English version - Policy for the use of ICT tools with generative artificial intelligence at NTNU

Andre sider om KI - Kunstig intelligens ved NTNU

• Type dokument: Retningslinje
• Forvaltes av: Seksjon for Digital sikkerhet
• Godkjent av: Direktør for Organisasjon og infrastruktur
• Gjelder fra: 03.06.2025
• Neste revisjon innen: 30.09.2025
• Klassifisering: Åpen
• Referanse ISO: Ikke vurdert
• Referanse interne dokumenter: Retningslinje for bruk av kunstig intelligens ved NTNU er underlagt NTNUs Politikk for informasjonssikkerhet og IKT-reglementet
• Last ned retningslinjen som PDF

Formål

Retningslinjene skal sikre at bruk av IKT-verktøy med generativ kunstig intelligens (KI-verktøy) er lovlig, ansvarlig, etisk riktig og sikker. De baserer seg på rådene til Digitaliseringsdirektoratet samt nasjonale og europeiske lovverk, retningslinjer og anbefalinger.

Formålet med retningslinjen er å sikre at alle som bruker KI-verktøy

• bruker verktøy NTNU har godkjent.
• er klar over hvilke data som kan benyttes til hvilke oppgaver, og med hvilke KI-verktøy.
• er oppmerksomme på feil, skjevheter (bias) i datagrunnlag og svakheter ved bruk KI-verktøy.
• er kritisk til svar verktøyene gir og kontrollsjekker innhold før bruk.
• utfører kildekritikk av svarene verktøyene gir, og verifiserer troverdighet og relevans før innholdet tas i bruk.
• er åpen om når og hvordan KI-verktøy er brukt – og markerer dette tydelig i innhold som blir brukt.
• behandler andre sine data på riktig måte.
• holder seg oppdatert på lovverk og retningslinjer for oppgaven som skal gjøres.

og at NTNU som organisasjon sørger for at

• KI-verktøy som NTNU benytter følger nasjonale krav og anbefalinger og bygger på etiske prinsipper og respekterer menneskerettighetene, personvern og grunnleggende demokratiske prinsipper.
• NTNUs bruk av KI-verktøy er trygg og i tråd med prinsipper for ansvarlig og pålitelig bruk.
• NTNU er åpen om når og hvordan KI-verktøy blir brukt.
• det er tydelig hvem som har ansvaret for å gjøre tilgjengelig informasjon for forsvarlig bruk og ivaretakelse av menneskers rettigheter og plikter.
• virksomheten som helhet etterlever gjeldende lovverk og retningslinjer.
• ansatte og studenters behov for kompetanse og relevant erfaring for å kunne ta i bruk KI på en trygg og sikker måte, i henhold til KI-forordningen artikkel 4: «Providers and deployers of AI systems shall take measures to ensure, to their best extent, a sufficient level of AI literacy of their staff and other persons dealing with the operation and use of AI systems on their behalf, taking into account their technical knowledge, experience, education and training and the context the AI systems are to be used in, and considering the persons or groups of persons on whom the AI systems are to be use.”

Gjelder for

a. alle ansatte ved NTNU

b. alle studenter ved NTNU

c. alle som har tilgang til og/eller bruker NTNUs IKT-infrastruktur

Anvendelsesområde

Retningslinjen gjelder for bruk av IKT-verktøy med generativ kunstig intelligens innenfor alle virksomhetsområder ved NTNU.

Sentrale begreper og definisjoner

NTNU legger til grunn definisjonen gitt i Nasjonal strategi for kunstig intelligens (i):

«Kunstig intelligente systemer utfører handlinger, fysisk eller digitalt, basert på tolkning og behandling av strukturerte eller ustrukturerte data, i den hensikt å oppnå et gitt mål. Enkelte KI-systemer kan også tilpasse seg gjennom å analysere og ta hensyn til hvordan tidligere handlinger har påvirket omgivelsene.»

