Personvernvurdering for KI

Lexia Education KI

På forespørsel har vi gjennomført en overordnet teknisk og personvernmessig vurdering av den aktuelle KI-assistenten, med fokus på behandling av personopplysninger, bruk av tredjepartsleverandører og relevante krav etter personvernregelverket.

Vurderingen er basert på tilgjengelig dokumentasjon fra leverandør, herunder databehandleravtale, personvernerklæring, samt skriftlige avklaringer knyttet til bruk av AI-modeller og underleverandører.

Formålet med denne gjennomgangen er å gi et grunnlag for deres interne vurderinger knyttet til bruk av løsningen.

Datagrunnlag og datakilder

KI-assistenten:

henter ikke data fra åpne eller eksterne kilder

benytter kun:

input som gis av bruker kontekst i den aktuelle samtalen

Det skjer ingen automatisk innhenting av personopplysninger fra andre systemer.

Bruk av data

Data som legges inn i løsningen ikke benyttes til trening av modellen data brukes kun for å gi svar i den aktuelle dialogen

Dette innebærer at:

opplysninger ikke brukes til videre modellutvikling det ikke skjer gjenbruk av data på tvers av brukere eller sesjoner

Lagring og behandling av data

Data knyttet til KI-assistenten behandles primært i tilknytning til den aktive samtalen Det er ikke etablert egne konfigurerbare lagrings- eller slettemekanismer i løsningen per nå

Det må derfor legges til grunn interne rutiner for hva slags informasjon som legges inn i løsningen.

Tilgang og kontroll

Tilgang til data i løsningen er rollebasert Administratorer kan ha tilgang til underliggende data, inkludert samtaler

Det er etablert logging av administrative tilganger, men ikke avansert revisjonslogging per enkelt dialog.

Overføring av data og lokasjon

Løsningen benytter underleverandører som innebærer at personopplysninger kan behandles utenfor EU/EØS, herunder i USA.

Overføringer er sikret og godkjent med på:

EU-US Data Privacy Framework (DPF)

Dette gir et gyldig overføringsgrunnlag etter GDPR.

Viktige forutsetninger for bruk

Basert på gjennomgangen anbefales det at løsningen benyttes med følgende forutsetninger:

Det legges ikke inn sensitive personopplysninger uten at disse er anonymisert

Det legges ikke inn taushetsbelagt eller klientrelatert informasjon uten særskilt vurdering

Brukerne er bevisste på hva slags data som behandles i løsningen

Oppsummering

Løsningen fremstår som egnet til støtteformål, hvor KI brukes som et verktøy for effektivisering og bistand.

Samtidig forutsetter forsvarlig bruk at:

Det etableres klare interne retningslinjer, herunder at KI-assistenten benyttes som beslutningsstøtte og ikke som grunnlag for automatiserte eller selvstendige avgjørelser uten menneskelig vurdering. Vi bistår gjerne videre dersom det er behov for en mer detaljert vurdering eller avklaringer knyttet til deres interne prosess.

Vennlig hilsen

Tom Bülow-Kristiansen, Aminkit AS

Last ned vurderingen som PDF