Till innehåll på sidan
Till KTH:s startsida

Riktlinjer vid användning av AI

KTH:s riktlinjer och rekommendationer gällande användning av AI.

Riktlinjer för nyttjandet av AI

Vägledning med syfte att hjälpa dig att använda AI på ett ansvarsfullt och regelmässigt sätt samt följa KTH:s etiska principer.

Introduktion

Syftet med denna vägledning är att klargöra vilka ansvarsförhållanden, regelverk och etiska principer som styr tillgängliggörande av information inom KTH. Med tillgängliggörande av information avses att information görs åtkomlig för vidare användning, delning eller bearbetning. Vägledningen riktar sig till medarbetare som hanterar eller distribuerar information och använder AI-verktyg.

Bakgrund och utmaning

I takt med att AI-verktyg och tekniska framsteg förändrar arbetsmiljön ökar risk för oavsiktlig delning av känslig information. Utöver potentiella tolkningsproblem vid avtalstillämpning och oklarheter kring ansvar kan etiska fallgropar uppstå, till exempel när AI-genererade data innehåller bias eller brister i transparens.
Särskilt känsliga informationstyper som personuppgifter, forskningsdata, tekniska systembeskrivningar samt interna strategier och samarbetsuppgifter behöver varsam hantering. Felaktig hantering här kan leda till juridiska sanktioner och skadat förtroende.

Styrande principer

Innan information görs åtkomlig bör tre principer beaktas: ansvar, lagar och avtal samt etik. Dessa säkerställer konsekvent hantering av alla typer av information – från forskningsdata och organisatoriska sammanställningar till tekniska systembeskrivningar. Genom att tillämpa principerna kan arbetet med att fatta välgrundade beslut om informationens omfattning, metod och mottagare underlättas. Samtidigt skyddas individer, organisationens trovärdighet bevaras och ett ansvarsfullt informationsanvändande främjas.

Ansvar

Den funktion eller roll som formellt ansvarar för information avgör hur informationen får användas och delas. Det gäller all information på KTH, exempelvis personalregister, promemorior, data som kommer från tredje part, systemkonfigurationer och inkluderar beslut om inmatning i AI-verktyg, publicering på externa plattformar eller intern spridning. Vid tveksamhet om ansvarsförhållanden måste vägledning sökas hos närmsta chef, jurist eller annan ansvarig funktion innan någon delning sker. Extra uppmärksamhet bör vidtagas där många olika funktioner är involverade i olika steg.

Lagar och avtal

Färdiga egenproducerade dokument betraktas i princip som offentliga handlingar, men inte automatiskt fri spridning.

Det finns flera regelverk som kan begränsa hur information får användas och delas:

  • GDPR reglerar hantering av personuppgifter och ställer krav på rättslig grund, säkerhet och transparens.

  • Offentlighets- och sekretesslagen (OSL) anger vilka handlingar som är offentliga respektive sekretessbelagda.

  • Arkivlagen styr bevarande och gallring av handlingar.

  • Exportkontroll kan begränsa delning av teknisk data eller forskningsresultat.

Utöver lagar regleras informationshantering genom avtal med externa parter, exempelvis:

  • Samarbetsavtal som kan innehålla sekretessklausuler eller begränsningar i publicering.

  • Personuppgiftsbiträdesavtal som specificerar hur personuppgifter får behandlas i tredjepartssystem.

För att säkerställa efterlevnad bör avtal och villkor kontrolleras, särskilt när flera parter och rättssystem är involverade.
IT-avdelningens systemförteckning ger en översikt över godkända plattformar och tillhörande riktlinjer.

Etik

Den som tillgängliggör information ansvarar för att följa KTH:s etiska policy (kan laddas hem på sidan KTH:s värdegrund ), god forskningssed och den statliga värdegrunden. Etiska överväganden är särskilt viktiga vid AI-genererad eller AI-analyserad information, eftersom system kan innehålla bias eller opacitet i källor.

Riktlinjer för etisk hantering:

  • Ta hänsyn till att AI-system kan ha inbyggda fördomar eller politiska vinklingar genom att testa och validera resultaten för att identifiera och åtgärda bias.

  • Dokumentera datakällor och processer för spårbar transparens, inklusive att ange när AI har använts.

  • Ha människan i loopen vid generering eller granskning av innehåll.

  • Minimera datainsamling och skydda integritet vid hantering av personuppgifter.

  • Beakta miljöpåverkan vid AI-användning samt om förtroendet för KTH kan påverkas.

Rekommendation

Innan information delas vidare ska ansvarsförhållanden verifieras, regelverk och avtal kontrolleras och etiska konsekvenser bedömas. Vid osäkerhet kring data, avtal, lagar eller ansvar ska vägledning sökas hos KTH:s jurister, dataskyddsombudet (DSO), IT-avdelningen eller Säkerhetsavdelningen. Dessutom bör risker med hur tredje part kan använda informationen beaktas – till exempel om data kan användas för spårning, sammanställning av KTH:s rutiner eller riktas mot organisationens eller medarbetares intressen. För att undvika misstag bör interna dokument inte kopieras in i externa AI-tjänster.

Sammanfattning

De centrala principerna i denna vägledning är ansvarsprincipen, lag- och avtalsprincipen, och etikprincipen. Genom att konsekvent fastställa ansvar, följa gällande regelverk, beakta etiska aspekter och söka auktoriserad vägledning vid osäkerhet bidrar varje medarbetare till att upprätthålla KTH:s trovärdighet och säkerhet vid hantering av information.