Kunstig intelligens gir oss nye muligheter for å effektivisere vår drift, automatisere rutinemessige oppgaver og forbedre våre tjenesteleveranser til våre kunder. Utviklingen innen kunstig skjer svært raskt. Det er viktig at vi sørger for at vi bruker KI på en lovlig, ansvarlig, sikker, etisk og transparent måte.
Hemit ønsker å legge til rette for bruk av relevante KI-verktøy. Vår intensjon er å tilgjengeliggjøre risikovurdert KI-løsninger som er godkjent for visse typer bruk. I de tilfeller der godkjente løsninger ikke dekker behovene, kan det i noen tilfeller være formålstjenlig å benytte åpne kilder. Det må i slike tilfeller utvises stor varsomhet.
KI kan være en fremmed teknologi for mange. Det er derfor viktig at vi har åpenhet rundt hvor, hvordan og hvorfor KI benyttes i Hemit.
· Alle: sørge for at sin bruk av KI er i tråd med denne retningslinjen
· Leder på alle nivå: gjøre retningslinjen kjent for sine ansatte, følge opp at de ansatte etterlever kravene i retningslinjen
· Juridisk rådgiver: holde retningslinjen oppdatert.
Kunstig intelligens (KI):
Refererer til datasystemers evne til å utføre oppgaver som vanligvis krever
menneskelig intelligens. Dette kan inkludere problemløsning,
mønstergjenkjenning, språkforståelse, beslutningstaking og læring. KI kan deles
inn i flere underområder, hvor maskinlæring og generativ KI er to viktige
konsepter.
Generativ KI:
Er en type kunstig intelligens som kan lage nytt innhold, som tekst, bilder, musikk, video mm. basert på mønstre og data den har lært fra. Eksempler på generativ KI inkluderer språkmodeller som GPT-4, som kan generere sammenhengende tekst, og DALL-E, som kan lage bilder fra tekstbeskrivelser.
Maskinlæring (ML):
Er en underkategori av KI som fokuserer på å utvikle algoritmer og modeller
som gjør at datamaskiner kan lære fra og gjøre forutsigelser eller beslutninger
basert på data. I stedet for å bli eksplisitt programmert for hver oppgave
(regelbasert automatisering), bruker maskinlæring mønstre og innsikt fra data
for å forbedre ytelsen over tid. Denne retningslinjen avgrenser mot regelbasert
automatisering.
Åpne kilder:
Med åpne kilder menes tjenester for KI som er åpent tilgjengelig på internett. Disse er ofte gratis og lett tilgjengelig i nettleser, da dataen som legges inn i tjenesten brukes for å videreutvikle produktet. Det er viktig å være klar over at verken du eller Helse Midt-Norge har kontroll over informasjon som er lagt inn i åpne kilder.
All bruk av KI skal være i tråd med Mål og strategi for kunstig intelligens i Hemit (Ikke tilgjengelig).
For all bruk av KI skal Regionalt styringssystem for informasjonssikkerhet og personvern, samt Hemits interne styringssystem for informasjonssikkerhet og personvern følges.
Alle som tar i bruk KI, har ansvar for at det gjøres i tråd med gjeldende lover og regler.
Når man benytter KI-generert innhold, skal man alltid ta stilling til om innholdet skal merkes. Dette skal bidra til åpenhet og bevisstgjøring rundt bruk av KI.
Vær kritisk til informasjon generert av KI. Du skal alltid kvalitetssikre informasjon fra KI før du bruker informasjonen. Det er særlig viktig å være bevisst på at koder og annen informasjon generert av KI kan inneholde logikkfeil eller andre sårbarheter. Du skal aldri stole blindt på at informasjon fra KI er korrekt, du må alltid faktasjekke opplysningene.
Med godkjent programvare med kunstig intelligens menes programvare som er risikovurdert og godkjent av Hemit og tilgjengeliggjort for deg via din arbeidsflate.
KI skal kun brukes til det formål det i Hemit er godkjent for. Enhver bruk til andre formål må kartlegges og godkjennes.
