Tekoälyn hallintamalli ei ole mystinen asiakirja

Kirjoittaja: Taru Salokangas

Monessa kunnassa ja kaupungissa tekoälyn käyttö on jo alkanut, mutta hallintamalli tuntuu vielä isolta ja vaikealta asialta. Todellisuudessa sen ei tarvitse olla raskas juridinen koneisto, vaan käytännön päätöksenteon malli: mitä tekoälyllä saa tehdä, millä välineillä, millä tiedoilla ja kuka lopputuloksesta vastaa.

Hallintamalli kuulostaa helposti raskaammalta kuin se on

Kun puhutaan tekoälyn hallintamallista, moni ajattelee ensimmäisenä lakiviidakkoa, riskiluokituksia, tietosuojaa, tietoturvaa, hankintoja ja pitkiä arviointilomakkeita. Kaikki nämä ovat tärkeitä asioita, mutta jos niistä aloitetaan, kokonaisuus voi tuntua niin vaikealta, että liikkeellelähtö lykkääntyy.

Samalla tekoäly ei odota. Henkilöstö kokeilee jo erilaisia välineitä, Copilotin kaltaiset työkalut tulevat osaksi arkea, järjestelmätoimittajat lisäävät palveluihinsa tekoälyominaisuuksia ja kuntalaiset alkavat kohdata tekoälyä palveluissa suoraan tai välillisesti. Siksi hallintamallia ei kannata ajatella paperina, joka tehdään joskus valmiiksi, vaan rakenteena, joka auttaa tekemään parempia päätöksiä jo nyt.

Yksinkertaisimmillaan hyvä hallintamalli vastaa neljään kysymykseen: mitä välineitä työssä saa käyttää, mitä tietoa niihin saa viedä, mihin tarkoitukseen tekoälyä käytetään ja kuka vastaa lopputuloksesta.

Valtiokonttorin malli antaa hyvän perusrungon

Valtiokonttorin tekoälyn hallintamalli on hyödyllinen esimerkki suomalaiselle julkishallinnolle, koska se ei tarkastele tekoälyä irrallisena teknologiahankkeena. Mallissa tekoälyn hallinta kytkeytyy tiedonhallintaan, normatiiviseen ohjaukseen, käyttötapausten arviointiin, vastuisiin ja käytön aikaiseen valvontaan.

Tämä on kunnille ja kaupungeille tärkeä ajatus. Tekoälyn hallintaa ei tarvitse rakentaa tyhjästä eikä sen tarvitse muodostaa uutta hallinnollista saareketta. Se voidaan liittää olemassa oleviin rakenteisiin: tiedonhallintaan, tietosuojaan, tietoturvaan, hankintoihin, riskienhallintaan, palveluomistajuuteen ja johtamiseen.

Valtiokonttorin mallissa tekoälyn käytölle on neljä periaatetta. Käytetään ensisijaisesti organisaation suosittelemia tekoälyjärjestelmiä, syötetään järjestelmään vain julkista tietoa ilman erillistä päätöstä, tarkistetaan tekoälyn antamat tulokset ennen jatkokäyttöä ja käytetään tekoälyn hallintamallia.

Kunnalle tämä on hyvä minimitaso, mutta periaatteet kannattaa kirjoittaa oman arjen kielelle.

Kunnan tekoälyn hallinta voi alkaa neljästä periaatteesta

Ensimmäinen periaate on, että työasioissa käytetään vain hyväksyttyjä tekoälyratkaisuja. Tämä ei ole tekoälyn käytön jarruttamista, vaan harmaan käytön vähentämistä. Jos organisaatio ei kerro selvästi, mitä välineitä saa käyttää, ihmiset käyttävät sitä, mikä on helpointa ja tutuinta. Silloin kunnan aineistoa voi päätyä palveluihin, joiden käyttöehtoja, tietosuojaa tai tietoturvaa ei ole arvioitu.

Toinen periaate on, että tekoälyllä käsitellään vain sellaista tietoa, jonka käsittelyyn kyseinen väline on hyväksytty. Tämä on käytännössä parempi ohje kuin pelkkä “vain julkista tietoa” -sääntö. Kunnan arjessa on erilaisia tietoja ja erilaisia käyttötarpeita. Joissain tilanteissa käsittelyn pitää rajoittua julkiseen tietoon, mutta myöhemmin voi olla myös käyttötapauksia, joissa henkilötietojen käsittely on mahdollista, jos ympäristö, sopimukset, käyttötarkoitus ja arvioinnit ovat kunnossa.

