EU-regulaatio kyberturvallisuus

20 - 5 - 2024 - Näkemyksiä

Tekoäly työllistää - Vastuu kasvaa niin järjestelmäkehittäjillä kuin rekisterinpitäjilläkin

EU:n uusi tekoälysäädös asettaa vastuita ja tehtäviä tietosuojasääntelystä tuttuun tapaan rooleittain. Tietosuojasäännösten nojalla rekisterinpitäjä vetää usein raskainta tietosuojarekeä, palveluntarjoajien eli henkilötietojen käsittelijöiden keskittyessä lähinnä rekisterinpitäjien ohjeiden noudattamiseen. Tekoälysäädöksen myötä vetovastuuseen pääsevät uudella tavalla järjestelmien kehittäjät. Tässä blogissa kerromme, millaisia asioita tekoälyjärjestelmien tarjoajilla ja niitä hyödyntävillä rekisterinpitäjillä on edessään, ja miten näihin vaatimuksiin voi ja kannattaa jo nyt tarttua.

VaatimustenmukaisuusTietosuojaTekoälyKyberkonsultointi

EU:n uuden tekoälysäädöksen keskeisimmät roolit ovat tarjoaja (provider) ja käyttöönottaja (deployer). Tarjoaja on tekoälyjärjestelmän kehittäjä, joka tuo järjestelmän markkinoille tai ottaa sen käyttöön omalla nimellään tai tavaramerkillään. Tarjoajan vastinparina on käyttöönottaja, joka hyödyntää tekoälyjärjestelmää ammattitoiminnassaan.

Tarjoajaksi voidaan ajatella esimerkiksi tekoälyllä höystetyn rekrytointi- tai henkilöstöhallintojärjestelmän kehittänyt ja markkinoille saattanut yritys. Käyttöönottajana esimerkissä toimisi kyseistä palvelua rekrytoinnissaan tai henkilöstöhallinnossaan hyödyntävä asiakas. Esimerkkimme asiakas katsottaisiin todennäköisesti henkilötietojen käsittelyn osalta rekisterinpitäjäksi, jolla on kokonaisvastuu järjestelmällä toteutettavan henkilötietojen käsittelyn lainmukaisuudesta. Palveluntarjoaja toimisi asetelmassa todennäköisesti henkilötietojen käsittelijänä, jolla on tietosuojavaatimusten valossa hieman rekisterinpitäjää kevyempi taakka.

Tarjoajat käärivät ensimmäisenä hihansa

Tekoälysäädöksessä säädetään velvoitteita, tehtäviä ja myös seuraamuksia niin tarjoajille kuin käyttöönottajillekin. Tuoteturvallisuussääntelystä tuttuun tapaan hihansa joutuvat käärimään kuitenkin aivan ensimmäisenä järjestelmiä kehittävät toimijat. Painokkaimmin säännellään niin sanottujen suuririskisten tekoälyjärjestelmien tarjoajia, joiden tontille osuva tehtävämäärä on jo säädöksen artiklamäärien valossakin suurin.

Suuririskinen tekoälyjärjestelmä

Suuririskisenä järjestelmänä voidaan pitää vaikkapa esimerkkimme rekrytointi- tai henkilöstöhallintojärjestelmää. Tällainen järjestelmä katsottaisiin tekoälysäädöksen mukaan suuririskiseksi, mikäli tekoälyä käytetään työhakemusten analysointiin tai suodattamiseen, hakijoiden arviointiin tai työsuhteen ehdoista päättämiseen, työtehtävien jakamiseen tai työntekijöiden suorituksen ja käyttäytymisen seurantaan ja arviointiin.

Suuririskisten tekoälyjärjestelmien joukkoon voivat kuulua mm. biometrisia tunnisteita käsittelevä järjestelmä, kriittisen infrastruktuurin turvakomponenttina toimiva järjestelmä, koulutussektorilla opetukseen pääsyn tai oppilaiden arvioinnin yhteydessä hyödynnettävä järjestelmä sekä julkisten palveluiden, kuten terveydenhuollon saatavuuteen ja käyttöön kytkeytyvä järjestelmä. Suuririskisinä pidetään myös yhdenmukaistamislainsäädännön piirissä olevia tekoälyjärjestelmiä, joihin kuuluvat mm. koneet, lelut ja hissit. Suuririskisten tekoälyjärjestelmien joukko on sanalla sanoen laaja, koska huomioon otettavat riskitkin ovat moninaiset.

