Veldig fint å se at Digdir er ute med konkrete råd på dette feltet. Jeg svarer på oppfordringen om å gi tilbakemelding med følgende:
Et perspektiv som fort glemmes, men som jeg tenker hører hjemme blant disse rådene - kanskje som et tidlig sjekkpunkt, er hensynet til de ansatte som tar i bruk GKI som arbeidsverktøy. Hva slags risiko utsettes den ansatte for ved bruk av verktøyet? Arbeidsgiver har et ansvar her. Det kan vel sies at et slikt perspektiv kan tas inn i en generell risikovurdering som er nevnt i første punkt, og at det har en side til punkt to om riktig opplæring, men jeg tenker at dette hensynet er konkret og viktig nok til å stå alene.
Først og fremst vil det være en vurdering av hvordan verktøyet behandler de ansattes personopplysninger. Dette jo ikke spesifikt for GKI, men kanskje særlig viktig med tanke på de muligheter en GKI har til å analysere og generere opplysninger om brukerne sine. Muligheter som vi gjerne ikke har anledning til å få innblikk i. Personopplysninger i denne sammenhengen kan være for eksempel påloggingsinformasjon, monitorering av bruk (bruksmetrikker), sikkerhetslogger og analyse av hvordan noen ordlegger seg i sine "prompts/ledetekster" og profileringer ut fra dette.
Råd i denne sammenheng kan kanskje knytte seg til hvordan en virksomhet kan gå frem for å vurdere disse situasjonene. For det som vil være likt vurderinger etter GDPR holder det med en påminnelse. I tillegg kan trekkes frem eventuelle særlige momenter for GKI. Råd kan også dreie seg om hvordan man kan bruke de forskjellige GKI-verktøyene på en trygg måte - med brukeren selv som perspektiv.