Tekoälyagenttien käyttö laajenee nopeasti myös kirjautumista vaativiin palveluihin. Kouluhallinnossa tämä muuttaa toimintaympäristöä ja tuo uusia kysymyksiä tietoturvasta, vastuista ja ohjauksesta. Nyt on oikea hetki tarkastella, millaisilla yhteisillä periaatteilla varmistamme turvallisen ja hallitun kehityksen, kirjoittaa liiketoimintajohtaja Teemu Lehtonen blogissa.
Tekoälyagentit ovat yhä useamman arkipäivää: ne auttavat hakemaan tietoa, jäsentämään tehtäviä ja tuomaan tukea oppimiseen ja hallintoon. Tämä kehitys on hieno mahdollisuus – mutta se herättää myös tärkeän kysymyksen: miten yhdessä varmistamme, että tekoälyn käyttö on turvallista silloin, kun palveluihin kirjaudutaan henkilökohtaisilla tunnuksilla?
Kysymys ei koske vain yksittäisiä käyttäjiä, vaan koko koulutuksen järjestämisen kenttää: kuntia, opetuksen järjestäjiä ja järjestelmätoimittajia. Tekoäly muuttaa toimintaympäristöä nopeasti ja siksi myös toimintamallien on kehityttävä.
Koska tekoäly on uusi osa digitaalista arkea, haluamme avata keskustelua siitä, miten tietoturva ja yksityisyys voidaan varmistaa tässä muutoksessa.
Kirjautumista vaativat järjestelmät uudessa tilanteessa
Wilma on yksi esimerkki laajasti käytetystä järjestelmästä, jossa käyttäjän näkymä määräytyy hänen roolinsa ja käyttöoikeuksiensa mukaan. Vastaavia kirjautumista vaativia palveluita on myös muualla julkishallinnossa. Suomessa yli kaksi miljoonaa ihmistä – oppijat, huoltajat sekä opetus- ja hallintohenkilöstö – käyttää Wilmaa päivittäin. Järjestelmässä käsitellään tietoja, jotka ovat hyvin henkilökohtaisia ja usein myös arkaluonteisia: oppimisen tietoja, arviointeja, viestintää, ryhmä- ja luokkatietoja sekä henkilökunnan ja perheiden yhteystietoja.
Tämän vuoksi on tärkeää pohtia, mitä tapahtuu silloin, kun tekoälyagentti pääsee Wilmaan kirjautuneena käyttäjän tunnuksilla. Vaikka tekoäly auttaa tehtävissä, se ei ymmärrä kontekstia tai tietoturvan merkitystä samalla tavalla kuin ihminen. Kun agentti saa käyttöoikeuden palveluun, data ei enää ole alkuperäisen järjestelmän tietoturvan suojaamana.
Moni käyttäjä ei ehkä tule ajatelleeksi, että tekoälypalvelu voi:
-
tallentaa dataa EU:n ulkopuolelle
-
käyttää sitä tekoälymallien kouluttamiseen
-
käsitellä tietoa ehdoilla, joita ei ole tarkoitettu julkisen sektorin arkaluonteiselle datalle
Tästä syystä tunnusten käyttöä ja tekoälypalveluiden hyödyntämistä on tarkasteltava osana laajempaa tietoturvan ja riskienhallinnan kokonaisuutta.
Yhdessä kohti selkeitä pelisääntöjä
Tekoälyn mahdollisuudet ovat suuret, ja kun huolehdimme perusteista, kuten tunnusten turvallisesta käsittelystä, voimme hyödyntää niitä viisaasti. Tällä hetkellä käyttäjän oma harkinta on keskeisessä roolissa. Pitkällä aikavälillä pelkkä yksilötason vastuu ei kuitenkaan riitä, jos toimintaympäristö muuttuu nopeasti.
Siksi on perusteltua käydä yhteistä keskustelua ainakin seuraavista kysymyksistä:
Mikä on tietojen käsittelyperuste?
Kunnalla on oltava lakiin perustuva käsittelyperuste henkilötietojen käsittelylle, esimerkiksi opetuksen järjestäminen. On kuitenkin aiheellista pohtia, voidaanko ulkopuolisen tekoälysovelluksen käyttöä aina katsoa opetuksen kannalta välttämättömäksi. Tulkinnat voivat olla haastavia ja joutua myös juridiseen arviointiin.
