Secure Practice – sluttrapport

Secure Practice – sluttrapport

Secure Practice ønsker å utvikle en tjeneste som profilerer ansatte med tanke på hvilken cybersikkerhetsrisiko de utgjør for virksomhetene. Formålet er å kunne følge opp med tilpasset sikkerhetsopplæring basert på hvilke profilkategorier de ansatte havner i. Prosjektet ble tatt opp i sandkassa våren 2021. Her er sluttrapporten.

Sammendrag

Å la seg profilere, kan gjøre livet enklere og mer interessant. Det er behagelig når strømmetjenester treffer med sine forslag. Og det er utvilsomt mer motiverende om et kurs er tilpasset akkurat din kunnskap og dine interesser. Det kan være store både personlige og samfunnsmessige gevinster i profilering. Men det er et tveegget sverd å søke mot et mer skreddersydd liv i det digitale samfunnet. Jo mer presis skreddersømmen er, jo mer presise personopplysninger finnes det om deg, med fare for misbruk.

Profilering på arbeidsplassen kan være spesielt utfordrende, siden relasjonen mellom arbeidstaker og arbeidsgiver har en iboende makt-ubalanse i seg. Arbeidstakere kan oppleve det som inngripende og krenkende. De kan føle seg overvåket og frykte misbruk av informasjonen.

Men kan det finnes en metode som utnytter fordelene ved profilering, samtidig som risikoen for ulempene blir redusert eller fjernet helt?

Det er utgangspunktet for dette sandkasseprosjektet, som tar for seg en ny tjeneste Secure Practice ønsker å tilby markedet for informasjonssikkerhet. Tjenesten skal bruke kunstig intelligens til å gi individuell og persontilpasset sikkerhetsopplæring til ansatte i kundenes virksomheter. 

Folk er forskjellige, samtidig som sikkerhetsopplæring ofte blir for generell til å være effektiv. Men med kunstig intelligens kan Secure Practice tilby en skreddersydd og dermed mer pedagogisk opplæring. Både virksomheten og de ansatte vil dra nytte av bedre og mer interessant opplæring, og at folk unngår svindel og hacking. 

I tillegg er det et formål med tjenesten, at virksomheten får oversikt på statistisk nivå om kunnskap og risiko, for å prioritere bedre tiltak. Baksiden av medaljen er en kartlegging som potensielt kan oppleves inngripende for den enkelte ansatte. Sandkasseprosjektet handler om hvordan en slik tjeneste kan gjøres personvernvennlig.

Konklusjoner

  • Behandlingsansvar: Både arbeidsgiverne, Secure Practice og partene i fellesskap har ansvaret for å følge personvernreglene. Når KI-verktøyet er i bruk i virksomhetene, er arbeidsgiverne i utgangspunktet behandlingsansvarlig for behandlingen. Når Secure Practice tilbakeholder informasjon om hvilken arbeidstaker verktøyet profilerer, er arbeidsgiver og Secure Practice i fellesskap behandlingsansvarlige. Når KI-verktøyet blir utviklet videre i etterlæringsfasen, er bare Secure Practice behandlingsansvarlig.
  • Lovlighet: Det er mulig å ta i bruk og videreutvikle tjenesten innenfor både generelle personvernregler i EU, og spesialregler for personvern i arbeidslivet i Norge.
  • Den registrertes rettigheter og friheter: Med innovativ teknologi og formål som innebærer å forutsi personlige interesser og atferd besluttet prosjektet å gjennomføre en vurdering av personvernkonsekvensene (DPIA). Endelig viser vurderingene at tjenesten har lav risiko for diskriminering.
  • Åpenhet: Prosjektet har vurdert om det er en rettslig forpliktelse å forklare den underliggende logikken i løsningen. Konklusjonen er at det ikke foreligger en rettslig plikt i dette konkrete tilfellet. Sandkassa anbefaler likevel mer åpenhet enn det som er rettslig påkrevd.

Veien videre

Denne sluttrapporten er viktig for å belyse forbudet mot overvåking i e-postforskriften. Datatilsynet vil dele erfaringer fra prosjektet med Arbeids- og inkluderingsdepartementet, som er ansvarlig for forskriften, og for å gi departementet en mulighet til å klargjøre reglene.