Secure Practice har utviklet en innovativ tjeneste for å bidra til å levere målrettet sikkerhetsopplæring til kollegene dine. Dette gjøres basert på nøkkeltallsindikatorer (KPI-er) for den menneskelige siden av virksomhetens sikkerhetsarbeid, i utgangspunktet tilgjengelig som en del av vårt PLATINUM-abonnement.
En unik kombinasjon av tverrfaglig forskning, datamodellering, maskinlæringsalgoritmer og visualisering har gjort denne innovasjonen mulig.
Personvern har også vært avgjørende for å bygge en bærekraftig løsning til styring av menneskelig cyberrisiko med nødvendig presisjon.
En datadrevet tjeneste som dette baserer seg naturlig nok på en mengde data, og når vi i tillegg måler menneskelig risiko blir definitivt personopplysninger sentralt.
Med en brukersentrert tilnærming til både produktutvikling og personvernarbeid, jobber teamet vårt i Secure Practice for brukeropplevelser som folk virkelig kan elske. Og for å oppnå dette, tror vi at det er helt sentralt å bygge tillit gjennom personvern og gjennomsiktighet.
Regulatorisk sandkasse og DPIA
Derfor var det en «no-brainer» for oss å søke proaktivt om deltakelse i den regulatoriske sandkassen for ansvarlig kunstig intelligens (også kjent som «KI-sandkassen»), da den ble utlyst av Datatilsynet tidlig i 2021.
Kort fortalt er KI-sandkassen finansiert av regjeringen i Norge for å fremme personvern i utviklingsprosjekter basert på kunstig intelligens. Datatilsynet valgte ut fire prosjekter til å delta i den første kohorten, og blant disse var også Secure Practice. Foruten vår egen innsats, tilbød Datatilsynet en dedikert juridisk senioorrådgiver til å jobbe med prosjektet vårt (pluss et annet) i ca. 6 måneder. I tillegg fikk vi benytte prosjektressurser som en teknolog og en sosiolog, og enkelte aktiviteter som gikk på tvers av alle deltakerne i sandkassa.
I løpet av sandkasseprosjektet kjørte vi flere workshops sammen med Datatilsynet om både juridiske, tekniske og sosio-tekniske spørsmål om tjenesten vi utviklet. Sammen med Datatilsynet arrangerte vi dessuten workshops med Likestillings- og diskrimineringsombudet (LDO), med en gruppe arbeidstakerorganisasjoner (ATO-er), og med et utvalg representanter for datasubjekter (ansatte).
Basert på innspill herfra gjorde vi herfra en grundig og metodisk vurdering av personvernkonsekvenser (DPIA) for tjenesten. Med også verdifulle tilbakemeldinger fra Datatilsynet resulterte DPIA-arbeidet i et dokument med risikovurderinger og personvernrelatert informasjon som holdes oppdatert med jevne mellomrom. Og vi tilgjengeliggjør gjerne dette dokumentet for gjennomgang av (potensielle) kunder.
Datatilsynet publiserte ellers en offentlig versjon av sluttrapporten fra prosjektet i februar 2022, på sine nettsider. Her kan du lese om noen helt konkrete utfordringer vi møtte i løpet av prosjektet, som like fullt berører tema av generell interesse for flere.
Praktiske implikasjoner
Noen av de juridiske spørsmålene som ble diskutert i rapportene fra både sandkasseprosjektet og vår DPIA, inkluderer:
- Behandlingsansvarlig: Hvem er ansvarlig for å etterleve personvernreglene?
- Rettslig grunnlag: Kan verktøyet brukes og videreutvikles på en lovlig måte?
- De registrerte: Hvordan påvirker verktøyet de ansatte?
Gjennom et svært fruktbart samarbeid med DPA om disse spørsmålene resulterte vår sandkassedeltakelse i både teknisk og juridisk innsats for å redusere viktige risikoer.
Den potensielt største risikoen var at arbeidsgivere skulle bruke individuelle risikomålinger som grunnlag for både negative følger for enkelte, men faktisk også "positiv" (men fortsatt usaklig) diskriminering overfor andre.
Derfor var det kanskje viktigste resultatet fra prosjektet et krav om å beskytte identiteten til individuelle ansatte i forhold til risikodata som behandles.
Som en konsekvens av dette har vi implementert tekniske kontroller for å sikre at individuelle risikoscore ikke blir eksponert mot arbeidsgiver.
Men med et standard juridisk oppsett for skybaserte programvaretjenester som Secure Practice, kan arbeidsgiver (vår kunde) ganske enkelt kreve at slike risikodata blir utlevert på forespørsel. Dette er fordi kunden er behandlingsansvarlig, og i tråd med vår databehandleravtale er Secure Practice rett og slett en databehandler med en strengt begrenset rett til å behandle data kun etter instruksjoner fra den behandlingsansvarlige. Følgelig vil dette også inkludere retten til å aksessere individuelle risikovurderinger.
Et juridisk tiltak mot denne risikoen ble like fullt foreslått av Datatilsynet og akseptert som en løsning av oss:
Felles behandlingsansvar for individuelle profileringsdata, relatert til måling av menneskelig cyberrisiko.
Som en konsekvens av dette har vi inkludert et felles (men avgrenset) behandlingsansvar i vår standard databehandleravtale. Følgelig kan Secure Practice avvise enhver forespørsel fra kunde (arbeidsgiver) om risikodata tilknyttet individuelle brukere (ansatte). Men samtidig, for alle andre data, vil et standard juridisk oppsett med kunden som behandlingsansvarlig og Secure Practice som databehandler gjelde akkurat som tidligere.
Selv om ideen om felles behandlingsansvar kan virke ny for mange, er det hele egentlig ikke så komplisert. I praksis påtar Secure Practice seg et selvstendig ansvar for innebygd personvern, transparens og informasjon til brukerne, besvare individuelle forespørsler fra registrerte etter behov (for data under felles behandlingsansvar), og på egen hånd være selvstendig objekt for eventuelle tilsyn og bøter.
Gjennomsiktighet og trygghet
For våre kunder gir felles behandlingsansvar ingen reelle ulemper sammenlignet med alternativet: Med transparent risikoscoring av individuelle ansatte ville systemet blitt et inngripende kontrolltiltak med overvåking av ansatte, og potensielt ulovlig å bruke innenfor EU, gitt GDPR-krav til balanse overfor den registrertes rettigheter til frihet og personvern.
I stedet kan altså Secure Practice tilby organisasjoner en løsning for å måle og styre menneskelig cyberrisiko på individnivå, som er grundig validert opp mot GDPR, basert på følgende to tydelige behandlingsformål:
- Å gi virksomheten statistiske data om menneskelig cyberrisiko;
- Å gi ansatte målrettet automatisert opplæring basert på risikoscore.
Som nevnt ovenfor deler vi gjerne DPIA-dokumentet vårt, som et godt egnet grunnlag til deres egen risikovurdering som kunde og (felles) behandlingsansvarlig. Teamet vårt er rett og slett stolte av å kunne tilby et høyt nivå av både innovasjon og samtidig personvern og regulatorisk trygghet.
For sluttbrukere har vi implementert en egen side i læringsportalen (https://learn.securepractice.co/privacy), med informasjon om databehandling, personvern og innsynsfunksjonalitet. Læringsportalens hovedside inneholder en lenke til denne siden, men du oppfordres herved også til å fortelle kollegene dine om den.
Skulle du ellers ha andre spørsmål i forhold til tjenesten, er du velkommen til å kontakte support når som helst.