Kan KI-verktøyet tas i bruk og videreutvikles lovlig?

Hvilke regler gjelder?

Alle som vil samle inn, lagre eller på annen måte behandle personopplysninger må følge kravene i personvernforordningen (GDPR) . Vi skal her se nærmere på et grunnleggende krav som handler om at du må ha et rettslig grunnlag (samtykke, avtale, hjemmel i lov osv.) for å behandle personopplysninger.

Personvernforordningen skal gjelde på samme måte i 30 land i Europa. I tillegg har Norge spesialregler om personvern i arbeidslivet. Disse spesialreglene er gitt i forskrifter til arbeidsmiljøloven. Den aktuelle forskriften for Secure Practice, er forskrift om arbeidsgivers innsyn i e-postkasse og annet elektronisk lagret materiale av 2. juli 2018 og blir populært kalt «e-postforskriften». E-postforskriften gjelder arbeidsgiveres innsyn i alt elektronisk utstyr arbeidstakere bruker i jobbsammenheng og er ment å beskytte arbeidstakere mot unødvendig inngripende overvåking eller kontroll. E-postforskriften § 2, andre ledd forbyr overvåkning av de ansattes bruk av elektronisk utstyr. I sandkasseprosjektet har vi vurdert hvordan dette påvirker verktøyet Secure Practice utvikler.

Bruksfasen

Før Secure Practice tilbyr verktøyet på markedet, er det viktig å få avklart om framtidige kunder vil ha lov til å ta verktøyet i bruk. I den første workshopen i sandkasseprosjektet startet vi med å se på om en arbeidsgiver som kjøper tjenesten har rettslig grunnlag for å behandle personopplysninger fra arbeidstakerne i dette verktøyet. Vi så også nærmere på hvordan tjenesten berøres av arbeidsgivers forbud mot å overvåke arbeidstakerne, slik det står i e-postforskriften.

Vi nevner kort at de prosessene hvor Secure Practice og arbeidsgiveren har et felles behandlingsansvar, må begge ha et rettslig grunnlag for behandlingen. I dette kapitlet om bruksfasen har vi valgt å fokusere på arbeidsgiveren som behandlingsansvarlig.

Hvilke personopplysninger var aktuelle i KI-verktøyet og ble vurdert i sandkasseprosjektet?

Før vi vurderte rettslig grunnlag, listet Secure Practice opp alle mulige opplysninger som kunne ha en verdi for å kartlegge ansattes interesser og kunnskap innen informasjonssikkerhet. Målet med øvelsen var å vurdere nærmere hvilke opplysninger som i det hele tatt er aktuelle, og ta stilling til hva som kan være greit å bruke fra et personvernperspektiv.

Opplysninger Secure Practice vurderte både som ønskelige og i den «riktige» enden av personvernskalaen, var data om gjennomføring av e-læring, phishing-øvelser og rapportering fra MailRisk-tjenesten, i tillegg til svar på spørreundersøkelser og quiz-er om kunnskap og vaner relatert til informasjonssikkerhet.

Deretter ble det listet opp en rekke opplysninger som kunne befinne seg i grenseland, både med tanke på personvern og nytteverdi. Disse var de viktigste å få diskutert, for eksempel demografiske data som alder og ansiennitet for de ansatte, og data fra andre sikkerhetssystemer som eksempelvis weblogger.

Til slutt var det opplysninger som egentlig aldri var aktuelt fra et personvernperspektiv å benytte, men som likevel ble tatt med på den opprinnelige listen på grunn av potensiell nytteverdi. Eksempel på denne kategorien er psykologiske tester eller opplysninger hentet fra profiler på sosiale nettverk.

Kort om det aktuelle rettslige grunnlaget – berettigede interesser

Secure Practice og Datatilsynet vurderte at “berettigede interesser”, etter personvernforordningen artikkel 6 nr. 1 bokstav f, var det mest aktuelle rettslige grunnlaget i dette prosjektet.

Bestemmelsen gir tre vilkår, som alle må være oppfylt for at en behandling skal være lovlig:

1. Formålet med behandlingen må være knyttet til en berettiget interesse
2. Behandlingen må være nødvendig for å oppnå formålet
3. Arbeidstakerens interesser, rettigheter og friheter må ikke overstige arbeidsgiverens interesser. Kort sagt kaller vi dette trinnet for «interesseavveiing»

Vilkår nr. 1 - berettiget interesse

Som nevnt ovenfor, er formålene med å bruke verktøyet todelt:

• Å gi de ansatte individuelt tilpasset opplæring i informasjonssikkerhet.
• Å gi statistiske rapporter til virksomhetene, som på gruppenivå beskriver ansattes kunnskap- og interessenivå innenfor informasjonssikkerhet.

