DEBATT

Unyansert om AI-juks og personvern

Innleggsforfatterne mener universiteter og høyskoler bør utforske mulighetene i personvernregelverket ved avveining av de ulike alternativene knyttet til håndtering av AI-juks.

Inge Kristian Brodersen og Jeppe Songe-Møller i advokatfirmaet Schjødt mener personvernreglene ikke nødvendigvis står i veien for bruk av verktøy fra eksterne selskaper i forbindelse med plagiatkontroll av studentoppgaver og -besvarelser.
Inge Kristian Brodersen og Jeppe Songe-Møller i advokatfirmaet Schjødt mener personvernreglene ikke nødvendigvis står i veien for bruk av verktøy fra eksterne selskaper i forbindelse med plagiatkontroll av studentoppgaver og -besvarelser. Foto: Schjødt
Av Jeppe Songe-Møller og Inge Kristian Brodersen, advokater i Schjødt
27. mars 2023 - 12:09

Flere medier har satt fokus på studenters såkalte «AI-juks», det vil si bruk av ChatGPT og annen programvare basert på kunstig intelligens (AI) ved innlevering av oppgaver og besvarelser. Det er enighet om at slik bruk av kunstig intelligens er definert som juks eller plagiat i dagens regelverk.

En utfordring er at teknologien ser ut til å ha løpt fra plagiatkontrollene. Frykten er derfor at studenter leverer oppgaver som de har fått AI til å produsere, og at dette ikke blir oppdaget

Universiteter og høyskoler arbeider med å forstå hvordan studenters bruk av AI-basert programvare påvirker eksamensformer. NTNU skal ha opprettet en ekspertgruppe for å løse utfordringer med studenters bruk av ChatGPT. Marit Reitan, prorektor for utdanning ved NTNU, uttalte til VG den 21. januar at deres plagiatkontroll ikke er god nok til å avsløre bruken. 

Begrensning og kontroll

Det diskuteres mange typer tiltak. Ett alternativ er å innføre flere skoleeksamener med begrenset tilgang til internett generelt og AI-basert programvare spesielt. Et annet alternativ kan være programmatisk kontroll av oppgaver, slik at bruk av kunstig intelligens automatisk vil kunne gjenkjennes og at studenter som bruker ChatGPT eller tilsvarende AI-baserte løsninger, i siste instans vil kunne identifiseres. Det siste vil kreve at læringsinstitusjonene mest sannsynlig må ta i bruk programvare levert av eksterne leverandører. 

I en artikkel i VG 20. mars står det at «en av utfordringene til universitetene er at de grunnet personvernet ikke kan dele besvarelser med eksterne selskaper for å finne ut hvor stor grad roboter er benyttet» (vår understrekning).

Vi mener den siterte teksten viser en unyansert forståelse av personvernreglene. I henhold til norsk rett vil universitetet eller høyskolen som «behandlingsansvarlig» kunne utpeke en ekstern «databehandler». Sistnevnte kan være nettopp en leverandør av analysetjeneste som, ved hjelp av dedikert programvare, kverner gjennom hundrevis av besvarelser for å avsløre om studentene har brukt ChatGPT eller annen AI-baserte løsninger.

Personvernregelverket forutsetter at utdanningsinstitusjonenes bruk av en slik leverandør reguleres av en egen databehandleravtale. Ytterligere personverntiltak bør også vurderes. Eksempelvis kan utdanningsinstitusjonene pseudonymisere personopplysningene, slik at databehandleren aldri «ser» identiteten til studentene i klartekst. Hvis leverandøren får «AI-treff» på en besvarelse, kan leverandør gi beskjed til utdanningsinstitusjonen, som foretar selve identifiseringen og følger opp saken med student.

Muligheter som bør utforskes

I prinsippet skiller ikke vurderingen seg fra enhver annen bruk av eksterne databehandlere. Utdanningsinstitusjonen må derfor vurdere prinsipper for behandlingen og behandlingens lovlighet etter GDPR art. 5 og 6, herunder bruk av tekniske og organisatoriske tiltak, blant annet utføre risikovurdering etter GDPR art. 24 og 32.

Videre må utdanningsinstitusjonen sikre at studenter blir informert i samsvar med GDPR art. 12 – 14. Hvis det skal brukes en leverandør utenfor EU, må det vurderes om behandlingen vil kunne medføre overføring av personopplysninger til såkalte tredjeland (i så fall bør det gjøres vurderinger knyttet til «Schrems II»-tematikk blant annet utarbeidelse av såkalt «Transfer Impact Assessment»).

I tillegg må det som nevnt inngås databehandleravtale i samsvar med GDPR art. 28.

Vi mener at universiteter og høyskoler bør utforske mulighetene i personvernregelverket ved avveining av de ulike alternativene knyttet til håndtering av AI-juks.

Stadig flere lærere opplever at elevene jukser ved å bruke kunstig intelligens til å løse skoleoppgaver.
Les også

Seks av ti lærere sier de har tatt elever i KI-juks

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.