Dersom du bruker KI til å behandle personopplysninger, har du ansvar for å sørge for at behandlingen er i tråd med personvernregelverket. Du må særlig være oppmerksom på at du ikke bruker personopplysninger til andre formål enn det de er samlet inn for.
Det er ikke tillatt å benytte informasjon som er klassifisert som strengt fortrolig (Nivå 4 svart) i programvare som benytter KI, se Krav og retningslinjer for klassifisering av informasjon i Helse Midt-Norge (Ikke tilgjengelig).
Bruk av KI kan medføre etiske utfordringer. Den som benytter KI i Hemit har ansvar for at sin bruk ikke er i strid med grunnleggende menneskerettigheter og Etiske retningslinjer Helse Midt-Norge (Ikke tilgjengelig).
Primært skal du kun benytte KI som er godkjent av Hemit og tilgjengelig via din arbeidsflate. Hvis du ikke får behovet dekt gjennom godkjent programvare, kan begrenset bruk av åpne kilder godtas. Retningslinjene under må da følges:
· Du kan bruke åpne kilder via nettleser til enkle søk, for eksempel på samme måte som du bruker Google og andre søkemotorer
· Du skal aldri laste opp personopplysninger i åpne kilder, brudd på dette er å anse som brudd på din taushetsplikt og personvernregler
· Du skal aldri dele taushetsbelagt informasjon eller informasjon som er klassifisert som «fortrolig» eller «strengt fortrolig» (nivå 3 og 4 i Krav og retningslinjer for klassifisering av informasjon i Helse Midt-Norge (Ikke tilgjengelig)) i åpne kilder. Deling i strid med dette er et brudd på din taushetsplikt.
· Du skal aldri dele påloggingsinformasjon
· Dersom du ønsker å opprette bruker på KI-tjenester som er tilgjengelig via åpne kilder, skal du ikke benytte din Hemit e-postadresse med mindre dette på forhånd er avklart med nærmeste leder.
· Har du behov for å laste ned KI-løsninger som ikke er tilgjengelig i arbeidsflaten, skal du avklare dette med nærmeste leder. Ved tvil skal nærmeste leder søke veiledning hos kvalitet og sikkerhet.
Av sikkerhetsmessige årsaker vil noen KI-løsninger bli forbudt i Hemit. Dersom de blir forbudt vil det bli sperret slik at de ikke er tilgjengelig via arbeidsflaten. Ansatte har ikke lov til å legge noen opplysninger knyttet til Hemit eller Helse Midt-Norge inn i slike KI-løsninger, dette selv om de bruker private enheter.
Et eksempel på en slik forbudt KI-løsning er Deepseek som er forbudt i Hemit og det er sperret for bruk av Deepseek på arbeidsflaten.
Av sikkerhetsmessige årsaker frarådes ansatte også å bruke slike KI-løsninger privat.
KI er et fagfelt som er utvikler seg i voldsomt høyt
tempo. Regelverket henger etter teknologien. I Norge har vi per i dag ikke noe
regelverk som særlig retter seg mot KI. EU har vedtatt en KI-forordning som
gjelder i EU. Regelverket vil tre i kraft etappevis frem mot 2027. Forbudet mot
KI med uakseptabel risiko trådte i kraft i EU i februar 2025.
KI-forordningen kommer til å gjelde i Norge også, men da Norge ikke er medlem
av EU vil ta en stund før regelverket gjelder for oss. Da det er ingen tvil om
at regelverket vil gjelde oss, er det likevel viktig at Hemit har et forhold
til kravene i forordningen. Ved anskaffelse av KI-løsninger er det derfor at vi
stiller krav til etterlevelse av forordningen.
Selv om Norge per dags dato ikke har regelverk som direkte regulerer KI, vil bruk av KI likevel treffe en del andre lovverk. Ved anskaffelse, bruk og/eller utvikling av KI, må alltid følgende regelverk ivaretas:
· Personopplysningsloven
· Likestillings- og diskrimineringsloven
· Lov om opphavsrett
· Regelverk spesifikk for helsesektoren: pasientjournalloven, helsepersonelloven, Normen, mv.
