjon og personopplysninger er separate kategorier
  • Vite at du må sjekke organisasjonens informasjonsklassifiseringspolicy, ikke bare personvernreglene
  • Avslutte med en praktisk sjekkliste og verktøy for å korrigere vanlige myter

Når informasjon er sensitiv av andre grunner

Section titled “Når informasjon er sensitiv av andre grunner”

Ikke all sensitiv informasjon er personopplysninger. Klassifisert informasjon — i den forstand at informasjon organisasjonen din har merket som begrenset eller konfidensiell av operasjonelle eller sikkerhetsmessige grunner — er en separat kategori.

Eksempler:

  • Interne statlige drøftelser som ikke er blitt offentliggjort
  • Kommersielt sensitiv anskaffelsesinformasjon
  • Sikkerhetsrelatert informasjon (trusselvurderinger, infrastruktur-sårbarheter)
  • Informasjon underlagt yrkesmessig taushetsplikt (som visse typer juridisk eller medisinsk rådgivning innen en organisasjon)

GDPR dekker ikke denne typen informasjon — men organisasjonens egne informasjonssikkerhetspolicyer gjør det, og i mange tilfeller gjør også alminnelig forvaltningsrett det.

Hva dette betyr i praksis

Section titled “Hva dette betyr i praksis”

Organisasjonens informasjonsklassifiseringspolicy bestemmer hva som kan legges inn i hvilke systemer. Selv om en gitt assistent er teknisk godkjent for personopplysninger, kan den være ikke tillatt for klassifisert intern informasjon — og dette er ulike spørsmål.

Før du jobber med klassifiserte dokumenter eller sensitiv intern informasjon i en assistent — sjekk:

  • Hvilket klassifiseringsnivå har organisasjonen din tildelt denne informasjonen?
  • Hva sier IT- eller informasjonssikkerhetspolicyen din om bruk av KI-assistenter med denne klassifiseringen?
  • Er assistenten du ønsker å bruke distribuert i et miljø som er i samsvar med den klassifiseringen?

Behandle informasjonen som mer sensitiv fremfor mindre sensitiv ved tvil — og spør.

Eksempel: Du utformer en rapport for kommunen din som refererer til en intern juridisk vurdering merket “kun til tjenestebruk.” Om du kan inkludere det i en assistentprompt, avhenger av klassifiseringen av både dokumentet og assistenten — ikke bare én av dem.

Fire spørsmål å stille før du starter

Section titled “Fire spørsmål å stille før du starter”

Før du bruker en assistent med data du ikke er helt sikker på — gå raskt gjennom disse:

  1. Er denne assistenten godkjent for denne typen data? Sjekk sikkerhetsklassifiseringen. Hvis du er usikker — spør administratoren din.
  2. Deler jeg bare det som faktisk er nødvendig for denne oppgaven? Tenk over om du kan oppnå samme resultat med færre personopplysninger.
  3. Er det et menneske som tar den endelige beslutningen her? Hvis KI-ens output direkte vil resultere i en konsekvens for en person — sørg for at et menneske gjennomgår og tar ansvar.
  4. Føles dette som et nytt brukstilfelle? Hvis måten du bruker assistenten på avviker meningsfullt fra dens tiltenkte formål, eller involverer sensitive kategorier av data i stor skala — varsle personvernombudet ditt før du fortsetter.

Tips og myter

Section titled “Tips og myter”

Noen ting du kanskje hører fra kolleger — og hvordan svare:

“Hvis et menneske gjennomgår outputen, er alt juridisk greit.”

For det meste ja — men gjennomgangen må være genuin. Hvis noen teknisk sett er “i loopen”, men i praksis aldri endrer eller stiller spørsmål ved KI-ens output, vil tilsynsmyndigheter og domstoler kanskje ikke behandle dette som meningsfull menneskelig tilsyn. Det menneskelige gjennomgangspersonen må faktisk forstå hva KI-en anbefalte og være i stand til å være uenig.

“KI-assistenter trenes på det jeg skriver, så jeg bør unngå personopplysninger helt.”

Intric bruker som standard ikke promptene dine eller dataene dine til å trene KI-modeller. Dataene dine forblir dine. Dette er en av de viktigste forskjellene mellom en plattform som Intric og et forbrukerproduk for KI. Likevel betyr ikke dette at alt er tillatt — personvernkrav gjelder uavhengig av trening.

“En DPIA er et enormt juridisk prosjekt — vi kan ikke gjøre én hver gang vi bruker KI.”

En DPIA er ikke påkrevd for all KI-bruk. Den utløses av spesifikke omstendigheter (som beskrevet i forrige seksjon). For mange hverdagslige brukstilfeller av en assistent — skriving, oppsummering, forskning — er ingen DPIA nødvendig. Det som betyr noe er å gjenkjenne når terskelen er overskredet.

“AI Act og GDPR sier det samme, så jeg trenger bare å tenke på én av dem.”

De er relaterte men distinkte. GDPR handler om å beskytte personopplysninger. AI Act handler om sikkerheten og påliteligheten til KI-systemer. De peker ofte i samme retning, men har ulike krav og ulike utløsere. For AI Act-forpliktelser spesifikke for organisasjonen din — se AI Act-kurset.

Det sirkulerer mye myte og usikkerhet rundt KI og personvern. Ved tvil — gå til administratoren eller personvernombudet ditt, sjekk organisasjonens interne retningslinjer, eller les primærkilder — du får et mer nøyaktig bilde enn fra de fleste nettsammendrager.

Test kunnskapen din

3 spørsmål · 100 % riktige for å bestå · Gå gjennom svar når du er ferdig