KI i Kristiansandskolen

GDPR – Hvorfor er det greit å bruke denne tjenesten?

ki.ikrs.no er en tjeneste som ikke bruker eller lagrer noen personopplysninger. Det høres kanskje rart ut med tanke på hva vi leser om KI og personvern i nyhetene. I dette dokumentet skal vi forklare hvordan vi har løst dette i denne tjenesten fra Kristiansand kommune.

Lærere og elever må logge på via FEIDE for å få tilgang til sidene med chabotene. Dette er bare en barriere for hindre at andre enn lærere og elever i Kristiansand kommune skal kunne bruke tjenesten, siden vi må betale etter hvor mye den blir brukt. Det er ingen kobling mellom brukeren som er logget på og det som skrives inn i chatbotene. Nettsiden ki.ikrs.no er drevet på en tjener Kristiansand kommune eier, og den lagrer ingenting av det en bruker legger inn eller får til svar i chatbotene.

Det er heller ingen kobling mellom en bruker og det som sendes inn til OpenAI. Det eneste OpenAI vet er at teksten som den skal jobbe med kommer fra organisasjonen Kristiansand kommune. Den vet ingenting om brukeren som har skrevet ledeteksten den skal jobbe med. Det blir ikke overført IP-adresse, brukernavn, informasjonskapsler (cookies) eller noe annet som kan identifisere brukeren som legger inn ledeteksten i chatboten.

Vanligvis er fritekstfelt knyttet til en identitet, som gjør alt som står i fritekstfeltet til personopplysninger. Dette er ikke tilfelle i denne tjenesten. OpenAI har ingen mulighet til å finne ut hvem som har sendt inn en ledetekst og derfor ingen mulighet til å vurdere om innholdet i ledeteksten er en reell opplysning eller fiksjon, eller knytte det til en bestemt person. Innholdet i ledeteksten er derfor anonymisert.

Den utgaven av OpenAI sin AI vi bruker på ki.ikrs.no er ikke den som er tilgjengelig for alle på https://chat.openai.com. Vi har en avtale med OpenAI hvor vi bruker det som heter et API (Application Programming Interface). En API lager en kobling mellom tjeneren til Kristiansand kommune og tjenesten gpt-4o-mini hos OpenAI. Da gjelder andre regler enn for den tjenesten alle kan bruke hos OpenAI.

Alt dette er beskrevet på sidene til OpenAI. Det står det tydelig at ingenting av det vi sender til OpenAI-APIen blir brukt av dem til annet enn å gi brukeren et svar fra AI-en.

Vår vurdering er at tjenesten ikke behandler personopplysninger av følgende årsaker:

  • All behandling av ledetekster/fritekstfelt er helt anonymisert.
  • Det lagres ingen opplysninger om ledetekst, svar eller logger på webtjeneren i Kristiansand kommune.
  • Ledetekster inneholder bare ustrukturert informasjon, og ikke personopplysninger, siden det ikke er noen mulighet til å koble dem til bekreftede opplysninger eller identiteter.
  • OpenAI bruker ikke ledetekster til å trene AI-modellene eller forbedre tjenesten de leverer.
  • OpenAI bevarer ledetekster hos seg i opp til 30 dager, med den hensikt og begrunnelse å hindre misbruk av tjenesten. Dette er et legitimt behov for OpenAI og ingen utfordring siden ledetekstene er reelt anonyme og derfor ikke inneholder personopplysninger.
  • Webtjenesten ki.ikrs.no til Kristiansand kommune er foreløpig den tryggeste og minst inngripende løsningen for tilgang til språkmodeller med henblikk på personopplysninger, og den er i tillegg godt tilpasset bruk i undervisning.

Om du ønsker å lese en mer utdypende vurdering av tjenesten kan du lese denne teksten.