Begge formålene er knyttet til virksomhetens interesse i å bedre informasjonssikkerheten. Vi vurderte bedre informasjonssikkerhet til å være i interessene til både virksomheten selv, de ansatte, tredjeparter som kunder og samarbeidspartnere og samfunnet som helhet. Det var lett å slå fast at bedring av informasjonssikkerhet utgjør en berettiget interesse og at det første vilkåret dermed er oppfylt. Diskusjonene i prosjektet har derfor dreid seg om de to siste vilkårene.

Vilkår nr. 2 - nødvendighet

Nyttige spørsmål i vurderingen av hvilke behandlinger som er nødvendige er:

• Vil behandlingen av disse personopplysningene faktisk bidra til å oppnå formålene?
• Kan formålene oppnås uten å behandle disse personopplysningene eller ved å behandle færre personopplysninger?

De ansattes kunnskap og interesse for informasjonssikkerhet må kartlegges for å oppnå begge formålene – både individuelt tilpasset sikkerhetsopplæring og statistisk rapportering til virksomhetene. Diskusjonene i sandkassen dreide seg her om hvordan Secure Practice kan minimere bruk av personopplysninger og å sikre at de opplysningene som brukes faktisk bidrar til å oppnå formålene.

Vi dannet fokusgrupper av ansatte fra fagforeningen Negotia og en stor bedrift, for å få potensielle brukeres perspektiv i vurderingene. Der kom det interessante innspill til vurderingen om hvordan tilsynelatende hensiktsmessige opplysninger kan være det stikk motsatte.

En av metodene Secure Practice ønsker å bruke i kartleggingen, er spørreundersøkelser. Der skal arbeidstakerne ta stilling til forskjellige utsagn, som for eksempel «jeg har bevisst brutt regler for informasjonssikkerhet på jobb». Fokusgruppen med representanter fra arbeidstakerorganisasjonen kommenterte, at det er uklart hvilke konsekvenser det ville kunne få for den enkelte ansatte å svare på et slikt spørsmål, dersom de faktisk hadde brutt reglene. I den andre fokusgruppen ble det lagt vekt på betydningen av anonymitet overfor arbeidsgiver, dersom man skal gi et ærlig svar på dette.

Med tanke på formålet om individuelt tilpasset opplæring i informasjonssikkerhet vil ikke spørsmålet bidra til å oppnå formålet, dersom arbeidstakerne som har brutt sikkerhetsreglene svarer nei, fordi de er redde for konsekvensene av å svare ja.

Når det gjelder formålet om statistiske rapporter til virksomhetene, kunne spørsmålet isolert sett bidratt til å oppnå formålet, så lenge noen av de ansatte ville svart ja. En slik tilbakemelding kunne gitt virksomheten en pekepinn om at de interne reglene for informasjonssikkerhet er dårlig utformet eller ikke passer inn i arbeidshverdagen til de ansatte. Eksemplet illustrerer at den behandlingsansvarlige må vurdere rettslig grunnlag separat for hvert formål behandlingen skal ivareta.

Som det går fram av kapitlet "Hvordan forklare bruken av kunstig intelligens?" i denne rapporten, fikk Secure Practice råd om å reformulere noen av spørsmålene for å lettere kunne få ærlige svar. 

Når Secure Practice har identifisert personopplysningene som er nødvendige for at verktøyet skal kunne fungere som individuell opplæring og en overordnet informasjon til arbeidsgiverne, vil neste steg være en interesseavveiing.

Vilkår nr. 3 - interesseavveiing

Det tredje vilkåret handler om at arbeidsgiver ikke kan innføre tiltak hvis arbeidstakeres interesser, rettigheter og friheter veier tyngre enn arbeidsgiverens interesser. Så en interesseavveiing handler kort sagt om å finne en balanse mellom interessene på begge sider, slik at inngrepet i personvernet blir forholdsmessig. For å gjøre en slik avveiing, startet vi med å undersøke hvordan arbeidstakere berøres av verktøyet.