Tarjoajan vastuut ja tehtävät

Suuririskisen tekoälyjärjestelmän tarjoajan vastuulle kuuluu tekoälysäädöksessä lähtökohtaisesti sen varmistaminen, että tekoälyjärjestelmä on suunnitteluratkaisuiltaan tekoälysäädöksen vaatimusten mukainen ja että toteutetut ratkaisut on dokumentoitu kattavasti. Tarjoajan kuuluu varmistaa esimerkiksi seuraavien vaatimusten toteutuminen:

  • riskienhallintajärjestelmä terveyteen, turvallisuuteen ja perusoikeuksiin liittyvien riskien tunnistamiseksi ja hallinnoimiseksi

  • tekninen dokumentaatio, jolla osoitetaan suuririskisen tekoälyjärjestelmän olevan vaatimusten mukainen

  • tekoälyn toiminnan avoimuus, esimerkiksi kattavien käyttöönottajille laadittavien käyttöohjeiden avulla.

Tarjoajien on myös teknisin suunnitteluratkaisuin varmistettava lokitietojen kerääminen ja käyttöliittymäratkaisuilla mahdollistettava ihmisen tekemä tekoälyn valvonta ja tarvittaessa tekoälyn pysäyttäminen. Painavana voidaan pitää myös tarjoajan vastuuta kyberturvallisuuden varmistamisessa. Suuririskiset tekoälyjärjestelmät on suunniteltava tarkkuudeltaan, luotettavuudeltaan ja kyberturvallisuudeltaan toimintavarmoiksi koko järjestelmän elinkaarta silmällä pitäen.

Myös rekisterinpitäjien taakka kasvaa

Tässä kohtaa hätäisempi rekisterinpitäjä voisi ajatella, että tekoälysäädöksestä seuraa tietosuojasääntelyyn verrattuna miltei päinvastainen roolien vastuunkanto ja tekoälyjärjestelmien käyttöönottaja, rekisterinpitäjä, pääsisi tällä kertaa huokaisemaan helpotuksesta. On kuitenkin todettava, että myös rekisterinpitäjillä tulee tekoälyn käyttöönoton ja yleistymisen myötä riittämään työnsarkaa.

Tietosuojan vaikutustenarviointi

Vanhat tutut tietosuojavelvoitteet tulevat työllistämään monin tavoin tekoälyä käyttöönottavia rekisterinpitäjiä. Ainakin tietosuojan vaikutustenarvioinnin (data protection impact assessment, ’DPIA’) tarve vaikuttaa tekoälyjärjestelmien kohdalla ilmeiseltä. Käsillä todennäköisesti on uuteen, innovatiiviseen teknologiaan liittyvä henkilötietojen käsittely. Kyseeseen voi tulla myös automaattinen päätöksenteko, jolla on merkittäviä vaikutuksia rekisteröidylle. Molempien kohdalla vaikutustenarviointia käytännössä edellytetään lakisääteisesti.

Vaikka tietosuojan vaikutustenarviointi ei olisi pakollinen, sen laatiminen auttaa aina palastelemaan ja arvioimaan systemaattisesti henkilötietojen käsittelyn lainmukaisuutta. Myös esimerkkitapauksemme rekisterinpitäjän olisi suositeltavaa arvioida rekrytointi- ja henkilöstöhallintonsa käyttöön tulevaa tekoälyä vaikutustenarvioinnin avulla etsiäkseen vastauksia seuraaviin kysymyksiin: Mihin tarkoituksiin ja millä perustein henkilötietoja tekoälyjärjestelmässä käsitellään? Toteutuvatko tietosuojaperiaatteet, kuten käyttötarkoitussidonnaisuuden, käsittelyn minimoinnin, tietojen eheyden, luottamuksellisuuden, täsmällisyyden ja käsittelyn oikeasuhtaisuuden vaatimukset?

