KI-pilotprosjekt i Vestland fylkeskommune

Kort om prosjektet

Vestland fylkeskommune har gjennomført eit pilotprosjekt for å utforske bruk av generativ kunstig intelligens, med hovudfokus på Microsoft Copilot for M365. Målet har vore å vurdere både moglegheiter og risikoar knytt til teknologien, og finne ut kva som må vere på plass for å ta den i bruk på ein trygg og lovleg måte.

Prosjektet har vore tverrfagleg og involvert personvernrådgjevar, sikkerheitsrådgjevar, utviklarar, IKT-konsulentar og representantar frå ulike seksjonar i fylkeskommunen. Det har også vore tett samarbeid med juridisk seksjon og god forankring i leiinga. I tillegg har prosjektet samarbeidd med NTNU sitt sandkasseprosjekt i regi av Datatilsynet, noko som har gitt viktig innsikt i regulatoriske og praktiske utfordringar knytt til bruk av KI i offentleg sektor. Vi vil anbefale å lese deira vurderingar i tillegg til våre. 

Hovudfunn

Det er per i dag ikkje tilrådd å ta i bruk Copilot for M365 i stor skala i Vestland fylkeskommune. Teknologien medfører ein høg risiko for behandling av personopplysningar, og det er utfordrande å sikre tilstrekkeleg kontroll over kva data som blir brukt og korleis. Til dømes er det ikkje mogleg å deaktivere tilgang til e-post, noko som aukar faren for utilsikta eksponering av sensitiv informasjon. I tillegg opptrer Copilot som ein «svart boks» der det er vanskeleg for brukaren å forstå kva data som er behandla og kvifor.

Sjølv om Copilot i pilotperioden viste potensial for effektivisering og forbetring av arbeidsprosessar, blei det identifisert fleire svakheiter i organisasjonen sitt arbeid med informasjonssikkerheit og internkontroll.

Det er behov for auka kompetanse blant både leiarar og tilsette, og styrke den digitale grunnmuren. Trygg og ansvarleg bruk av KI krev meir enn gode rutinar – det krev forståing og kompetanse på tvers av organisasjonen.

«Menneskeleg kontroll er avgjerande, og vi ser at opplæring og kompetanseheving må prioriterast framfor berre å utarbeide nye rutinar og rettleiarar. Kompetanse er nøkkelen til å lukke gapet mellom intensjon og praksis. Å bygge ei felles forståing blant alle i organisasjonen vil vere avgjerande for trygg og ansvarleg bruk av kunstig intelligens»

Som alternativ til Copilot er det vurdert andre teknologiar, mellom anna Microsoft sin Semantic Kernel, eit rammeverk som gir større moglegheit for kontroll, skreddarsaum og trygg databehandling. Dette kan vere eit meir eigna verktøy for delar av organisasjonen, særleg i kombinasjon med Azure sine KI-tenester.

Prosjektet gir fleire konkrete tilrådingar for vidare arbeid, som du kan lese om i vår sluttrapport. Målet er at fylkeskommunen skal kunne ta i bruk ny teknologi på ein trygg og ansvarleg måte, der gevinstane blir henta ut utan at personvernet blir sett til side.

Korleis kan andre bruke erfaringane frå pilotprosjektet vårt?

Personvern har vore det mest krevjande området i prosjektet. Copilot for M365 behandlar store mengder data på nye og lite gjennomsiktige måtar, og det har vore utfordrande å finne klare og trygge vurderingar for korleis verktøyet påverkar personopplysningar.

Arbeidet med å forstå kva data som blir brukt, korleis dei blir behandla, og kva risiko dette fører med seg, har vore komplekst og tidkrevjande. Dette handlar både om teknologisk innsikt og om å kunne tolke lovverket riktig i møte med ny teknologi.

For å hjelpe andre som skal i gang med liknande vurderingar, har vi laga ein eigen ekstern versjon av DPIA (personvernkonsekvensanalyse). Denne er tilpassa for å kunne nyttast av andre verksemder som vurderer Copilot for M365.

Den inneheld både overordna vurderingar, sjekklister og forslag til tiltak. Vi håpar dokumentet kan fungere som eit godt utgangspunkt for eigne analysar og refleksjonar. 

I tillegg til DPIA finn du sluttrapporten og utdrag frå midtvegsrapporten til prosjektet. Desse dokumenta gir eit breitt innblikk i kva som må vere på plass for å vurdere, teste og eventuelt ta i bruk kunstig intelligens på ein trygg og ansvarleg måte.