Skip to main content
Servicesider

Guidelines for data- og informationssikkerhed, samt ophavsret vedr. generativ AI

Digitale værktøjer, tjenester og hjælpeværktøjer, der er baseret på generativ AI, fx ChatGPT, Copilot Chat eller  Midjourney, kan være en værdifuld ressource at benytte sig af som medarbejder på SDU. Ved brugen af generativ AI er der dog en række forhold, du skal være opmærksom på. 

De fleste generative AI-løsninger er bygget så dine input bliver afleveret ”ud af SDU” når du bruger dem. Det betyder at udbyderen af løsningen kan bruge data, og at vi kan risikere at de bliver læst af andre. Data kan blive brugt til at træne modellen, eller kan blive læst af udbyderens medarbejdere. Selv om udbyderen lover at lade være, har SDU ikke altid mulighed for at kontrollere det.

Her finder du en række korte interviews med spørgsmål relateret til opgavsret og datasikkerhed. Nedenfor finder du en uddybning af emnerne samt info om godkendelse af AI-tjenester.

 

Retningslinjer

De fleste generative AI-løsninger er bygget så dine input bliver afleveret ”ud af SDU” når du bruger dem. Det betyder at udbyderen af løsningen kan bruge data, og at vi kan risikere at de bliver læst af andre. Data kan blive brugt til at træne modellen, eller kan blive læst af udbyderens medarbejdere. Selv om udbyderen lover at lade være, har SDU ikke altid mulighed for at kontrollere det.
Her finder du en række korte interviews med spørgsmål relateret til opgavsret og datasikkerhed. Nedenfor finder du en uddybning af emnerne samt info om godkendelse af AI-tjenester.

Hvis AI-systemet er vurderet generelt på SDU, skal du følge de begrænsninger der ligger i den fælles vurdering (du kan læse mere her ). Hvis ikke, er det muligt at bruge systemet lokalt (se mere nedenfor).

Mange generative AI-systemer bliver drevet af andre end SDU. Her må du typisk ikke bruge personoplysninger i dine input, og du skal være opmærksom på hvilke typer oplysninger du indtaster:
Hvis oplysningerne er offentliggjorte, eller skal offentliggøres (fx tekst til sdu.dk), må du gerne bruge dem som input.
Hvis oplysningerne er interne SDU-oplysninger (fx almindelige mødereferater uden lukkede punkter eller personnavne), skal du vurdere om det er forsvarligt at bruge dem som input. Du skal overveje om der kan være en risiko i forhold til den AI-tjeneste du benytter og de konkrete oplysninger du deler. Der vil være mange situationer, hvor det ikke er et problem, men vær bevidst om, at der kan være en risiko for, at oplysningerne bliver delt med uvedkommende.
Hvis oplysningerne er fortrolige (fx Lukkede mødepunkter, oplysninger underlagt fortrolighedsaftaler, oplysninger om patenterbare opfindelser eller lignende) må de aldrig bruges som input i AI-løsninger der ikke er eksplicit godkendte til det.
 
Vær opmærksom på licensbetingelser. Selv de gratis løsninger har krav , de stiller som betingelse for anvendelse. Fx fremgår det af ChatGTP’s licensbetingelser, at svar fra ChatGTP ikke må anvendes til direkte afgørelser, der kan have retsvirkning for fysiske personer. Ligeledes skal man deklarere, at teksten er skrevet ved hjælp af AI, hvis den benyttes brugerrettet.
Vær opmærksom på, at du kun må give inputs til en generativ AI tjeneste, som du har ret til at videregive. Dvs. du ikke må uploade billeder, tekst eller kode, som krænker tredjemands ophavsret.
Brug aldrig personoplysninger som input i generativ AI, medmindre løsningen er godkendt til det. Personoplysninger er oplysninger om en person, hvis de siger noget om personen, som enten er identificeret, kan identificeres ud fra oplysningerne, eller kan identificeres ved at holde de oplysninger, man har om personen op imod andre tilgængelige oplysninger.


Godkendelse af AI-tjenester

databeskyttelse på SDU (UID), har godkendt nye retningslinjer for sikkerhedsgodkendelse af it-systemer ved it-anskaffelser. Retningslinjen er under implementering. Jf. retningslinjen skal centrale systemer, der indkøbes og licensstyres af SDU IT herunder systemer, som studerende på SDU forventes at bruge, godkendes centralt af SDU IT og evt. SDU RIO, hvis der behandles personoplysninger i systemet. 

Hvis du påtænker at bruge generativ AI til undervisning, skal du  sikre dig, at systemet /tjenesten (fx Copilot eller ChatGPT ) bliver centralt godkendt på SDU. Hvis tjenesten ikke er centralt godkendt, kan underviseren ikke pålægge de studerende at bruge det som en del af undervisningen, hvor de skal oprette sig på tjenesten. Det forhindrer dog ikke underviserne i at gøre brug af tjenesterne og deres output i undervisningen så længe de førnævnte regler om input overholdes.
Systemer, som afdelingen ønsker at anvende til afgrænsede forskningsprojekter eller andre lokale formål, der ikke er rettet mod studerende eller behandler studerendes oplysninger, kaldes lokale systemer/tjenester.  Disse kan tages i brug lokalt, såfremt den enkelte VIP/TAP og dennes ledelse selv indestår for lovlig anvendelse af systemet. Det gælder også anvendelse af generativ AI. Konkret betyder det, at den pågældende VIP/TAP selv skal være i stand til at vurdere, om sikkerheden i tjenesten står mål med det input, man har tænkt sig at fodre tjenesten med. Derudover skal de førnævnte principper i forhold til behandling af personoplysninger, ophavsret og licensbetingelser naturligvis også overholdes. Det gælder også i relation til SDU’s data, hvis den pågældende VIP/TAP tager en tjeneste i brug som privatperson.
Har du brug for yderlig information bør du i første omgang tage fat i din lokale GDPR- og informationssikkerhedskoordinator. Du kan finde din lokale koordinator ved at tilgå siden kontakt og navigere til dit område. Du er også velkommen til at kontakte Helpdesk eller SDU Digital Compliance på sdu-digital-compliance@sdu.dk

 

Sidst opdateret: 19.11.2024