NTNU legger i denne retningslinjen til grunn Språkrådets anbefalte definisjoner (ii) for

• «Artificial intelligence» er kunstig intelligens og forkortes «KI»
• «prompt» er instruks
• «response» er svar

I definisjonen over inngår generativ kunstig intelligens og bruk av språkmodeller. Denne typen kunstig intelligens tolker informasjon, men skaper også nytt, originalt innhold som ligner på menneskeskapt innhold. For å lage nytt innhold brukes for eksempel KI-verktøy med innebygd generativ kunstig intelligens (språkmodeller) til å:

• lage svar basert på dine instrukser. Svar kan være tekst, bilder, lyd, video osv.
• oversette mellom språk, både muntlige språk og programmeringsspråk.

Retningslinjer for bruk av KI-verktøy på en trygg og sikker måte

Uavhengig av om du bruker verktøy som er godkjent for bruk ved NTNU, eller andre verktøy, er det noen overordnede prinsipper du må huske på når du bruker digitale verktøy med innebygd kunstig intelligens:

• KI-verktøy er en maskin, ikke et menneske - selv om det kan føles slik.
• KI-verktøy kan oppgi opplysninger som ser riktige ut, men som kan være helt feil (hallusinasjon).
• Alle KI-verktøy oppfører seg forskjellig, og du kan få ulike svar selv om du gir samme instruks flere ganger etter hverandre.
• KI-verktøy kan brukes til å lage overbevisende, men falskt innhold som kan være vanskelig å skille fra ekte informasjon.
• KI-verktøy kan henvise til kilder som ser reelle ut, men som er oppdiktet.
• KI-verktøy og språkmodeller er trent på data fra internett og som regel fra andre land enn Norge. Modellene har innebygde funksjoner, som for eksempel filtre for å fjerne upassende innhold eller tekniske tilpasninger for at svarene skal gis på en bestemt måte (alignment). Du vil kunne få svar basert på andre verdier enn det du er vant med, og svarene kan være både bevisst eller ubevisst sensurert.

Ved all bruk av KI-verktøy skal du:

• Være kritisk til det du leser. Se opp for unøyaktigheter og feilaktig informasjon.
• Utføre kildekritikk av svarene verktøyene gir, og verifiserer troverdighet og relevans før generert innhold tas i bruk.
• Vurdere risiko. Hva skjer om dataene du legger inn i KI-verktøyet kommer på avveie?
• Være kritisk til om KI-verktøyet bryter opphavsretten. Bruk NTNUs IPR-retningslinjer.
• Aldri lage falskt innhold eller bidra til spredning av falsk informasjon.
• Sørge for at KI aldri tar beslutninger alene.
• Be KI-verktøyet om begrunnelse for hvordan KI-verktøyet har kommet fram til svaret sitt. Kontroller kilder - du skal kunne forklare alle leddene i en beslutningskjede.
• Være åpen og si fra om når du bruker en KI-generert tekst, bilde, kode aller annet. Som hovedregel skal du tydelig merke innhold som du har brukt generativ KI til å lage. Du er ansvarlig for KI-generert innhold som du publiserer eller står som avsender av.

Bruk av åpent tilgjengelige KI-verktøy

Det finnes mange tilgjengelige kommersielle KI-verktøy på nett og hvis du bruker slike verktøy må du i tillegg til overordnede prinsipper i punkt 4, ta ytterligere forholdsregler for å sørge for sikker og trygg bruk.

Når du bruker et åpent KI-verktøy tilgjengelig på nett (som NTNU ikke har godkjent), deler du informasjon med eksterne. Dette kan være både uheldig og ulovlig, avhengig av hvilken informasjon du legger inn, og hvilke metadata som KI-verktøyet samler inn. I slike KI-verktøy skal du:

• aldri dele personlig informasjon, verken om deg selv eller andre.
• aldri dele konfidensiell informasjon eller informasjon som er unntatt offentligheten.
• aldri dele påloggingsinformasjon og passord.
• aldri lime inn innhold fra dokumenter som er unntatt offentligheten.