Kolmas periaate on, että ihminen vastaa aina lopputuloksesta. Tämä on viranomaistehtävissä ratkaisevaa. Tekoäly voi auttaa luonnostelemaan, tiivistämään, jäsentämään ja analysoimaan, mutta virkavastuu ei siirry järjestelmälle. Jos tekoälyn tuotos päätyy päätösvalmisteluun, asiakasviestintään tai julkiseen materiaaliin, ihmisen on ymmärrettävä, tarkistettava ja hyväksyttävä se.

Neljäs periaate on, että uudet tekoälyn käyttötapaukset arvioidaan ennen käyttöönottoa riskitason mukaan. Tämä siirtää hallinnan pois yksittäisestä “saa tai ei saa” -ohjeesta kohti päätöksentekoprosessia. Kaikkea käyttöä ei tarvitse käsitellä raskaasti, mutta kaikkea ei myöskään voi jättää yksittäisen työntekijän harkinnan varaan.

Mistä kunta voi aloittaa - hankintamalli tekoälyn käytölle kaaviokuva

Käyttötapaus ratkaisee enemmän kuin työkalun nimi

Tekoälyn hallintaa ei kannata rakentaa vain työkalulistan varaan. Se kannattaa rakentaa käyttötapausten varaan.

Samaa työkalua voidaan käyttää sekä matalariskisiin että korkean riskin käyttötapauksiin, joten ratkaisevaa ei ole työkalun nimi vaan se, miten ja mihin tarkoitukseen sitä käytetään. Copilotin käyttäminen julkisen tiedotteen kielenhuoltoon on eri asia kuin sen käyttäminen salassa pidettävien asiakirjojen analysointiin. Chatbot kunnan liikuntapalvelujen verkkosivuilla on eri asia kuin chatbot, joka ohjaa kuntalaista etuuksiin, palveluihin tai viranomaisprosessiin. Tekoälyllä tehty ideointi ei ole sama asia kuin tekoälyn käyttäminen päätösehdotuksen muodostamiseen.

Siksi hallintamallin käytännöllisin osa on käyttötapausten arviointi. Siinä ei kysytä vain, mikä työkalu on käytössä, vaan mihin tarkoitukseen sitä käytetään, mitä tietoa se käsittelee, kuka omistaa käyttötapauksen, mikä on ihmisen rooli ja voiko tekoälyn tuotos vaikuttaa kuntalaisen oikeuksiin, palveluihin, etuuksiin tai kohteluun.

Erityisen tärkeä kysymys on tämä: mitä tekoäly ei saa tehdä tässä käyttötapauksessa?

Tuo kysymys pakottaa rajaamaan käytön. Ilman rajausta tekoäly voi huomaamatta liukua avustavasta työstä päätöksenteon ytimeen. Aluksi järjestelmää käytetään tekstin jäsentämiseen, seuraavaksi johtopäätösten tekemiseen ja lopulta suosittelemaan, miten ihmisen asia pitäisi ratkaista. Juuri tällaisia siirtymiä hallintamallin pitää tehdä näkyväksi.

Riskiluokittelu tehdään käyttötilanteen perusteella

Tekoälystä keskusteltaessa menevät helposti sekaisin työkalut, mallit, järjestelmät ja käyttötarkoitukset. ChatGPT, Copilot, chatbot, kielimalli, automaatio, agentti ja päätöksenteon tuki eivät tarkoita samaa asiaa. Siksi riskiluokittelua ei kannata tehdä pelkän teknologian nimen perusteella.

Käytännöllinen tapa on tehdä arvio kahdessa vaiheessa.

Ensin kysytään, mikä teknologia tai palvelu on kyseessä. Onko kyse yleiskäyttöisestä tekoälystä, chatbotista, asiakirja-analyysistä, ennustemallista, ohjelmistorobotiikan ja tekoälyn yhdistelmästä, agentista vai päätöksentekoa tukevasta järjestelmästä?