Miten varmistetaan käsittelysopimukset ja datan sijainti?
Jos tekoälyratkaisu ei ole opetuksen järjestäjän omassa hallinnassa, nousevat esiin kysymykset henkilötietojen käsittelysopimuksista, datan sijainnista ja mahdollisesta siirtymisestä EU:n ulkopuolelle. Ilman selkeitä sopimus- ja hallintamalleja riskit kasvavat nopeasti.
Milloin tarvitaan vaikutustenarviointi?
Ennen tekoälyn käyttöönottoa opetuksen järjestäjän on arvioitava, millaisia riskejä tietojen käsittely aiheuttaa oppijoiden oikeuksille ja vapauksille. Vaikutustenarviointi voi olla tulkinnallinen ja herkkä – ja se voi joutua myös huoltajien tarkastelun kohteeksi.
Mitä EU:n tekoälyasetus tarkoittaa kouluille?
Tekoälyjärjestelmät, jotka vaikuttavat oppijan arviointiin, opintopolkuun tai päätöksentekoon, voidaan luokitella suuririskisiksi. Tämä asettaa tiukempia vaatimuksia datan laadulle, läpinäkyvyydelle ja ihmisen suorittamalle valvonnalle. Tekoälyä ei saa käyttää esimerkiksi oppijoiden sosiaaliseen pisteytykseen tai heidän tunnetilojensa tunnistamiseen opetustilanteessa, muutamia poikkeuksia lukuun ottamatta.
Missä kulkee pedagogisen vastuun raja?
Tekoäly voi tukea opetusta, mutta se ei voi kantaa lopullista pedagogista vastuuta. Vastuu oppijasta ja arvioinnista kuuluu aina ihmiselle.
Miten varmistetaan hallinnollinen läpinäkyvyys?
Hallintolain mukaan viranomaisen päätöksenteon on oltava läpinäkyvää ja perusteltua. Jos tekoäly vaikuttaa oppijaa koskevaan ratkaisuun, on pystyttävä selittämään, mihin päätös perustuu, eikä tämä ole kaikkien järjestelmien kohdalla yksinkertaista.
Kunnissa ja oppilaitoksissa määritellään parhaillaan tekoälyn käytön suuntaa. Yhteinen keskustelu auttaa varmistamaan, että ratkaisut ovat kestäviä, yhdenmukaisia ja perusteltuja.
Tietoturvallinen tekoälyn käyttö kouluissa edellyttää tietopohjaa, harkittuja valintoja ja selkeitä tietosuojakäytäntöjä. Kun näistä peruspilareista pidetään huolta, tekoälyn mahdollisuuksia voidaan hyödyntää turvallisesti.
Ohjeistusta on – yhtenäinen tulkinta puuttuu
Ohjeita ja suosituksia tekoälyn hyödyntämiseen on jo olemassa niin kansallisella kuin EU-tasolla. Niiden tulkinta ja soveltaminen jäävät kuitenkin viime kädessä kunnille ja opetuksen järjestäjille, mikä johtaa helposti käytäntöjen vaihteluun eri puolilla maata.
Samaan aikaan tekoälypalveluiden käyttö arjessa yleistyy nopeasti. Henkilökohtaisia tunnuksia saatetaan antaa palveluihin, joiden tietoturvaa tai sopimuksellista asemaa ei ole arvioitu organisaatiotasolla – eikä tällaista toimintaa voida teknisesti täysin estää, jos käyttäjä itse luovuttaa tunnuksensa.
Juuri tästä syystä tarvitsemme selkeämpää yhteistä ymmärrystä siitä, millaisin pelisäännöin tekoälyä voidaan hyödyntää kirjautumista vaativissa palveluissa. Kun tulkinnat vaihtelevat, innovaatioiden kehittäminen hidastuu, sillä uusille ratkaisuille ei ole yhtenäistä perustaa. Tekoälyn kehitys ei pysähdy, mutta voimme yhdessä varmistaa, että sen käyttö tapahtuu hallitusti, läpinäkyvästi ja oppijoiden etu edellä. Yhteinen tulkinta mahdollistaa sekä turvallisuuden että kestävän innovoinnin.