Alle brukere må være klar over at

• instrukser du gir blir lagret et sted du ikke vet noe om. Det vil være tilnærmet umulig å få innsyn i, hente tilbake eller slettet instruksene.
• hvis du gjør tilgjengelig personopplysninger om andre enn deg selv, er det du som bryter deres personvernrettigheter.
• bruk av KI-verktøy kan danne grunnlag for profilering. Det kan dannes profiler av deg og din bruk av KI-verktøyet. Dette kan brukes til for eksempel målrettet reklame eller andre formål som du ikke har kontroll over.
• instrukser du gir kan bli en del av språkmodellens treningsgrunnlag. Dette kan bli gjort tilgjengelig for andre brukere av KI-verktøyet, eller brukt til andre formål.
• instrukser du gir kan bli gjort tilgjengelig som offentlig data eller solgt til ukjente tredjeparter. Dette inkluderer filer eller annet innhold du legger inn i instruksene.
• dersom studenter og ansatte lager egne brukerkontoer i åpne, kommersielle KI-verktøy for bruk i studier og arbeid må det inngås en databehandleravtale hvis det skal behandles personopplysninger.

Kommersielle KI-verktøy er verktøy som i hovedsak er tilpasset privat og personlig bruk, ikke til bruk i en bedrift eller i offentlig virksomhet. Det kan også oppleves som lett å lage egne eller tilpassede KI-verktøy selv, men det er vanskelig å lage gode KI-verktøy.

Hvis du bruker kommersielle KI-verktøy i forbindelse med ditt studie- eller arbeidsforhold ved NTNU, skal du være klar over at du ikke skal/har lov til å dele annet enn åpen informasjon og personopplysninger skal ikke legges inn når du gir instrukser til et KI-verktøy. Disse verktøyene kan kun benyttes til generelle spørsmål. Bruk av kommersielle KI-verktøy til andre formål enn behandling av åpen informasjon må gjøres i tråd med øvrige retningslinjer i styringssystemet for informasjonssikkerhet.

Bruk av generativ KI i forskning

NTNU har utarbeidet en egen veileder for bruk av generativ kunstig intelligens i forskning:

• Forsker er ansvarlig for egne forskningsresultater.
• Vær åpen om bruk av generativ KI.
• Vær spesielt oppmerksom på spørsmål knyttet til personvern, konfidensialitet og immaterielle rettigheter når du bruker KI-verktøy.
• Respekter gjeldende nasjonal, EU- og internasjonal lovgivning, som i all forskning.
• Hold deg kontinuerlig oppdatert på hvordan du kan bruke generative KI-verktøy for å benytte dets fordeler, og være klar over ulemper og begrensninger.
• Unngå å bruke generative KI-verktøy i sensitive aktiviteter som kan påvirke andre forskere eller organisasjoner, for eksempel fagfellevurdering eller evaluering av søknader.

Veilederen baserer seg på, og blir oppdatert i henhold til anbefalt veileder fra EU-kommisjonen (iii).

Bruk av generativ KI i utdanning

Ved NTNU er det tillatt å bruke KI som hjelpemiddel ved utarbeidelse av studentoppgaver, men rammene for tillatt bruk av KI kan variere mellom fag og studienivå. Studenter har ansvar for å opptre på en akademisk redelig måte og å sette seg inn i gjeldende etiske prinsipper, lover og regler. Riktig bruk av KI-verktøy vil som hovedprinsipp være å benytte KI-verktøyet som et hjelpemiddel, men hvor besvarelsen utarbeides av studentene selv og kilder skal oppgis:

• Hvis du bruker KI-verktøy, skal du henvise til verktøyet du har brukt i oppgaven. Dette refereres til både i referanselista og i selve teksten
• Språkmodeller er ikke kilder til fakta, og kan ikke siteres for faktaopplysninger. Bruk originale kilder.
• Du som student har ansvar for å sette deg inn i gjeldende regler for den oppgaven du skal gjøre. Vær obs på forskjeller mellom fag og studienivå
• Dersom underviser legger opp til at studentene skal bruke KI-verktøy i undervisningen eller i forbindelse med eksamen, må det benyttes verktøy som er godkjent ved NTNU. Dette innebærer at verktøyet enten må være utviklet av NTNU, eller at NTNU har inngått en databehandleravtale med leverandøren. NTNU kan ikke pålegge studenter å bruke andre KI-verktøy enn de som er godkjent av NTNU.

