Det er løpende diskusjon om muligheter og farer ved å ta i bruk generativ kunstig intelligens. Mens over 80% av studentene prøver seg, er det usikkerhet blant faglig tilsatte. Samtidig etterlyses det eksempler så vi får noe å henge diskusjonen på. Dette er interessant når UH-sektoren i stort bare honorerer forskningsartikler, men ikke eksperimentell utvikling, og også retter pekefingeren mot dem som prøver. Det er drevet av angst. Spesielt angstfylt er gratis-løsningen DeepSeek eller Qwen og de øvrige KI-maskinene fra Kina.
Utbredt misforståelse
Jeg er ikke ute etter å bære ved og vann til dem, men slår gjerne et slag for større edruelighet i dette spørsmålet. Det bør stilles kunnskapsbasert. Da kan vi f.eks. ta utgangspunkt i en ellers utmerket artikkelserie om KI i avisa Khrono på nyåret 2025. Der viderefører professor Morten Goodwin denne utbredte misforståelsen
I andre systemer kan det inngås databehandleravtaler som sikrer bedre kontroll over hvor informasjonen lagres og håndteres. Med Microsoft Copilot, for eksempel, kan en avtale mellom Microsoft og din institusjon sørge for at dataene aldri forlater Europa. Da er sikkerhetsnivået det samme som når du lagrer filer i en delt Teams-mappe — informasjonen forblir innenfor trygge rammer. ( Khrono 25.02.2025)
Dette er feil.
I tråd med sakens natur lar jeg ChatGPT argumentere. Det skjer i form av en lett redigert tilbakemelding på ledeteksten
Vurder holdbarheten av dette utsagnet opp mot den amerikanske FISA -Section 702.
Goodwins utsagn er problematisk i lys av den amerikanske overvåkningsloven Foreign Intelligence Surveillance Act (FISA), spesielt Section 702. Selv om en databehandleravtale mellom en europeisk institusjon og Microsoft kan spesifisere at data forblir lagret i Europa, innebærer ikke dette nødvendigvis at dataene er beskyttet mot amerikansk etterretningstilgang.
Hvorfor er utsagnet problematisk?
Microsoft er et amerikansk selskap og er dermed underlagt FISA Section 702, som gir amerikanske myndigheter adgang til å be om tilgang til data som Microsoft besitter, uavhengig av hvor disse dataene fysisk befinner seg. Det betyr at selv om dataene er lagret på servere i Europa, kan Microsoft bli pålagt å overlevere dem til amerikanske myndigheter uten å informere kunden.
Europeiske personvernkrav og Schrems II-dommen
EU-domstolens Schrems II-dom (2020) slo fast at amerikanske lover, inkludert FISA 702, ikke gir et tilstrekkelig beskyttelsesnivå for persondata etter GDPR (General Data Protection Regulation).
Dommen førte til at Privacy Shield-avtalen mellom EU og USA ble erklært ugyldig. Selv om EU-U.S. Data Privacy Framework (DPF) har erstattet den, gjenstår usikkerhet rundt FISA 702s rekkevidde*.
Realiteten ved databehandleravtaler
En databehandleravtale kan regulere hvor data lagres og behandles, men kan ikke overstyre amerikansk lovgivning. For at informasjonen skal være virkelig utenfor amerikansk rekkevidde, må den lagres hos en leverandør som ikke er underlagt amerikansk jurisdiksjon (f.eks. en europeisk skytjenesteleverandør som ikke har amerikanske forbindelser).
Sin vane (og algoritme) tro avsluttes tilbakemeldingen fra ChatGPT med en konklusjon:
Utsagnet om at Microsoft Copilot med en avtale kan sikre at data «aldri forlater Europa» og dermed har «samme sikkerhetsnivå» som en Teams-mappe er misvisende. I realiteten kan amerikanske myndigheter fortsatt kreve tilgang til dataene under FISA 702, selv om de fysisk er lagret i Europa. Dermed er sikkerheten ikke lik en situasjon hvor dataene forblir utelukkende innenfor europeiske rettslige rammer.
Dagens datasikringsavtale mellom EU og USA er ikke til å stole på. DPF er allerede under juridisk granskning og kan møte samme skjebne som sine forgjengere, Privacy Shield (2020) og Safe Harbor (2015), som begge ble annullert av Den europeiske unions domstol (CJEU) på grunn av utilstrekkelige garantier mot overvåkning fra USAs myndigheter.
Presidentordre
Det juridiske landskapet for personvern i USA er i stadig endring, spesielt med skiftende politiske administrasjoner som vi nå har fått en dramatisk bekreftelse på. Siden DPF er basert på presidentordre snarere enn lovgivning, kan en Trump eller Vance svekke eller oppheve disse beskyttelsene uten EU sitt samtykke.
Her må norsk akademia også ta høyde for et mulig samarbeid mellom USA og Russland og en mulig militær trussel mot Norge fra øst.
Nasjonale og nordiske løsninger
Data om norske UH-tilsatte og studenters gjøren og laden er ikke trygge på Windows 365 eller Canvas-plattformen. Det er bedre å etablere nasjonal eller nordisk infrastruktur med åpen kildekode der og i applikasjonslaget.