Ansatte er i et ujevnt maktforhold overfor arbeidsgiver. Derfor er det ekstra viktig for ansatte at personopplysningene om dem ikke blir misbrukt til nye formål. En ansatt som blir “lurt” i en phishing-øvelse, forventer at resultatet bare blir brukt til opplæringsformål, og ikke for å vurdere hvilke oppgaver eller goder han eller hun får. Men hvis arbeidsgiver får tilgang til denne informasjonen, finnes det en risiko for slikt misbruk.

Et særtrekk ved løsninger som bruker kunstig intelligens, er at de ofte behandler svært mange personopplysninger. Verktøyet vi diskuterer i dette prosjektet er ment å kartlegge både kunnskap og interesser, og er egnet til en detaljert kartlegging av de ansatte. Dette kan oppleves som inngripende. I tillegg kan løsningene innen kunstig intelligens gi et uventet resultat.

Vi vurderer hensynet til de ansatte å veie tungt, og dermed stilles det større krav til interessene knyttet til arbeidsgiverne.

På den andre siden veier også interessen knyttet til bedre informasjonssikkerhet tungt. Som nevnt i punktet om berettiget interesse, er bedre informasjonssikkerhet en interesse som kommer den enkelte arbeidstaker til gode, ikke bare arbeidsgiverne.

I avveiingen mellom interessen knyttet til informasjonssikkerhet og hensynet til de ansattes personvern vurderte vi særlig disse momentene:

• Hvordan de ansatte kommer til å oppleve kartleggingen og hvilke konsekvenser det kan ha for dem. Positive konsekvenser kan være at de får skreddersydd hjelp og oppfølging til å styrke kompetansen sin på informasjonssikkerhet, og at de unngår å bli rammet av svindel og hacking med konsekvensene det måtte medføre. Potensielle negative konsekvenser kan være at ansatte føler usikkerhet om hvordan dataene om dem blir brukt, og om det kan komme negative konsekvenser dersom de avslører lite kunnskap eller interesse for informasjonssikkerhet.
• Hvordan arbeidsgiverne involverer arbeidstakerne før de innfører verktøyet.
• Hvilken informasjon arbeidsgiveren får tilgang til om den enkelte ansatte.
• Hvordan Secure Practice gir informasjon til de ansatte i verktøyet og i personvernerklæring.
• Hvilke tekniske garantier som er bygd inn for å hindre at utenforstående får tilgang til personopplysningene om de ansatte.

Når det gjelder kulepunktene om mulige konsekvenser for de ansatte og hvilken informasjon arbeidsgiveren får tilgang til om enkeltansatte, arbeidet Secure Practice ut fra en forutsetning om at arbeidsgiver ikke skulle ha tilgang til målinger knyttet til hver enkelt ansatt gjennom verktøyet. Sandkassas anbefaling er å innføre både juridiske og tekniske garantier for at opplysninger om de ansatte ikke skal komme på avveie.  

Med juridiske garantier mener vi, at Secure Practice regulerer i kontrakt at arbeidsgiverne ikke får tilgang til opplysninger om enkeltansatte – heller ikke på særskilt forespørsel. Med tekniske garantier viser vi til de tiltakene Secure Practice allerede har satt i gang for å hindre arbeidsgiveren eller andre i å få tilgang til disse opplysningene. Tjenesten bruker både pseudonymisering og kryptering for å beskytte personopplysningene. Navnet på den ansatte erstattes med en unik identifikator, og koblingen mellom navn og identifikator lagres i en separat database. Secure Practice har samtidig identifisert et behov for å lagre brukerens e-postadresse i tilknytning til brukerens øvrige opplysninger. En personlig e-postadresse etablerer en tydelig kobling til et enkeltindivid, og vil derfor utfordre den opprinnelige målsettingen om en pseudonymisert database.

For å imøtekomme denne utfordringen har Secure Practice valgt å kryptere både e-postadresser, navn og andre direkte identifikatorer i selve databasen, slik at disse ikke lenger skal være tilgjengelige i klartekst. Nøklene som brukes for å kryptere og dekryptere slike identifikatorer lagres adskilt fra databasen. På denne måten vil en person som får tilgang til brukerdatabasen, ikke få tilgang til informasjon som er nødvendig for å koble personopplysningene til enkeltindivider.

Når både juridiske og tekniske garantier kommer på plass, vurderer sandkassa risikoen som liten for at arbeidsgiver eller andre vil kunne få tilgang til og eventuelt misbruke personopplysningene som verktøyet samler inn. Dette bidrar til at interessene samlet sett veier tyngst på den behandlingsansvarliges side. Det vil derfor være mulig å bruke berettiget interesse som rettslig grunnlag i bruksfasen. 

