Tekoälyn ”älyttömyydet” eli tietosuojariskit

Mitä riskejä voi seurata salassa pidettävien tietojen käsittelystä tekoälyllä?

Esimerkki 1: Yrityksellä on laaja valikoima eri palveluita ja tuotteita, joiden kuvaukset sisältävät myös hinta-, kustannus- ja katetietoja. Koska kokonaisuus tuntuu hieman sekavahkolta, päätetään pyytää tekoälyä luomaan uudenlaiset liiketoimintamallit, kate- ja tuottolaskelmat ja täysin uudet kustannusrakenteet. Tiedot annetaan tekoälyn prosessoitavaksi. Lopputuloksena saadaan selkeät konseptit ja mallinnukset. MUTTA tuliko kukaan ajatelleeksi, että tämän operaation jälkeen tietoihin voi päästä käsiksi myös muita samaa tekoälyä käyttäviä henkilöitä, joiden tehtäviin ei kuulu pääsy ko. tietoihin? Vielä enemmän pitäisi huolestua, mikäli tietoja käsiteltiin avoimessa verkossa saatavilla olevalla tekoälyllä.

Esimerkki 2: Yritys saa laajan tarjouspyynnön, jossa on salassa pidettäväksi tai muutoin luottamukselliseksi määriteltyjä osioita. Syntyy idea tekoälyn hyödyntämisestä. Syötetään tekoälylle koko tarjouspyyntödokumentaatio ja pyydetään tekoälyä tekemään pari-kolme erilaista skenaariota sisältävää tarjousvaihtoehtoa. Lopputulos näyttää melko hyvältä. Tiedettiinkö kuitenkaan, mihin ja keiden saataville tiedot lopulta päätyivät – voivatko tiedot nousta yllättäen kenen tahansa samaa tekoälyä käyttävän saataville?

Mitä riskejä voi seurata henkilötietojen käsittelystä tekoälyllä?

Esimerkki 3: Organisaatio hyödyntää tekoälyä henkilöstönsä parhaimmiston esiin kaivamiseen. Tehtävää suorittamaan valitaan henkilö, jolla on laajat pääkäyttäjän oikeudet. Tällä varmistetaan, että kaikista eri tietovarastoista saadaan kerättyä kaikki mahdollinen tieto yksittäisistä työntekijöistä. Työnantajalla on direktio-oikeus työntekijöiden työssä ohjaamiseen, mutta tietosuojan kannalta tulisi tiedostaa, että työntekijät ovat aina työnantajaansa nähden heikommassa asemassa olevia (ensimmäinen tietosuoja-asetuksen tarkoittama korkean riskin kriteeri). Ja tässähän on kyse jonkinlaisesta arvioinnista tai pisteytyksestä, jonka kautta henkilöt profiloituvat paremmuusjärjestykseen (toinen tietosuoja-asetuksen tarkoittama korkean riskin kriteeri). Lisäksi käytetään uutta teknistä ratkaisua (tekoäly) innovatiivisella tavalla (jo kolmas korkean riskin kriteeri). Menemättä liikaa työelämän tietosuojalainsäädännön puolelle herää kysymys, että onko se kiellettyä? Ei se sinänsä ole kiellettyä, mutta ennen käsittelyä tulisi tehdä vaikutustenarviointi ja arvioida mitä riskejä rekisteröityjen henkilötietojen käsittelyyn sekä rekisteröityjen oikeuksiin ja vapauksiin liittyy. Tulisi arvioida sekin, että parhaimmistoa luokitellessa voidaan sama tehdä käänteisestikin, jolloin voi huonoimmassa tapauksessa olla useita rekisteröityjen oikeuksiin ja vapauksiin liittyviä riskejä.

Esimerkki 4: Yritys oivaltaa, että tekoälyä hyödyntämällä voi helposti kerätä kaikkien asiakaskuntaan kuuluvien henkilöiden erilaisia oletettuja kiinnostusten kohteita, jolloin heille voi kätevästi ja personoidusti markkinoida yrityksen tuotteita. Myös niitä tuotteita tai palveluita, joita henkilöt eivät ole koskaan aikaisemmin käyttäneet tai hankkineet. Tämä kuulostaa loistavalta idealta! Ainoa ongelma on se, että yrityksellä ei olekaan tarjota kaikkiin kiinnostusten kohteisiin tuotteita tai palveluita, esimerkiksi terveydellisiin erityistarpeisiin liittyviä. Yritys päättää luovuttaa – ehkä jopa myydä – näitä henkilötietoja eteenpäin. Hyvä tarkoitus, mutta oliko rekisteröityjä informoitu tällaisesta henkilötietojen käsittelystä etukäteen (tietosuojaperiaate: läpinäkyvyys)? Tai olivatko rekisteröidyt tietoisia siitä, että heidän henkilötietojaan voi päätyä muille yrityksille (tietosuojaperiaate: käyttötarkoitussidonnaisuus)? Ja entä henkilötietojen käsittelyn laajuus (tietosuojaperiaatteet: tietojen minimointi, luottamuksellisuus)? Lisäksi voisi tunnistaa parikin tietosuojan korkean riskin kriteerin täyttymisen mahdollisuutta... että oliko se vaikutustenarviointi tehty?

Tietojen käsittely tekoälyllä – etukäteen suunnittelun merkitys

Tekoälyä voi kyllä käyttää monien erilaisten tietojen (myös henkilötietojen) käsittelyyn, kunhan vain ensin tunnistetaan niihin liittyvät uhkat ja riskit. Riskien todennäköisyyksien ja vaikutusten arvioinnin kautta on arvioitavissa riskien suuruus sekä riskeille tehtävät toimenpiteet, jotta riskit saadaan hallittua – myös jäännösriskit. Mikäli riskit ovat liian suuria, tai loukataan tietojen immateriaalioikeuksia tai rekisteröityjen oikeuksia ja vapauksia, on ymmärrettävä pidättäytyä siltä liian riskialttiista toiminnasta siihen saakka, kunnes tiedetään riskien olevan hallinnassa ja organisaatiolla kyvyt ja keinot riskeiltä tai niiden seurauksilta suojautumiseen. Erityisesti henkilötietojen käsittelyyn liittyvät riskit voivat olla organisaation kannalta teknisesti nopeasti korjattavissa, mutta rekisteröityjen tietojen vuotaminen tai rikollisten käsiin joutuminen voi pilata yksilön arkielämän vuosiksi tai vuosikymmeniksikin eteenpäin. Hyvin suunniteltu on viisaasti tehty.

Kirjoittajalla on yli 25 vuoden kokemus turvallisuuden, tietoturvallisuuden, tietosuojan ja riskienhallinnan tehtävistä. Netumilla on useita erityisasiantuntijoita, jotka voivat auttaa juuri sinun organisaatiotasi onnistumaan tietoturvallisuuden tai tietosuojan hallinnollisessa tai teknisessä vaatimustenmukaisuudessa. Ota rohkeasti yhteyttä ja selvitetään yhdessä, missä asioissa voimme parhaiten auttaa.

Arto Kangas
Johtava kyberturvallisuuskonsultti
arto.kangas@netum.fi