Bruk av KI på en bærekraftig måte

Bruk av KI-verktøy kan gi store effektiviseringsgevinster, men det er viktig å bruke verktøyene på en bærekraftig måte. Dette innebærer bevissthet rundt energiforbruk, etisk bruk og samfunnsansvar. NTNU oppfordrer til ansvarlig bruk av KI for å sikre en positiv innvirkning på både miljø og samfunn.

Oppfordring til alle brukere:

• Bruk av generativ kunstig intelligens er veldig energikrevende. Du bør vurdere om oppgaven din kan løses på en enklere måte, som for eksempel ved å bruke en søkemotor.

Bruke KI i lyd, video- og bildebehandling

Når du bruker KI til behandling av lyd, bilde eller video:

• Ikke generer lyd, bilder eller video av andre personer uten samtykke. Lyd, bilder og video som identifiserer personer er alltid personopplysninger og omfattes av personvernforordningen.
• Bruk eller videreformidling av lyd, musikk, bilder eller videoer generert av kunstig intelligens skal merkes med at arbeidet er skapt ved hjelp av KI og KI-verktøyet skal krediteres. For eksempel «KI-generert bilde: Microsoft Copilot».
• KI-generert lyd, musikk, bilder og video kan også være omfattet av opphavsrett. Du plikter å sette deg inn i dokumentasjon fra KI-verktøyet om hvordan tjenesten forholder seg til opphavsrett.

Bruk av IKT-verktøy med innebygd KI-funksjonalitet

KI-funksjonalitet blir i større grad enn tidligere bygd inn i mange ordinære applikasjoner og tilgjengelige IKT-verktøy, som for eksempel tekstbehandling, epost og samtaleverktøy. IKT-verktøy som NTNU har gjort tilgjengelig for deg er vurdert og godkjent for en bestemt type bruk, men ikke alle applikasjoner kan brukes til alle formål.

Alle brukere må være klar over at

• du som bruker plikter å gjøre deg kjent med og følge de retningslinjene som gjelder for IKT-verktøyet du skal bruke.
• NTNU gjør tilgjengelig informasjon på Innsida om hvilke retningslinjer som gjelder for IKT-verktøy som er vurdert og godkjent.

Bruke KI til utvikling av kode

Når du bruker KI-verktøy til kodegenering eller programvareutvikling:

• Bruk skal kun være en støtte i arbeidsprosessen. Du som utvikler må alltid kvalitetssjekke og vurdere koden før den kan settes i produksjon. Husk at koden skal kunne vedlikeholdes over tid.
• Det er viktig å ha et bevisst forhold til hvilken språkmodell som benyttes til kodegenerering. Språkmodeller er ikke like, heller ikke til kode.
• Vær ekstra bevisst på sikkerheten. Koden som blir generert kan inneholde sårbarheter som kan skade NTNUs digitale infrastruktur.
• Vær bevisst på språkmodellens opphavsland ved generering av kode.

Bruk av generativ KI i administrativ saksbehandling

Når generativ KI skal brukes i administrativ saksbehandling er det strengere regler enn øvrig bruk. NTNU utøver offentlig myndighet og skal følge de til enhver tid gjeldende lovverk og retningslinjer for offentlig saksbehandling. Det skal være full åpenhet om når og hvordan KI-verktøy brukes i administrativ saksbehandling på NTNU, og bruken av KI-verktøy skal være etterprøvbart.