Retten til å protestere

Når berettiget interesse brukes som rettslig grunnlag, har arbeidstakerne en rett til å protestere mot behandlingen av personopplysningene etter artikkel 21 i personvernforordningen. Dersom en ansatt protesterer mot å bruke hennes personopplysninger i verktøyet, må arbeidsgiverne ta hensyn til de særlige forholdene den ansatte har pekt på i protesten. Overfor den som har protestert skal arbeidsgiveren fortsatt gjøre en interesseavveiing, men må vise at det er «tvingende berettigede grunner» til å bruke personopplysningene i verktøyet.

Vurderingen må altså gjøres individuelt, ut fra begrunnelsen den ansatte som protesterer har gitt. En behandlingsansvarlig som skal vurdere en protest må i større grad vurdere alternativer til spesialtilpasset opplæring og rapportering på statistisk nivå. Secure Practice ser for seg at de som protesterer, enten vil få protesten behandlet av arbeidsgiver, eller få den innvilget gjennom verktøyet uten videre manuell behandling, da det kan være utfordrende for Secure Practice å vurdere grunnlaget for protesten.

Dersom mange ansatte protesterer og ikke bruker verktøyet, blir naturlig nok en mindre andel av virksomheten kartlagt i verktøyet. De behandlingsansvarlige må være oppmerksom på at dette kan gjøre det lettere å identifisere arbeidstakerne i rapporteringen på statistisk nivå.

Etterlæring

Bruk av personopplysninger til etterlæring for å forbedre verktøyet, krever også et rettslig grunnlag. I sandkasseprosjektet ble det avgrenset mot problemstillinger knyttet til gjenbruk av personopplysninger og begrensninger som følger av formålsbegrensningsprinsippet i artikkel 5 nr. 1 bokstav b og artikkel 6 nr. 4.

Secure Practice er behandlingsansvarlig alene for denne fasen. På samme måte som for bruksfasen, er formålene med å forbedre tjenesten knyttet til en berettiget interesse. Etterlæringen er forventet å gjøre tjenesten mer treffsikker, etter hvert som personopplysninger fra flere ansatte blir lagt inn i verktøyet. Det vil trolig øke informasjonssikkerheten i kundenes virksomheter.

Se også det franske datatilsynets veiledning om bruk av personopplysninger til etterlæring (på fransk).

I motsetning til i bruksfasen, er likevel formålene tydeligere knyttet til kommersielle interesser, siden en forventet økt kvalitet kan gi økt salg. Vi nevner derfor kort at også kommersielle interesser er berettigede interesser, slik at det første vilkåret er oppfylt.

Når det gjelder det andre vilkåret, må Secure Practice ta aktivt stilling til hvilke personopplysninger som er nødvendige for å oppnå hvert enkelt formål. Vi går ut fra samme type personopplysninger som i bruksfasen er aktuelle for å gjøre tjenesten mer treffsikker. Dersom Secure Practice skal teste verktøyet mot mulig diskriminering, krever det en nærmere vurdering av hvilke opplysninger som er nødvendige. For dette formålet kan for eksempel tilgang på demografiske data som alder og kjønn være av større nytteverdi. Denne vurderingen har vi likevel ikke gått inn på i dette prosjektet.

I avveiingen mellom hensynet til Secure Practice sine interesser og de ansattes personvern, kan Secure Practice legge vekt på at økt treffsikkerhet vil komme virksomhetene og de ansatte til gode. Hvis løsningen ikke blir oppdatert med etterlæring, kan verktøyet bli utdatert og potensielt ikke fungere etter hensikten. Mulige personvernulemper for de ansatte kan være større i denne fasen, fordi personopplysningene blir brukt til å videreutvikle verktøyet til nye virksomheter. Med juridiske og tekniske garantier på plass, som vi gjorde rede for i bruksfasen, er det vår oppfatning at det vil være mulig å bruke berettiget interesse som rettslig grunnlag, også i etterlæringsfasen.

Også i denne fasen kan ansatte protestere mot behandlingen.

