Tekoälyn, GPT:n ja Copilotin rooli tietosuojassa ja organisaatioiden tiedonhallinnassa

Tekoäly, tunnetaan myös nimellä AI tai tukiäly, on ollut olennainen osa monien arkipäiväistä elämää vuosien ajan, mutta ei kovin näkyvänä osana. Erilaiset tekoälyn sovellukset, kuten OCR (optical character recognition, joka muuntaa kuvat tekstiksi, ovat olleet käytössä jo pitkään. Kuitenkin varsinaisen tekoälybuumin aloitti helposti ohjattava ChatGPT (Generative Pre-trained Transformer), joka toimii kehotteiden avulla. Sen yksinkertaistettu perusidea perustuu laajaan kielimalliin (Large Language Model, LLM), joka kerää valtavan määrän tekstiaineistoa ja oppii sen perusteella tunnistamaan tekstissä esiintyviä riippuvuuksia. Kun käyttäjä antaa kehotteen, esimerkiksi ”Voisitko tiivistää Suomen vuodenajat?”, kielimalli hakee tekstistä avainsanoja ja ymmärtää aiheen. Sisällön ymmärtäminen on yksi osa vastauksen tuottamista ja perustuu ennustukseen siitä, mitkä sanat ovat todennäköisimpiä seuraaviin sanoihin tai lauseisiin liittyen. Esimerkiksi alussa mainittu OCR, kuvasta tekstiksi tunnistaminen, toimii paljon rajatummalla toiminta-alueella ja on toiminnekohtainen sovellus.

Tekoälyn käytön turvallisuus ja tietoturvahaasteet

Julkisesti saatavilla olevat tekoälyt, kuten Google Bard, OpenAI:n ChatGPT ja monet muut, oppivat jatkuvasti käyttäjiensä syötteiden perusteella. Tämä tarkoittaa, että jos syötät tällaisiin palveluihin esimerkiksi taloudellisia tietojasi, on mahdollista, että ne tallentuvat järjestelmään ja voivat olla saatavilla muillekin. Tällaisia tietoturvahaasteita on esiintynyt useita kertoja, kuten Samsungin insinöörien tapaus, kun he pyysivät ChatGPT:tä analysoimaan ohjelmiston lähdekoodia. OpenAI, ChatGPT:n kehittäjäorganisaatio, muistuttaa käyttäjiä siitä, että arkaluonteista tai luottamuksellista tietoa ei tule jakaa ChatGPT:n kanssa. Käytön helppous ja esimerkiksi ChatGPT:n mahdollisuudet ohittivat Samsunginkin tapauksessa ohjeistukset ja tietoturvallisen käytön.

Tekoälyn avulla kuitenkin voidaan tehostaa rutiininomaisia töitä, suorittaa erilaisia testauksia ja saada tukea esimerkiksi ohjelmistokehitykseen. Kuitenkin lopputuloksen taso voi vaihdella suuresti eri sovelluksissa. Kuvien tuottamisessa on edelleen haasteita, esimerkiksi henkilön kädessä voi olla kuusi sormea ja kuvassa pyydetty teksti ”Yritys XYZ” saattaa näkyä epätarkkana tai virheellisenä.

Erityinen haaste LLM-kielimallien kohdalla liittyy siihen, millaisella aineistolla malli on koulutettu. Jos koulutusaineisto koostuu julkisesti saatavilla olevasta Internet-tietomassasta, se sisältää väistämättä myös virheellistä tai epätarkkaa tietoa. Tämä herättää pohdintaa siitä, mitä tapahtuisi, jos malli olisi koulutettu tai käyttäisi ainoastaan organisaation sisäistä tietoa?

Sisäiseen käyttöön tarkoitetut tekoälyratkaisut

Onko mahdollista rajoittaa kielimalli ja liittyvää tietoaineistoa vain sisäiseen käyttöön ja hyödyntää ainoastaan organisaation sisäisiä tietoresursseja? Tällaiset ratkaisut kehittyvät nopeasti ja esimerkiksi Microsoftin vastaus tähän haasteeseen on Copilot. Lisensoitu käyttäjä voi hyödyntää organisaation omaa dataa Copilotin avulla, mahdollistaen tehokkaat haut tiedoista ja datan uudelleenmuokkaamisen omiin tarpeisiinsa.

Kuva: Copilot 365 Fabrikam (lähde: How Copilot for Microsoft 365 works video, YouTube)

Sisäiseen tietoon liittyvät riskit: käyttöoikeudet, sisältö ja ajantasaisuus

Mitä tapahtuu, jos organisaation tiedonhallinta ei olekaan kunnossa? Voiko käyttäjä esimerkiksi päästä käsiksi tietoon, johon hänellä ei pitäisi olla pääsyä, jos pääsynhallintaa ei ole asianmukaisesti varmistettu? Vastaus on usein kyllä ja se on tarkoituksellista tässä tapauksessa, sillä tietoa on tarkoitus hyödyntää. Ongelmana on kuitenkin usein se, että käyttöoikeuksia ei ole varmistettu asianmukaisesti ja Microsoft 365:sta löytyy tarpeettomia pääsyjä tai käyttäjiä, jotka voivat kuulua jopa satoihin eri ryhmiin, mikä saattaa johtaa tahattomiin tietoturvariskeihin.