Perusoikeusvaikutusten arviointi

Uudessa tekoälysäädöksessäkään ei ole unohdettu rekisterinpitäjiä – käyttöönottajia. Vaikutustenarvioinnin rinnalle on säädetty eräille suuririskisten tekoälyjärjestelmien käyttöönottajille velvoite ns. perusoikeusvaikutusten arviointiin (fundamental rights impact assessment, ’FRIA’). FRIA-arvioinnin lähestymistapa, osa-alueet ja siihen liittyvät tekijät muistuttavat monin tavoin tietosuojan vaikutustenarviointia. Tekoälysäädöksessä onkin todettu, että mikäli jokin FRIA-arvioinnin osa-alue on jo täytetty DPIA:n muodossa, voidaan FRIA-vaatimus täyttää täydentämällä DPIA:a tarvittavilta osin. Näiden vaikutustenarviointien yhdistäminen muodostuneekin tulevaisuudessa markkinakäytännöksi tilanteissa, joissa suuririskisessä tekoälyjärjestelmässä käsitellään henkilötietoja.

Muita käyttöönottajien tehtäviä

Käyttöönottajien kontolle lankeaa tekoälysäädöksessä lisäksi vastuu tarjoajan laatimien käyttöohjeiden noudattamisen varmistamisesta teknisin ja organisatorisin suojatoimin, ihmisen suorittaman valvonnan järjestämisestä, syöttötietojen merkityksellisyyden varmistamisesta sekä tarvittaessa työntekijöiden edustajien ja työntekijöiden tiedottamisesta tekoälyn käyttöön liittyen.

Miten tarttua toimeen? Insta apunasi vaatimustenmukaisuudessa

Tekoälysäädös ei rymähdä niskaan yhdessä yössä, mutta aikaa ei ole tuhlattavaksikaan. Vaatimusten tulkinta tullee ohjeiden ja standardien myötä vielä tulevina kuukausina kirkastumaan ennen kuin säädöksen soveltaminen toden teolla vuodesta 2026 alkaa. Ensimmäiset tekoälysäädöksen velvoitteet myös astuvat voimaan nopeammin, 6 kuukauden päästä säädöksen voimaantulosta. Tekoälyjärjestelmiä suunnittelevilla tarjoajilla on syytä perata vaatimuksia jo nyt ja viedä pohdinnat konkretiaksi myös tuote- ja kehitysprosesseihin. Tästä projektista ei selviä pelkästään dokumentoinnilla.

Vaatimuksiin vastaaminen edellyttää paitsi tietysti säädöksen sisällön perkaamista, yleisemmin systemaattista ja johdonmukaista lähestymistapaa kokonaisuuden ja sen kyberturvallisuuden varmistamisessa. Tässä avuksi ovat esimerkiksi Instan turvallisen sovelluskehityksen ja uhkamallinnuksen palvelut.

Kun on aika varmistaa ja osoittaa dokumentaatiolla vaatimustenmukaisuus, Instan data-, kyberlainsäädäntö ja vaatimustenmukaisuus -palveluiden asiantuntijat avustavat niin riskienhallintajärjestelmän, teknisen dokumentaation, datan ja datahallinnan vaatimusten kuin käyttöohjeidenkin laatimisessa. Avustamme myös rekisterinpitäjiä esimerkiksi perusoikeusvaikutusten arvioinneissa ja yleisemmin tietosuojasääntelyn noudattamisen varmistamisessa.

Installa yhdistyvät samassa talossa juridiikan, kyberturvallisuuden ja ohjelmistosuunnittelun asiantuntijuus. Autamme niin tarjoajia kuin käyttöönottajiakin varmistamaan, että asiat ovat kunnossa hyvissä ajoin ennen kuin tekoälysäädöstä täysimääräisesti sovelletaan.

Lue lisää tekoälysäädöksestä ja Instan palveluista

Satu Streng
Kirjoittaja

Satu Streng

Kirjoittaja työskentelee vanhempana konsulttina Instan Data & Cyber Compliance -liiketoiminnassa.

Jaa artikkeli

Pysy alan aallonharjalla ja tilaa uutiskirjeemme

Tärkeimmät uutiset, inspiroivat artikkelit ja asiantuntijoidemme ajankohtaisia näkemyksiä eri toimialoilta sekä tietoa tulevista tapahtumistamme.

Hyväksy käyttöehdot. Käsittelemme tietojasi vastuullisesti.
Tutustu tietosuojaselosteeseemme.