• Bruk av generativ KI i administrativ saksbehandling skal oppfylle kravene til forsvarlig saksbehandling etter forvaltningsloven, og åpenhet og transparens etter offentleglova.
• Hvis generativ KI skal benyttes i form av automatiserte avgjørelser innen saksbehandling skal prosesseier sørge for at bruken samsvarer med §11 – 13 i forslag til ny forvaltningslov (oppdateres når loven er vedtatt), og harmoniserer med artikkel 22 i personvernforordningen.
• Generativ KI skal aldri ta beslutninger alene. Kontroll av kilder som verifiserer innholdet må gjennomføres.
• Når generativ KI skal benyttes som beslutningsstøtte må det gjøres grundige vurderinger på forhånd i tråd med styringssystemet for informasjonssikkerhet.
• Hvis generativ KI benyttes i administrativ saksbehandling, må det vurderes om chatloggen med KI-verktøyet bør arkiveres i sak- og arkivsystemet Elements, for å sikre at beslutninger er etterprøvbare og basert på kilder som er ekte.
• Bruk av generativ KI som beslutningsstøtte skal knyttes til definerte saksprosesser og skal godkjennes på forhånd i samråd med prosessansvarlig.
• All bruk av generativ KI til administrativ saksbehandling skal registreres i behandlingsprotokoll for behandling av personopplysninger i administrativ saksbehandling.
• Ved innkjøp av KI-verktøy eller IKT-verktøy med innebygd KI-funksjonalitet, skal det stilles krav til leverandøren som sikrer lovlig og trygg bruk av KI. NTNU har egne anskaffelsesprosedyrer hvor vurdering av KI skal inngå hvis det er aktuelt. Det skal utarbeides egne planer for forvaltning og avslutning av bruk (exit-strategi).
• Ansatte som bruker generativ KI i administrativ saksbehandling, skal ha opplæring i bruk av verktøyet for å forstå verktøyets funksjoner og begrensninger. Det er prosesseiers ansvar å sørge for at opplæring skjer (oppgaven kan delegeres til prosessansvarlig).

Uakseptabel bruk av KI-verktøy

KI-forordningen er ikke ennå formelt norsk lov, men NTNU velger likevel å følge forordningens intensjon. I henhold til KI-forordningen er det noen former for bruk av KI som er uakseptabel, og derfor er forbudt. KI-verktøy som for eksempel gjenkjenner følelser, villeder eller manipulerer mennesker til å påføre seg eller andre skade, sosial poenggivning eller biometriske kategoriseringssystem er forbudt. Lista er ikke uttømmende, og bruk av KI-verktøy som kan falle inn under KI-forordningens bestemmelser om uakseptabel bruk skal ikke forekomme (iv).

Kontroll og etterlevelse

Avvik og bekymringer rundt feil bruk av KI skal rapporteres

Brudd på retningslinjene eller bekymringer rundt feil bruk av KI skal rapporteres til nærmeste leder, eller i NTNUs avvikssystem. Brudd på retningslinjene kan føre til reaksjoner som at tilganger fjernes, varsling til tilsynsmyndigheter eller andre reaksjoner i henhold til NTNUs IKT-reglement.

Internkontroll og etterlevelse av retningslinjen

Etterlevelse av retningslinjen gjennomføres som del av årlig internkontroll av administrative saksprosesser i regi av Avdeling for utvikling og virksomhetsstyring.

Roller og ansvar

Rektor har delegert til organisasjonsdirektøren å godkjenne, koordinere og iverksette nødvendige tiltak, herunder pålegge fakultetene og avdelingene i fellesadministrasjonen plikter for å sikre at aktivitet skjer i henhold til NTNUs mål og overordnede retningslinjer og lovbestemte krav samt at informasjonssikkerheten fungerer tilfredsstillende.

Linjeledere, systemeiere og prosesseiere har ansvar for at retningslinjene etterleves, at opplæring blir gitt og at utvikling skjer i tråd med øvrige retningslinjer i styringssystemet for informasjonssikkerhet.

Henvisninger

For å sikre at NTNUs retningslinjer for bruk av generativ kunstig intelligens følges, henvises det til følgende lovverk som til sammen gir et juridisk rammeverk for bruk av generativ kunstig intelligens ved NTNU:

• Personvernforordningen
• KI-forordningen
• Arbeidsmiljøloven
• Offentleglova
• Forvaltningsloven
• Likestillings- og diskrimineringsloven
• Åndsverksloven
• Sikkerhetsloven
• Ekomloven

Referanser

• i Strategi for kunstig intelligens - regjeringen.no
• ii Kva er ein «prompt» på norsk? - Språkrådet
• iii Living guidelines on the responsible use of generative AI in research | Research and innovation
• iv Regulation - EU - 2024/1689 - EN - EUR-Lex