Entä jos tietoa on tallennettu väärään paikkaan? Esimerkiksi työtodistukset ovat päätyneet liikunnanohjaajien sivustolle HR-ohjelmiston sijaan. Hyvinvointialueet ovat eriytyneet ja dataa on jäänyt taakse, mukaan lukien potilaslistoja. Tai organisaation esittelyaineistossa on satoja henkilötunnuksia teknisen tiedonlinkityksen vuoksi. Myyntimateriaalin kansiosta löytyy myyjän avioliittoon liittyviä asiakirjoja, kuten avioehto ja testamentti. Valitettavasti nämä ovat vain muutamia esimerkkejä siitä, mitä löydämme organisaatioiden tietoaineistoista. Puhumattakaan tuhansista tai kymmenistä tuhansista dokumenteista sisältäen henkilötunnuksia.

Ja entäpä jos aineisto on erittäin vanhaa? Onko meillä edes käsittelyperustetta tällaiselle tiedolle? Monissa organisaatioissa on ohjeita siitä, kuinka vanhaa tietoa saa säilyttää. Ongelmana on kuitenkin se, että näitä ohjeita ei usein valvota tai hallita asianmukaisesti. Niinpä esimerkiksi palkkalaskelmia voi olla tallennettuna vuodesta 1991 lähtien ja ne ovat yhä saatavilla. Tai yhteystietolista voi olla peräisin yli 30 vuoden takaa.

Organisaation tiedonhallinnan tehostaminen: toimenpiteet, vinkit

Varmista, että organisaatiossasi olevat tiedot ovat ajan tasalla ja asianmukaisesti suojattuja. Ota myös huomioon, että tiedon tallennusaikataulu vastaa suunniteltua. Tässä tiivistettynä toimenpiteet, joita sinun kannattaa seurata:

  1. Ymmärrä tiedostojen nykyiset käyttöoikeudet.
  2. Varmista käyttäjäryhmät ja niiden pääsyoikeudet.
  3. Tarkista erityisesti henkilökohtaisten tietojen tallennus ja aloita tiedonhallintatoimet, mukaan lukien tarpeettoman tiedon poistaminen tai arkistointi.
  4. Käy läpi mahdolliset tekijänoikeuslain vastaiset videot tai muut mediat ja poista ne.
  5. Raportoi mahdolliset vakavat poikkeamat organisaation tietosuojavastaavalle tai tarvittaessa kansalliselle Tietosuojavaltuutetun toimistolle.
  6. Korjaa havaitut poikkeamat ja varmista niiden korjaaminen.
  7. Laadi tiekartta, joka perustuu organisaatiosi nykytilanteeseen ja suunnittele tiedonhallinnan toimenpiteet seuraaville vuosille.
  8. Poista tarpeeton tietoaineisto.
  9. Ota toimet osaksi normaaleja prosesseja ja jatka niiden hallintaa
  10. Pidä organisaation yksiköt, johto ja tietosuojavastaava tietoisina prosessimuutoksista.

Copilot for Microsoft 365 – toimenpiteet ennen käyttöönottoa työpaja

Lisäksi voit helpottaa toimia tilaamalla GDPR Techin ”Copilot ja AI Microsoft 365 ympäristössä – kartoitus ja toimenpiteet ennen käyttöönottoa” -työpajan.

Kysy lisätietoja tästä!

Viimeisimmät muutokset tietosuoja- ja tietoturvakentällä. Pysy ajan tasalla!

Tietosuojatyössä on tärkeää huomioida laaja-alaiset näkökulmat, jotta organisaatiossa voidaan varmistaa kattava ja tehokas tietosuoja. GDPR Tech on aina pitänyt tämän periaatteen ohjenuoranaan ja jatkaa samalla linjalla, koska tavoitteenamme on auttaa sinua onnistumaan tietosuojatyössäsi. Usein huomaamme tilanteita, joissa tietosuojaan panostetaan syvällisesti, esimerkiksi rekisteriselosteiden laatimisessa, mutta samalla unohdetaan ymmärrettävästi tiedottaminen tietosuojaan liittyvistä asioista. Helppotajuinen ja kansankielinen viestintä on tärkeää, jotta kaikki asianosaiset ymmärtävät tietosuojan merkityksen ja konkreettiset toimenpiteet.

