Kan du lime et vedtak inn i ChatGPT? Personopplysninger og AI

Du har et langt vedtak som skal oppsummeres, eller en klage du trenger hjelp til å formulere. Det er fristende å lime teksten rett inn i ChatGPT. Men vedtaket inneholder fødselsnummer, helseopplysninger og navn på barn. Kan du det?

Kort svar: nei — med mindre du sladder først

Når du limer tekst inn i ChatGPT, sender du opplysningene til OpenAI sine servere i USA. Det er en overføring av personopplysninger til et tredjeland, og den krever behandlingsgrunnlag etter GDPR artikkel 6. For helseopplysninger trengs i tillegg unntak etter artikkel 9.

Som saksbehandler i offentlig forvaltning har du nesten aldri behandlingsgrunnlag for å dele andres personopplysninger med en kommersiell AI-tjeneste.

Forskjellen: dine egne vs. andres opplysninger

Det er en viktig forskjell:

• Dine egne opplysninger — Du kan fritt dele ditt eget navn, din egen adresse, dine egne dokumenter. GDPR beskytter ikke deg mot deg selv.
• Andres opplysninger — Her trengs behandlingsgrunnlag. Fødselsnummer, helseopplysninger, navn på barn, klientforhold — alt dette er beskyttet av forvaltningsloven § 13 og GDPR.

Når du som saksbehandler limer et vedtak inn i ChatGPT, behandler du andres personopplysninger — og det uten lovlig grunnlag.

OpenAI og datatrening

I standard ChatGPT-versjonen (gratis og Plus) bruker OpenAI samtaledata til å trene modellen, med mindre du aktivt skrur av denne funksjonen. Det betyr at personopplysninger du deler kan ende opp som en del av modellens treningsdata.

OpenAI tilbyr Enterprise- og Business-versjoner der data ikke brukes til trening. Men selv med disse versjonene sendes opplysningene til OpenAIs servere — og overføringsproblemet gjenstår.

Hva kan du gjøre i stedet?

1. Sladd først, bruk AI etterpå

Den tryggeste løsningen er å fjerne alle personopplysninger før du bruker AI-verktøy. Da er teksten anonymisert, og GDPR gjelder ikke lenger for den. Du kan bruke Sladd til å finne og fjerne personnummer, navn, adresser og helseopplysninger automatisk — alt skjer lokalt i nettleseren din, uten at noe sendes til noen server.

2. Bruk lokale AI-modeller

Verktøy som kjører AI-modellen lokalt på din maskin (som Ollama eller LM Studio) sender ingen data ut. Men disse krever teknisk kompetanse å sette opp og er ikke like kraftige som ChatGPT.

3. Send sladdede dokumenter trygt

Etter sladding kan du dele dokumenter trygt via Digipost eller Envei.no for kryptert digital forsendelse. Disse tjenestene sikrer at dokumentene sendes til rett mottaker med ende-til-ende-kryptering.

Hva risikerer du?

Brudd på GDPR kan medføre overtredelsesgebyr. Sykehuset Østfold fikk 500 000 kroner i gebyr for brudd på personopplysningssikkerheten (PVN-2021-16). Og det var uten AI-bruk — bare manglende tekniske tiltak.

Italienske myndigheter blokkerte ChatGPT midlertidig i 2023 nettopp på grunn av manglende behandlingsgrunnlag og manglende informasjon til de registrerte. Norske kommuner og etater bør ta lærdom av dette.

Sladd først, del etterpå — trygt og lokalt