Sen jälkeen kysytään, mihin sitä käytetään kunnan toiminnassa. Käsitelläänkö julkista tietoa, henkilötietoja, salassa pidettävää tietoa tai erityisiin henkilötietoryhmiin kuuluvaa tietoa? Onko kyse sisäisestä työn tehostamisesta, asiakasvuorovaikutuksesta, valmistelusta, luokittelusta, valvonnasta tai päätöksenteon tuesta? Voiko lopputulos vaikuttaa yksittäisen ihmisen asemaan?

Vasta näiden kysymysten jälkeen voidaan arvioida, onko käyttö vähäriskistä, rajoitetun riskin käyttöä vai sellaista, joka vaatii tarkempaa juridista, tietosuoja- ja tietoturva-arviointia.

Tämä vähentää sekä ylisääntelyä että alisääntelyä. Kaikkea tekoälyn käyttöä ei pidä kohdella korkean riskin toimintana, sillä silloin arjen hyödyllinen käyttö voi tyrehtyä turhaan. Toisaalta päätöksentekoon, palveluihin pääsyyn, yksilöiden arviointiin tai viranomaisvaikutuksiin liittyviä käyttötapauksia ei saa käsitellä kevyenä toimistotyön tehostamisena.

Mistä kunta voi aloittaa?

Hallintamallin rakentamista ei tarvitse aloittaa täydellisestä mallista. Käytännössä alkuun pääsee viidellä askeleella.

Ensimmäiseksi kannattaa nimetä hyväksytyt tekoälyvälineet. Henkilöstön pitää tietää, mitä välineitä työasioissa saa käyttää ja millä ehdoilla.

Toiseksi kannattaa kirjoittaa neljä yhteistä periaatetta: hyväksytyt välineet, hyväksytty tiedon käsittely, ihmisen vastuu ja käyttötapausten arviointi.

Kolmanneksi kannattaa ottaa käyttöön kevyt käyttötapauslomake. Sen ei tarvitse aluksi olla täydellinen, mutta sen pitää ohjata kysymään oikeat kysymykset: mihin tekoälyä käytetään, mitä tietoa käsitellään, kuka vastaa, miten tulos tarkistetaan ja mitä tekoäly ei saa tehdä.

Neljänneksi käyttötapaukset kannattaa jakaa kolmeen koriin. Osa käytöstä voi olla vapaata hyväksytyissä välineissä, osa pitää rekisteröidä ja arvioida kevyesti, ja osa vaatii erillisen hyväksynnän ennen käyttöönottoa.

Viidenneksi pitää sopia vastuut. Kuka omistaa käyttötapauksen, kuka arvioi tietosuojan, kuka arvioi tietoturvan, kuka hyväksyy käyttöönoton ja kuka seuraa käyttöä? Jos vastuita ei nimetä, tekoälyn hallinta jää helposti kaikkien ja ei kenenkään vastuulle.

Hyvä hallintamalli ei estä tekoälyn käyttöä

Tekoälyn hallintamallin tarkoitus ei ole tehdä tekoälyn käytöstä vaikeaa. Sen tarkoitus on tehdä käytöstä ymmärrettävää, turvallista ja johdettavaa.

Kun välineet, tiedon käsittely, ihmisen vastuu ja käyttötapausten arviointi ovat selvät, työntekijä uskaltaa käyttää tekoälyä paremmin. Esihenkilö ymmärtää, mitä hänen pitää johtaa. Tietohallinto, tietosuoja ja tietoturva tulevat mukaan oikeassa kohdassa. Johto saa näkyvyyden siihen, missä tekoälyä käytetään ja millä ehdoilla.

Tekoälyn hallintamalli ei siis ole mystinen asiakirja. Se on yhteinen tapa päättää, missä tekoälyä voi käyttää vapaasti, missä pitää hidastaa ja missä tarvitaan erillinen lupa.

Juuri siksi se kannattaa rakentaa ennen kuin käyttö leviää hallitsemattomasti.

Taru Salokangas

Hi, I’m Taru – one of Finland’s most experienced Squarespace designers. I help small business owners create beautiful, clear and strategic websites with Squarespace – fast and without the tech overwhelm.

Whether it’s a one-day website, custom design or DIY support via my Squarespace Supermarket, I make websites easy, fun and effective.

https://tarusalokangas.com
Seuraava

Tekoälysäädös ei ole IT:n asia — se on johtoryhmän asia