Hyviä esimerkkejä onnistuneesta viestinnästä tietosuojasta ovat selkeät videot ja ”usein kysytyt kysymykset” -formaatti, joita hyödynnämme asiakkaidemme kanssa. Erään asiakkaamme kanssa olemme yhdistäneet useita erilaisia tietosuojaselosteita kahdeksi ymmärrettäväksi tiedotukseksi heidän verkkosivuillaan.

Uusi hallitus, uudet tavoitteet – Mitä se tarkoittaa tietosuojalle?

Paljon on tapahtunut viimeisimmän blogikirjoituksemme jälkeen. Suomi on saanut uuden hallituksen, joka asettaa uusia tavoitteita, kuten ”tietosuojalainsäädännön kokonaisuudistuksen”. Yhtenä osana hallinnolliset sakot laajennetaan koskemaan myös julkista sektoria. Hallitusohjelmaan on sisällytetty myös painotuksia tekoälyn osalta. Oletko jo antanut ohjeistusta organisaatiollesi koskien tekoälyn käyttöä? Tekoälyyn liittyen on jo nimittäin tapahtunut tietosuojan sekä tietoturvan poikkeamia, esimerkiksi matkapuhelinvalmistajan työntekijät olivat ladanneet suosittuun ChatGPT:hen aineistoa, jota olisi pitänyt käsitellä erittäin luottamuksellisesti.

Schrems II: Mitä seuraavaksi? Keskustelu jatkuu!

Kolmas vuosi Schrems II -keskustelua on käynnissä, ja kysymys kuuluu, pitäisikö vielä tehdä lisää toimenpiteitä vai onko aihe jo ohi? Samaan tapaan kuin GDPR, tämä keskustelu ei ole vielä päätynyt tai hävinnyt. Päinvastoin henkilötietojen käsittely Yhdysvaltalaisilta palveluntarjoajilta on yhä tarkemman tarkastelun kohteena, ja organisaatioita on Suomessa ja muualla Euroopassa varoitettu ja sakotettu useista syistä.

Keskustelussa on myös noussut esiin mahdollisen ”Privacy Shield II” -sopimuksen tarve. On huomionarvoista, että Privacy Shield on edelleen käytössä Yhdysvalloissa, mutta se ei tällä hetkellä tarjoa riittävää suojaa Euroopan ja Yhdysvaltojen välillä. Mahdollinen uusi sopimus on nimeltään Data Privacy Framework (DPF), jossa määritellään tarkemmin tietojen suojaukseen liittyviä asioita. DPF perustuu presidentti Bidenin antamaan määräykseen, mutta tämä herättää huolta siitä, mitä tapahtuu, jos seuraava valittu presidentti kumoaa sopimuksen ja koko prosessi alkaa alusta. Organisaatioiden on kuitenkin huolehdittava tietojen asianmukaisesta suojaamisesta tänäkin aikana. Aiheeseen liittyen on tehty useita tutkintapyyntöjä ja mahdollisia tietojen käsittelykieltoja. Tietojen suojaamisen kannalta on tärkeää tietää, missä tiedot todellisuudessa tallennetaan. Tämän tukena on tietojen kuvauksen päivittäminen (data flow).

Aika ratkaista tietosuojan rakenteettoman tiedon riskit

Rakenteeton tieto ja siihen liittyvät haasteet ovat edelleen keskeisessä roolissa tietosuojatyössä, samoin kuin tietoturva ja suojaukset. Digi- ja väestötietoviraston (DVV) kesäkuun seminaaripäivässä puhuttiin juuri rakenteettoman tiedon riskeistä. Tähän liittyen tarkastellaan verkkolevyjä ja Teams-työtiloja: ovatko ohjeistukset noudatettu, onko vanhaa tietoa jäänyt talteen ja mikä on yleinen suojauksen taso?

Jos rakenteettoman tiedon riskit huolestuttavat sinua, ota yhteyttä! Voimme vastata näihin ja moniin muihin kysymyksiin kartoituspalvelumme avulla. Olemme myös Kuntien Tieran toimittajalistalla, joten voimme tarjota kilpailutusmahdollisuuksia rakenteettoman tiedon konsultointiin.

Tietosuojatyö ei pääse kesälomalle – Autamme sinua myös lomakaudella

Tietosuojatyö ei pysähdy kesälomalla, joten jos tarvitset apua esimerkiksi tietosuojavastaavan poissaolon aikana, ota rohkeasti yhteyttä. Me teemme tiiminä niin tietosuojavastaavan kuin tietosuojavastaavan tukityötä ympäri Suomen koko lomakauden ajan.

