Tekoälypolitiikka on käytännössä yrityksen käyttöohje tekoälyn arkeen. Sen tehtävä ei ole kuulostaa juristilta vaan vastata tavallisiin kysymyksiin: mitä työkaluja saa käyttää, mitä dataa niihin ei saa syöttää ja milloin pitää pysähtyä kysymään.
- • Hyvä politiikka on selvä ja lyhyt, ei raskas dokumentti jota kukaan ei lue
- • Tärkein kohta on lähes aina dataraja: mitä tietoa ei saa viedä tekoälypalveluihin kuten Claudeen tai Copilotiin
- • Pelkkä kieltolista ei riitä. Ihmisille pitää kertoa myös mikä on sallittua ja miten toimitaan epäselvissä tilanteissa
- • Politiikka toimii vasta silloin, kun se kytketään omistajuuteen, koulutukseen ja käytännön esimerkkeihin
Mikä tekoälypolitiikka on ja miksi sellainen tarvitaan
Tekoälypolitiikka ei ole ensisijaisesti juridinen dokumentti. Se on käytännön käyttölinjaus. Sen tehtävä on auttaa ihmisiä toimimaan oikein silloin kun he käyttävät ChatGPT:tä, Claudea, Copilotia, Geminiä tai muuta tekoälytyökalua oikeassa työssä.
Käytännössä politiikkaa tarvitaan siksi, että ilman sitä jokainen joutuu ratkaisemaan samat kysymykset yksin. Saako tähän syöttää asiakkaan sähköpostin? Saako tarjousluonnoksen tiivistää tekoälyllä? Saako kokousmuistiot käsitellä Copilotissa? Entä HR:n sisäinen materiaali? Jos näihin kysymyksiin ei ole yhteistä vastausta, käyttö kyllä jatkuu, mutta jokainen tekee omat tulkintansa.
Tämän takia politiikka kuuluu luontevasti osaksi laajempaa AI governance -mallia. Hallintamalli kertoo kuka omistaa kokonaisuuden. Politiikka kertoo käyttäjälle, miten tämä näkyy omassa työssä.
Pidä ensimmäinen versio luettavana
Mitä hyvään ensimmäiseen versioon kuuluu
Olen huomannut, että ensimmäinen käyttökelpoinen politiikka syntyy yleensä silloin, kun siihen kirjataan vain ne asiat, jotka oikeasti ohjaavat käyttöä. Moni yritys tekee tässä virheen ja kirjoittaa pitkän listan periaatteita, mutta jättää kertomatta kaikkein tärkeimmät päivittäisten työtehtävien rajat.
| Kohta | Miksi tämä on mukana | Mitä käyttäjän pitää ymmärtää |
|---|---|---|
| Tarkoitus ja soveltamisala | Jotta jokainen tietää ketä politiikka koskee | Tämä ei ole vain IT:n dokumentti vaan koko organisaation käyttölinjaus |
| Sallitut työkalut | Koska eri palveluilla on eri datakäytännöt ja hallintatasot | Sama työkalu voi olla sallittu eri ehdoilla eri tilitasoilla |
| Datarajat | Koska suurin käytännön riski syntyy usein liian huolettomasta syöttämisestä | Kaikkea aineistoa ei voi käsitellä samalla tavalla |
| Ihmisen vastuu | Jotta tekoälyä ei kohdella automaattisena totuutena | Tekoäly voi auttaa, mutta vastuu ei siirry mallille |
| Poikkeukset ja hyväksyntä | Koska kaikki tilanteet eivät sovi suoraan yleiseen ohjeeseen | Epäselvät tapaukset pitää osata nostaa arvioitaviksi |
Tämä kuusiosainen runko jakaa politiikan tarkoitukseen, sallittuihin työkaluihin, datarajoihin, ihmisen vastuuseen, poikkeuksiin ja omistajuuteen. Aimitenin politiikkarunkoa voitte käyttää ensimmäisen version pohjana. Klikkaa eri kohtia nähdäksesi mitä kuhunkin osaan yleensä kannattaa kirjata.
Aimitenin politiikkarunko
Käytämme tätä kuusiosaista runkoa asiakastyössä, kun pk-yritys lähtee laatimaan ensimmäistä toimivaa tekoälypolitiikkaansa. Valitse osa ja katso mitä kuhunkin yleensä kannattaa kirjata. Tämä ei ole valmis dokumentti, vaan runko jota voi sovittaa oman organisaation tarpeisiin.