Det nasjonale forbudet mot overvåking i e-postforskriften

Så langt har vi forholdt oss til personvernforordningen. Men det er også relevant å vurdere tjenesten opp mot e-postforskriften med sitt forbud mot «å overvåke arbeidstakers bruk av elektronisk utstyr, herunder bruk av Internett». I motsetning til personvernforordningen, må det altså noe mer til enn å behandle personopplysninger for at disse spesialreglene begynner å gjelde.

En annen viktig forskjell fra personvernforordningen, er når en eventuell overvåking er lovlig. Det finnes bare to lovlige tilfeller. Enten for å «administrere virksomhetens datanettverk» eller for å «avdekke eller oppklare sikkerhetsbrudd i nettverket».

En arbeidsgiver vil altså ha lov til å bruke verktøyet så lenge bruken ikke innebærer overvåking av arbeidstakerne eller ett av de to tilfellene nevnt ovenfor er oppfylt. Men kan bruk av KI-verktøyet sees på som overvåking av de ansattes bruk av elektronisk utstyr?

Hva som ligger i «å overvåke» er ikke nærmere definert i forskriften. I forarbeidene til tilsvarende regler i den gamle loven er det framhevet at tiltaket skal ha en viss varighet eller skje gjentatte ganger. Overvåking står i motsetning til enkeltstående innsyn, som er tillatt i flere situasjoner. I forarbeidene er det også understreket at det ikke bare er et spørsmål om formålet er å overvåke. Arbeidsgiveren skal også legge vekt på om de ansatte kan oppleve situasjonen som overvåking.

KI-verktøyet som Secure Practice utvikler er satt sammen av mange metoder for å kartlegge arbeidstakerne. Metodene spenner fra spørreundersøkelser og quiz, til å registrere hvordan arbeidstakerne reagerer på simulerte phishing-øvelser og aktivitet i læringsplattformen. Isolert sett vil ikke dette regnes som å overvåke bruk av elektronisk utstyr. Men spørsmålet er om den samlede kartleggingen rammes av forbudet mot å overvåke.

Praksis fra Datatilsynet er ikke entydig, med tanke på om det er et krav at arbeidsgiver faktisk skal se opplysningene eller metadata for at det skal regnes som overvåking. Overvåkingsbegrepet favner vidt, og kan tyde på at også innsamling og systematisering rammes av forbudet. At bestemmelsen retter seg mot arbeidsgivers overvåking trekker i retning av at arbeidsgiveren i det minste må kunne ha adgang til opplysningene om arbeidstakerne for å rammes av forbudet.

Etter diskusjonene i sandkassen var det enighet om at kartleggingen i verktøyet ikke vil omfattes av forbudet mot overvåking. Vi har særlig lagt vekt på at de tekniske og juridiske tiltakene som er satt i verk for at arbeidsgiveren ikke skal få tilgang til opplysningene som blir samlet inn om hver ansatt.

De statistiske rapportene til arbeidsgiverne om nivået på informasjonssikkerhet blant bedriftens ansatte, vil lettere kunne oppleves som overvåking. Rapporteringen skal skje på gruppenivå. Hvor mange ansatte bedriften har og hvor store grupper personalet deles inn i, vil trolig påvirke hvordan de ansatte opplever verktøyet. Vi har gått ut fra at data vil gis på en måte som ikke setter arbeidsgiveren i stand til å identifisere enkeltarbeidstakere. Hvilken informasjon arbeidstakerne får, vil også spille inn på hvordan de opplever tjenesten.

Sandkassa har kommet til at kartleggingen, som bare formidles til arbeidstakerne, ikke rammes av forbudet mot overvåking. Når det gjelder måling av sikkerhetsnivået for de ansatte på gruppenivå, må arbeidsgiveren vurdere utformingen nærmere. Vi anbefaler at arbeidsgiveren drøfter hvordan rapporteringen kan skje med de ansatte på forhånd. 

Siden bruk av verktøyet ikke regnes som overvåking i dette tilfellet, trenger vi ikke å vurdere resten av bestemmelsen.

Hvilke (tilgrensende) regler har ikke blitt vurdert i sandkasseprosjektet?

Vi har ikke vurdert om arbeidsgiverens bruk av KI-verktøy går inn under reglene om kontrolltiltak i arbeidsmiljøloven kap. IX. Arbeidstilsynet håndhever disse reglene, og du kan lese mer på arbeidstilsynet.no.

Vi har heller ikke gått inn på reglene som gjelder tilgang til informasjon som er lagret på en brukers terminalutstyr, datamaskin, telefon osv., som er regulert i e-komloven.