Risikovurderinger av KI skal følge samme risikorammeverk som øvrige risikovurderinger i Hemit:
- Veileder for gjennomføring av risikovurdering av informasjonssikkerhet (Ikke tilgjengelig)
- Risikostyring av informasjonssikkerhet (Hemit)
- Risikostyring av informasjonssikkerhet og personvern i Helse Midt-Norge (Ikke tilgjengelig)
o Vedlegg A - Risikokriterier, risikostyring av ISPV (Ikke tilgjengelig)
Introduksjon av KI kan både forsterke eksisterende sikkerhetsrisikoer og innføre nye. Ved behov for veiledning knyttet til informasjonssikkerhetsrisiko ved bruk av KI, kan informasjonssikkerhetsansvarlig eller informasjonssikkerhetsrådgiver kontaktes.
KI-systemer innebærer som regel bruk av ny og innovativ teknologi. Dersom KI-systemet innebærer behandling av personopplysninger, vil det svært ofte bli behov for å gjennomføre en personvernkonsekvensvurdering. Se mal for personvernkonsekvensvurdering.
Før et KI-systemet skal tas i bruk, må det gjennomføres en KI-konsekvensvurdering. Formålet med KI-konsekvensvurdering er å få fanget opp spesifikk KI-spesifikke risikoer. Det vil ofte være en del overlapp mellom ROS, DPIA, FRIA og KI-konsekvensvurderinger, det vil derfor ofte være hensiktsmessig å gjøre de samtidig.
Ifølge Helsedirektoratet kan en KI-konsekvensvurdering omfatte «områder som påvirker pasientsikkerhet, rettferdighet, transparens, forklarbarhet, cybersikkerhet, informasjonssikkerhet, personvern, finansielle konsekvenser, tilgjengelighet og menneskerettigheter, og å oppdage eventuell ondsinnet bruk av systemet».
KI-forordningen stiller krav til at det gjennomføres såkalt FRIA av alle høyrisiko KI-system. FRIA er en systematisk gjennomgang og vurdering av hvilke risikoer et KI-system har for grunnleggende rettigheter. Grunnleggende rettigheter inkluderer, men er ikke begrenset til, retten til privatliv, retten til ikke å bli diskriminert, ytringsfriheten, sikkerhet etc.
FRIA skal inneholde
· En beskrivelse av prosessen
· Beskrivelse av hvor lenge og hvor hyppig KI-systemet er tiltenkt brukt
· Kategorien av fysiske mennesker og grupper som det er sannsynlig at vil bli påvirket av bruken av KI-systemet
· Spesifikke risikoer for de personer og grupper som er påvirket av KI-systemet
· Beskrivelse av hvordan man vil ivareta at mennesker har kontroll og overvåkning av KI-systemet
· Risikoreduserende tiltak
Hemit har ikke utarbeidet retningslinjer for gjennomføring av FRIA. Dette vil komme etter hvert.
Bruk av KI kan, om det ikke brukes riktig, utfordre personvernet. Ved bruk av KI må alle ansatte være ekstra varsomme med å overholde kravene til personvern. Det er særlig stor risiko for såkalt formålsutglidning. Med det menes at personopplysninger blir brukt til flere formål enn det som Hemit tidligere har bestemt at de skal brukes til. Ved bruk av personopplysninger i KI-løsninger, er det derfor svært viktig å være bevisste på at personopplysningene kun brukes i tråd med opprinnelig formål. Ved tvil, kan personvernombudet kontaktes for rådgivning.
All bruk av KI må skje i tråd
med gjeldende krav og retningslinjer i Hemit og Helse Midt-Norge for
personvern. Det er særlig viktig å være oppmerksom på følgende prosedyre:
Behandling av personopplysninger der Hemit er dataansvarlig (Ikke tilgjengelig).
Hemit har hentet god inspirasjon fra Sykehuspartners veileder for ansvarlig bruk av KI, samt Helse Nords retningslinjer for bruk og utvikling av kunstig intelligens (KI) i Helse Nord.