Politiikan osat
Miksi tämä kohta kuuluu politiikkaan
1. Politiikan tavoite ja kohderyhmä
Tämä estää sen, että ohje jää irralliseksi IT-dokumentiksi tai koskee käytännössä vain yhtä tiimiä.
Mitä tähän yleensä kirjataan
- ketä politiikka koskee: johto, työntekijät, alihankkijat
- mitä työkaluja ja käyttötapoja politiikka kattaa
- mikä on politiikan tavoite: turvallinen, hyödyllinen ja johdonmukainen käyttö
Esimerkkimuotoilu
Tämä politiikka ohjaa generatiivisen tekoälyn käyttöä yrityksessämme. Tavoitteena on mahdollistaa hyödyllinen käyttö ilman, että asiakasdata, henkilötiedot tai päätösvastuu hämärtyvät.
Hyvä politiikka ei yritä kuulostaa juristilta. Sen pitää olla sellainen, että esihenkilö ja työntekijä ymmärtävät mitä saa tehdä jo ensimmäisellä lukukerralla. Vertailukohtaa virallisesta lähteestä löytyy Euroopan komission AI Pact -ohjeistuksesta.
Mitä dataa ei pidä syöttää avoimiin työkaluihin
Jos politiikasta pitäisi nostaa vain yksi kohta, nostaisin tämän. Useimmissa organisaatioissa suurin käytännön riski ei synny siitä, että malli keksii väärän vastauksen, vaan siitä että herkkää aineistoa syötetään palveluun, jonka käyttöehdot, datakäytännöt tai palvelutaso eivät sovi tilanteeseen.
- Älä syötä avoimiin tai henkilökohtaisiin tileihin henkilötietoja, asiakasdataa tai luottamuksellisia sopimusluonnoksia
- Rajaa tarjoukset, talousaineistot ja HR-materiaalit vähintään yritystason ympäristöihin tai erikseen hyväksyttyihin prosesseihin
- Jos aineistoa voi anonymisoida tai tiivistää turvallisesti, kerro politiikassa milloin se on sallittua ja kuka vastaa arviosta
- Muista myös liittimet, lisäosat ja automaatiot. Pelkkä hyväksytty päätyökalu ei ratkaise kaikkea
Tähän liittyvät erot ilmais- ja yritystasojen välillä käyn tarkemmin läpi tietoturvaoppaassa. Politiikan tehtävä ei ole toistaa kaikkia teknisiä yksityiskohtia, vaan muuttaa ne käyttökelpoiseksi ohjeeksi omalle henkilöstölle.
Politiikka ei saa jäädä vain kieltolistaksi
Milloin tarvitaan erillinen hyväksyntä
Kaikki tilanteet eivät kuulu samaan koriin. Sisäinen luonnostelu, kokousmuistion tiivistäminen ja asiakasvalintaa ohjaava käyttö eivät ole hallinnallisesti sama asia. Siksi politiikan kannattaa kertoa myös milloin pelkkä yleinen sallittu käyttö ei enää riitä.
Asiakasrajapinta
Jos tuotos lähtee asiakkaalle tai vaikuttaa asiakasviestintään, erillinen hyväksyntä tai vähintään nimetty tarkistus on usein järkevä.
Henkilöstö ja HR
Rekrytointi, suoriutumisen arviointi tai työntekijädata vaativat yleensä vahvemman pysähdyspisteen ennen käyttöönottoa.
Päätöstuki
Jos tekoäly vaikuttaa luokitteluun, priorisointiin tai päätösehdotuksiin, asia pitää arvioida erikseen ennen laajempaa käyttöä.
Liittimet ja automaatiot
Tilanne muuttuu olennaisesti, jos mukaan tulee integraatioita, automatisoituja toimia tai uusia datalähteitä.
Tässä kohtaa politiikka kohtaa käytännön riskien pikaluokittelun. Politiikka sanoo, että tällaiset tapaukset pitää nostaa esiin. Riskienhallinta taas kertoo miten arviointi tehdään ilman että jokaisesta tilanteesta syntyy raskas projekti.
Miten politiikka saadaan oikeasti käyttöön
Tämä on ehkä tärkein kohta koko sivulla. Politiikka voi olla sisällöltään täysin oikea ja silti käytännössä hyödytön, jos kukaan ei osaa soveltaa sitä omassa työssään. Siksi hyvä jalkautus on harvoin vain intranet-linkki. Tarvitaan lyhyt koulutus, esihenkilöiden tuki ja paikka, johon epäselvät tilanteet nostetaan.