Tietosuojatutkimuksen taustatiedot 2021-2022

Kyselytutkimus toteutettiin sähköisenä lomakekyselynä, jonka linkkiä jaettiin sähköpostitse ja sosiaalisessa mediassa vuosina 2021 ja 2022. Vuoden 2021 kyselyn osalta saatiin 56 vastausta ja vuoden 2022 osalta 102 vastausta. Kumpanakin vuonna vastausaikaa oli noin kaksi kuukautta eikä vastaajia profiloitu. Tuloksia käsitellään tutkimusraportissa ainoastaan tilastollisina joukkoina, eikä yksittäisen vastaajan vastauksia ole pääteltävissä tuloksista. Kyselykutsuihin liittyvät personointitiedot hävitetään järjestelmästä kolmen kuukauden kuluessa.

Valinta- ja arvosanakysymykset raportoidaan kuvaajina. Avoimien kysymysten omasanaiset vastaukset löytyvät listattuna ja niistä on tehty tutkimusraporttiin joitakin nostoja.

Vastaajien taustatiedot

Vastaajien osalta organisaatioiden kokoluokan jakauma oli molempina vuosina hyvin samankaltainen, joka on nähtävissä kuvassa 1. Samoin jakauma organisaatioiden toimialojen osalta oli molempina vuosina hyvin yhteneväinen. Vastaajajoukko koostui monipuolisesti yrityksistä sekä julkisen sektorin toimijoista. Katso kuva 2.

Molempina vuosina vastaajat edustavat sekä päättäjiä että työntekijöitä. Katso kuva 3. Toimintaympäristön osalta vastaajissa oli edustettuna niin Suomessa kuin kansainvälisestikin toimivia yrityksiä, joiden päätoimipaikka sijaitsee ulkomailla. Vastaajien toimialueet löydät kuvasta 4.

Kuva 1: Organisaation henkilöstömäärä
Kuva 2: Yrityksen/organisaation toimiala
Kuva 3: Vastaajien asema
Kuva 4: Vastaajien toimialue

Palaa tästä takaisin tutkimustuloksiin!


Lisätietoja:

Juha Sallinen
Yrittäjä, tiedonhallinta- ja teknologia-arkkitehti

040 5666 900
[email protected]

Helpota tietojesi käsittelyä tiedonhallinnan ratkaisuilla

Helpota tietojesi käsittelyä tiedonhallinnan ratkaisuilla

Useissa yrityksissä yhtenä suurimmista GDPR:n tuomista ongelmista koetaan rakenteeton tieto. Siis ne kaikki ärsyttävät excelit ja wordit sekä muut dokumentit, joissa on mahdollisesti henkilöön liittyviä tietoja ja jotka ovat unohtuneet ajan saatossa, joita tallennetaan vain varmuuden vuoksi. Miten löydetään nämä tiedot, jotka ovat olennaisia sekä nopeutetaan samalla tietopyyntöihin vastaamista että tehostetaan myös hakutoimintoja, takaamalla käyttäjälle samalla ajantasaiset tiedot? Tai miten vastataan asetuksen vaatimukseen tiedon minimoinnista – käyttääköhän joku vielä tuotakin dokumenttia?

Suurilla datamäärillä haasteeksi muodostuu varsinkin tietopyyntöihin vastaaminen ja muut siihen liittyvät haasteet, kuten prosessin läpivienti tehokkaasti ja etenkin rakenteettoman tiedon löytäminen eri tietolähteistä. Kaikissa yrityksessä on tietoa, josta ei tiedetä sisältöä tai tarpeellisuutta: rakenteetonta tietoa, jota on kerääntynyt vuosien saatossa ilman päätöksiä ja vailla teknisiä toteutuksia datan hävittämiseen. Miten löydetään nämä tiedot, jotka ovat olennaisia sekä nopeutetaan samalla tietopyyntöihin vastaamista että tehostetaan myös hakutoimintoja – takaamalla käyttäjälle samalla ajantasaiset tiedot? Tai miten vastataan asetuksen vaatimukseen tiedon minimoinnista – käyttääköhän joku vielä tuotakaan dokumenttia? 

Työkalut, kuten eDiscovery ja tiedon arkistointi auttavat sisältöjen suhteen, mutta kannattaa aloittaa tietojen analysoinnilla, jolla saat nykytilan haltuun ja eDiscovery-ratkaisuilla tietopyynnöt tehokkaaksi. 

Tähän on helppoja ratkaisuja, joiden toteuttamisesta meillä on kokemuksia niin suurista kuin pienistä yrityksistä. Miksi ottaisit riskiä tuntemattomasta, kun voit laittaa rakenteettoman tiedon helposti hallintaan esimerkiksi Data Insight -tuotteella? Päämiehistämme löytyy monipuolinen valikoima tiedonhallintaan.

Kysy lisätietoja meiltä ja jotta tämä ei olisi helppoa vain meidän mielestämme, voit itse todeta sen oheisessa osoitteessa – laita testihakemistosi koitokseen ja totea itse: https://riskanalyzer.apps.veritas.com