Tässä kohtaa politiikka liittyy myös EU:n tekoälyasetuksen tekoälylukutaitoa koskevaan velvoitteeseen. Organisaation pitää huolehtia siitä, että ihmiset ymmärtävät mitä työkaluilta voi odottaa, missä rajat kulkevat ja miten toimitaan silloin kun tilanne ei ole aivan suoraviivainen.
| Tilanne | Heikko tapa | Toimiva tapa |
|---|---|---|
| Politiikka julkaistaan | Dokumentti jaetaan ilman keskustelua | Avainhenkilöt käyvät läpi politiikan omien esimerkkiensä kautta |
| Uusi tilanne syntyy | Jokainen arvioi itse | Asia nostetaan arvioitavaksi sovitulla kevyellä mallilla |
| Työkalu päivittyy tai vaihtuu | Politiikka unohtuu päivittää | Omistaja käy muutokset läpi osana säännöllistä katselmusta |
| Työntekijä epäröi | Pysähtyy kokonaan tai käyttää piilossa | Tietää keneltä kysyy ja mitä peruslogiikka sanoo jo valmiiksi |
Tästä syystä politiikka toimii parhaiten yhdessä koulutuksen, konsultoinnin tai vähintään nimetyn sisäisen vetäjän kanssa. Jos organisaatiossa on yksi tai kaksi henkilöä, jotka vievät aihetta eteenpäin, myös henkilökohtainen valmennus voi olla tehokas tapa pitää politiikka elävänä.
Jos politiikan ympärille tarvitaan myöhemmin järjestelmällisempi johtamiskehys ja sitä pitää voida osoittaa myös ulospäin, luonteva seuraava askel on ISO 42001 -standardi. Useimmille pk-yrityksille politiikka yksin riittää pitkälle, eikä standardin perään tarvitse rynnätä ennen kuin käyttö on aidosti järjestelmällistä.
Usein kysytyt kysymykset
Tarvitaanko tekoälypolitiikka myös pienessä yrityksessä?
Kyllä. Juuri pienessä yrityksessä yhteiset pelisäännöt vähentävät eniten epätietoisuutta. Hyvä ensimmäinen versio voi olla hyvin tiivis, kunhan se vastaa oikeisiin käytännön kysymyksiin.
Mitä tekoälypolitiikan pitäisi vähintään sisältää?
Vähintään politiikan pitäisi kertoa mitä työkaluja saa käyttää, mitä dataa niihin ei saa syöttää, milloin ihmisen tarkistus on pakollinen ja kenen puoleen käännytään epäselvissä tilanteissa.
Voiko politiikka sallia ilmaisten työkalujen käytön?
Voi, jos rajaus on selkeä. Esimerkiksi julkisen aineiston ideointi voi olla sallittua, kun taas asiakasdata, henkilötiedot ja sopimusluonnokset rajataan pois. Tarkemmat erot löytyvät myös tietoturvaoppaastamme.
Kuka omistaa tekoälypolitiikan yrityksessä?
Omistaja riippuu yrityksestä, mutta tavallisesti se on liiketoimintavastuullinen henkilö yhdessä IT:n, tietoturvan tai HR:n kanssa. Tärkeintä on, että vastuu on nimetty eikä politiikka jää “jonkun pitäisi hoitaa tämä” -tasolle.
Kuinka usein politiikkaa pitää päivittää?
Usein hyvä rytmi on 2–4 kertaa vuodessa tai aina kun käyttö laajenee uuteen dataan, uuteen työkaluluokkaan tai asiakasrajapintaan. Jos työkalut ja käyttötavat muuttuvat nopeasti, myös politiikan pitää elää mukana.
Tärkeimmät opit
- Tekoälypolitiikka on ennen kaikkea käytännön työtä ohjaava käyttölinjaus, ei muodollinen sivudokumentti.
- Hyvä ensimmäinen versio kertoo selvästi mitä työkaluja saa käyttää, mitä dataa ei saa syöttää ja milloin pitää kysyä erikseen.
- Politiikka toimii vasta silloin, kun ihmiset ymmärtävät sen yhdellä lukukerralla ja osaavat soveltaa sitä omiin tehtäviinsä.
- Paras lopputulos syntyy, kun politiikka kytketään hallintamalliin, riskienhallintaan ja koulutukseen.
